Информационная безопасность госучреждений

Организация политики информационной безопасности – основа успешного развития любой современной организации, в том числе и в государственном секторе. Соблюдение требований международных и межгосударственных стандартов в области защиты информации служит основной для стабильной деятельности государственного учреждения. Для обеспечения безопасности активов каждая организация должна разработать и поддерживать в рабочем состоянии процессы управления базами данных, информацией и технологиями, а также обеспечивать должный уровень целостности, доступности и конфиденциальности информации.

Зачем государственным учреждениям создавать политику информационной безопасности?

Организация и поддержание в актуальном состоянии политики информационной безопасности (ИБ) государственного учреждения включает множество аспектов. Все положения, касающиеся информационной защиты, должны быть согласованы с руководством организации и включены во внутренние стандарты систем менеджмента информационной безопасности (СМИБ).

СМИБ создана для обеспечения требуемой степени целостности, доступности и конфиденциальности данных за счет применения процесса менеджмента качества и предоставления третьей стороне гарантии того, что управление рисками осуществляется корректно.

Важно, чтобы СМИБ являлась органичной частью бизнес-процессов государственного учреждения, была интегрирована с уже имеющимися производственными процессами и общей структурой менеджмента предприятия. Требования ИБ организации должны учитываться при разработке методов управления, информационных систем и элементов контроля. Другой чрезвычайно важный аспект заключается в том, чтобы масштаб внедрения СМИБ соответствовал потребностям государственного учреждения.

СМИБ государственного учреждения могут применять третьи лица, чтобы оценить способность удовлетворять установленным требованиям ИБ.

Разработка политики ИБ государственного учреждения позволит:

  • внедрить системы управления безопасностью информационных ресурсов государственного учреждения;
  • оценить СМИБ, которая применяется к защите информации и касается финансовой деятельности предприятия;
  • проанализировать СМИБ интеллектуальной собственности, личных данных сотрудников;
  • проводить валидацию СМИБ данных, доверенных заказчиками или третьей стороной.

Что подразумевает под собой обеспечение безопасности данных государственного учреждения?

Информационная безопасность активов государственного учреждения включает:

  • устранение вероятности непреднамеренного или несанкционированного доступа к информационным ресурсам государственного учреждения;
  • организацию соответствующих систем и средств, которые препятствуют распространению персональных данных;
  • распределение (разграничение) прав доступа пользователя для оперирования информацией;
  • создание условий, препятствующих утечке, расхищению, потере, непреднамеренному уничтожению, копированию, изменению (модификации), блокировке и разглашению данных;
  • создание банков данных для обеспечения их сохранности, целостности, достоверности и конфиденциальности.

Чтобы предотвратить вредоносное воздействие злоумышленников на информацию, любое прогрессивное госучреждение дополняет организационную структуру специализированным подразделением. В компетенцию специалистов подразделения входят все вопросы, которые касаются систем и средств информационной защиты, организации безопасного хранения и распространения данных, работы с пользователями систем, разграничение прав доступа и установка паролей.

Технические, программные и программно-технические средства государственного учреждения, предназначенные для организации информационной защиты, должны быть сертифицированы в соответствии с требованиями действующих технических нормативных правовых актов (ТНПА) и межгосударственных стандартов. Сертификацию или аттестацию вправе провести только аккредитованная испытательная лаборатория.

Как государственному учреждению провести анализ рисков ИБ?

Независимо от сферы деятельности и численности персонала госучреждение должно сформулировать и применять процедуры анализа риска ИБ, которые:

  • устанавливают и контролируют степень риска ИБ (уровень принятия риска и осуществление оценок риска);
  • гарантируют, что повторный анализ риска ИБ приведет к адекватным и логичным результатам;
  • предусматривают алгоритмы анализа, направленные на идентификацию рисков ИБ;
  • определяют владельцев рисков: внутренний персонал, злоумышленники, третья сторона и другие;
  • обеспечивают оценку потенциальных угроз в случае реализации рисков и оценку вероятности повторного возникновения рисков, а также определение степени значимости риска.

Какие законодательные акты регулируют ИБ госучреждения и применение стандартов СМИБ?

Комплексную реализацию требований к СМИБ государственного учреждения помогут обеспечить соответствующие международные стандарты и документы. Наиболее распространенной и масштабной в области СМИБ является серия стандартов, разработанная под эгидой общей рабочей группы ISO (международная организация) и IEC (электротехническая комиссия). Это серия стандартов под общим названием «Информационные технологии. Методы обеспечения безопасности», где каждый отдельный документ посвящен уникальной области применения и затрагивает самые разнообразные аспекты в области ИБ.

Общее количество международных стандартов ISO/IEC в области СМИБ превышает четыре десятка. Основные документы:

  • ISO/IEC 27000, где описаны ключевые стандарты серии СМИБ; вводные положения СМИБ; процессинговая деятельность по принципу «Планируй – Осуществляй – Контролируй – Действуй» (PDCA); терминологическая база для серии стандартов СМИБ;
  • ISO/IEC 27001, требования которого относятся к установлению, реализации, поддержанию и непрерывному улучшению СМИБ в условиях бизнес-процессов государственного учреждения. Отдельные положения стандарта также применимы к оценке и осуществлению контроля рисков ИБ в соответствии с условиями деятельности государственного учреждения;
  • ISO/IEC 27002, который распространяется на процессы реализации и методы сопровождения ИБ в госучреждении. Цель стандарта заключается в том, чтобы установить общие руководящие принципы по регулярным методам воздействия для улучшения СМИБ;
  • ISO/IEC 27004, который представляет, по сути, руководство по разработке и применению методов измерения и оценки результативности СМИБ. Области применения настоящего стандарта (как определено в ISO/IЕС 27001) распространяется на системы контроля и управления (совокупность средств контроля). Стандарт допускается применять к государственным учреждениям любого типа и численности.

Внедрение международных стандартов (ISO/IEC) в любом государственном учреждении начинается с гармонизации. Вначале требуется разработать межгосударственный (ГОСТ) или национальный (государственный) стандарт Российской Федерации (ГОСТ Р), идентичный стандарту ISO/IEC.

Соблюдение требований стандартов, включение положений документов ISO/IEC в политику информационной безопасности государственного учреждения позволит минимизировать расходы на программные и программно-аппаратные средства защиты информации, поможет предотвратить непреднамеренное распространение данных.

Практическое применение стандартов СМИБ не имеет «противопоказаний», не приводит к негативным последствия ни в одной из сфер и не зависит от области деятельности государственного учреждения.