Аналитика в области информационной безопасности

Решения «СёрчИнформ»:

Предотвращение утечек Выявление угроз Контроль персонала

Методы обеспечения информационной безопасности

Известные на сегодняшний день общие методы обеспечения информационной безопасности состоят из организационно-технических, экономических и правовых.

Организационно-технические методы информационной безопасности (ИБ) включают:

  • систему обеспечения информационной безопасности (под ней мы подразумеваем комплекс мероприятий (внутренние правила работы с данными, регламент передачи сведений, доступ к ним и т. д.) и технических средств (использование программ и приборов для сохранения конфиденциальности данных));
  • разработку (создание новых), эксплуатацию и усовершенствование уже имеющихся средств защиты информации;
  • перманентный контроль над действенностью принимаемых мер в области обеспечения информационной безопасности.

Последний пункт особенно важен. Без методики оценки очень трудно определить эффективность ИБ. Если эффективность падает, необходимо срочно вносить коррективы (для этого и нужна перманентность контроля).

Они тесно взаимосвязаны с правовыми методами информационной безопасности РФ. Правовой фактор безопасности РФ состоит из:

  • лицензирования деятельности в части обеспечения информационной безопасности;
  • сертификации технических средств информационной защиты;
  • аттестации объектов информатизации согласно соответствию нормам информационной безопасности РФ.

Третья составляющая, экономическая, включает:

  • составление программ по обеспечению информационной безопасности РФ;
  • определение источников их финансового обеспечения;
  • разработку порядка финансирования;
  • создание механизма страхования информационных рисков.

Информационная безопасность – это всегда комплексная система, все составляющие которой призваны не допустить утечки конфиденциальных сведений по техническим каналам, а также воспрепятствовать стороннему доступу к носителям информации. Все это, соответственно, гарантирует целостность данных при работе с ними: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле. Грамотно организованные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи.

В РФ существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне». К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации», «О лицензировании деятельности по технической защите конфиденциальной информации», а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

Что же касается экономической составляющей информационной безопасности, то ее основное правило – стоимость системы информационной безопасности не должна быть выше, чем стоимость защищаемых сведений. Кроме этого, необходимо защищать заранее определенную информацию, а не всю подряд (последнее нецелесообразно с экономической точки зрения).

Организационно-техническая составляющая информационной безопасности

Вначале определим объекты защиты. Ими являются:

  • речевая информация;
  • данные, передающиеся техническими средствами.

В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения.

Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.

Организационный метод обеспечения информационной безопасности имеет следующие составляющие:

  • создание режима охраны информации;
  • разработка правил взаимоотношений между сотрудниками;
  • регламентация работы с документами;
  • правила использования технических средств в рамках существующего правового поля РФ;
  • аналитическая работа по оценке угроз информационной безопасности.

Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария. Такая информационная безопасность зачастую состоит, например, в удалении ОТСС за периметр охраняемой территории на максимально возможное расстояние.

Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, уже относится к техническому методу обеспечения информационной защиты. Оба метода взаимодополняемы и называются организационно-техническими (например, проведение специальных проверок технических средств и помещений на предмет обнаружения сторонних устройств, предназначенных для фиксирования и передачи информации). Организационно-технические мероприятия в обязательном порядке должны соответствовать правовым методам обеспечения информационной безопасности, предписанным нормативными документами РФ.

Политика информационной безопасности разрабатывается с учетом существования множества подсистем, включая:

  • подсистему предоставления доступа;
  • подсистему регистрации и учета;
  • подсистему по обеспечению безопасности за счет использования шифров.

Главные правила успешной системы информационной безопасности:

  • перманентность действия установленных правил;
  • полнота принимаемых мер;
  • комплексность;
  • согласованность;
  • результативность.

Методы защиты речевой информации

Для обеспечения информационной защиты акустической информации рекомендуется компактно расположить защищаемые помещения, четко установить периметр охраняемой территории, регламентировать допуск работников на территорию, на которую распространяется информационная защита. Информационная безопасность также состоит в том, чтобы регулярно обследовать помещения и установленные в них технические средства на предмет наличия приспособлений для несанкционированного съема информации. Для усиления информационной безопасности можно использовать вибро- и звукоизоляцию, экранирование, автономизацию ОТСС в границах охраняемой территории, а также временное отключение ОТСС.

Также используются активные и пассивные механизмы обеспечения речевой безопасности.

К первым относятся генераторы, вырабатывающие различного рода шумы (виброакустический и электромагнитный, как низко-, так и высокочастотные). Ко вторым: вибро- и звукоизоляция; экранирующие устройства; звукопоглощающие фильтры в воздуховодах.

Методы защиты речевой информации, передающейся техническими средствами

Для обеспечения информационной защиты данных, хранящихся и передающихся техническими средствами, в РФ используют:

  • аутентификацию;
  • регламентирование доступа к объектам;
  • шифрующую систему файлов;
  • ключи;
  • безопасные соединения;
  • IPsec.

Остановимся на каждой из этих форм обеспечения информационной защиты подробнее.

С таким элементом информационной безопасности, как логин и пароль, сталкивались все пользователи операционных систем. Это и есть аутентификация. Она – самый распространенный способ обеспечения безопасности данных, включая информационные сообщения, хранящиеся на сервере или ПК.

Регламентирование доступа к объектам (папкам, файлам, хранящимся в системе) тоже может строиться на аутентификации, но зачастую используются и иные алгоритмы (участникам системы администратором определяются права и привилегии, согласно которым они могут либо знакомиться с какими-то объектами, либо, помимо знакомства, вносить в них изменения, а то и удалять).

Шифрование файлов (еще одна составляющая информационной безопасности) осуществляется системой EFS при помощи ключа.

Если же говорить об обеспечении безопасного соединения, то для этого используются информационные каналы типа «клиент-клиент» или «клиент-сервер». В РФ такой метод информационной безопасности широко применяется в банковском секторе.

Ну и в заключение об IPsec. Это совокупность протоколов для обеспечения информационной защиты данных, передаваемых по протоколу IP.

На всех перечисленных способах и строится информационная безопасность на наиболее прогрессивных предприятиях России.