Основные аспекты и методы информационной безопасности

Современный человек находится в самой гуще информационного потока. Никогда в истории человечества не было такого объема данных, которые ежесекундно обрабатывал наш мозг. Сознательно или в режиме рефлексов мы постоянно воспринимали информацию: баннеры на дороге, реклама в метро, разговоры в лифте, фоновые новости в парикмахерской. В этой динамичной среде также важно создать для всех равные права в области обмена, поиска, получения, производства и распространения информации, понимать основные аспекты информационной безопасности и методы ее обеспечения.

Информационная безопасность: основные определения

Информационная безопасность (ИБ) – это совокупность методов по обеспечению целостности, неподдельности и конфиденциальности данных; пресечение нецелевого использования информации.

Подходы к обеспечению методов ИБ могут представлять из себя пример общих или частных процессов сохранения данных и зависят от того, кто выступает субъектом информации и какой объект необходимо защитить.

Субъект информации – это любой владелец информации.

Объектом информации выступает объем данных любой сферы, которые могут принадлежать и предоставить характеристику субъекту данных.

Обеспечение любого мероприятия по ИБ всегда учитывает эти два понятия и оценивает эффективность мер исходя из ответов на два вопроса:

  • Кто субъект информации?
  • И что выступает объектом защиты?

К субъектам информации относятся человек, организация, государство или любая другая форма-владелец информации. К объектам же относится сама информация, ресурс-носитель либо информационный процесс.

Чтобы сформировать глобальный подход к системе безопасности, эффективно его реализовывать и учитывать все потребности субъектов информации, необходимо понимать базовые методы и аспекты информационной безопасности.

Аспекты информационной безопасности

Всего существует три главных аспекта информационной безопасности. Они характеризуют параметры, которые должны быть обеспечены всеми элементами системы обеспечения безопасности:

  1. Удовлетворение потребности субъектов информационной среды в получении информации (доступность).
  2. Обеспечение сохранности и достоверности информации, безопасность данных (целостность).
  3. Защита всех субъектов информационных отношений и их данных (конфиденциальность).

Эти три параметра помогают выбрать точный стратегический подход к планированию действий и методов по обеспечению ИБ.

Методы обеспечения информационной безопасности

Принято разделять частные и общие методы информационной безопасности.

Общие методы ИБ

Общие методы ИБ зависят от подхода к обеспечению безопасности и делятся на:

  1. Нормативно-правовые.
  2. Организационно-технические.
  3. Финансово-экономические.

Общие методы информационной безопасности

Посмотрим каждый метод подробнее.

Нормативно-правовые методы обеспечения информационной безопасности

К этому методу относятся все нормативно-правовые акты, инструкции, методические пособия и другие источники права, фиксирующие зону ответственности в области защиты информации.

Законодательство в области ИБ состоит из прав и обязанностей общества, закрепленных в Конституции страны, международных правовых соглашений, государственных законов и законов административно-территориальных единиц. Рассмотрим пример правового регулирования в области информационной безопасности в Российской Федерации.

Конституция РФ

Конституция Российской Федерации фиксирует права и обязанности граждан в Статьях 23, 24, 29, 42, где говорится, что:

«Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Гарантируется свобода массовой информации. Цензура запрещается.

Каждый имеет право на достоверную информацию о состоянии окружающей среды».

Международные договоры Российской Федерации

Это ратифицированные двусторонние или более соглашения между РФ и другими странами или организациями, которые косвенно или прямо относятся к регулированию международных отношений между сторонами в информационной среде и регулируются международным правом. Примеры таких соглашений:

  • Резолюция Генеральной Ассамблеи Организации Объединенных Наций A/RES/65/41 «Достижения в сфере информатизации и коммуникаций в контексте международной безопасности» от 8 декабря 2010 г.;
  • «Соглашение между правительством Российской Федерации и Правительством Китайской Народной Республики о взаимном обеспечении защиты и сохранности секретной информации» от 24.05.2000 г.; и др.

Федеральные законы о защите информации

Нормативно-правовые акты, которые закрепляют нормы регулирования проблемы обеспечения информационной безопасности внутри страны. В разрезе РФ к этой области относятся законы:

  1. Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г.

В нем даются главные определения об информации и ее защите, разграничивается зона ответственности в логистической цепочке обмена информацией, утверждаются правовые принципы управления потоком данных.

Так, согласно ФЗ №149-ФЗ:

«Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.

Обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами».

  1. Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 г.

Законодательный акт фиксирует основные принципы сбора, хранения и обработки, права и обязанности субъектов (у кого собирают) и операторов (кто собирает) персональных данных. Так, согласно этому закону, персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); сбор и обработка ПД должна осуществляться в свободной и справедливой форме, только с согласия субъекта информации и соответствовать конечным целям и другое.

  1. Федеральный закон № 63-Ф3 «Об электронной подписи» от 06.04.2011 г. утверждает порядок обращения и использования такой формы цифровой идентификации личности (организации), как цифровая подпись, а также сертифицирования этой деятельности.
  2. Федеральный закон № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г. утверждает режим обращения с конфиденциальной информацией, позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Также утверждается список данных, которые могут быть отнесены к определению «коммерческая тайна». Это:

«…сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны».

Также к НПА в области ИБ можно отнести другие федеральные законы Гражданского, Налогового, Административного и Уголовного кодекса, регулирующие различные типы связей информации и жизнедеятельности гражданина.

К нормативно-правовым методам также относится лицензирование и сертификация деятельности организации в области ИБ, осуществление аттестации инструментов и участников системы в соответствии с международными и государственными стандартами.

Нормативно-правовые методы обеспечения информационной безопасности

Организационно-технические методы обеспечения информационной безопасности

К организационно-техническим методам обеспечения информационной безопасности относят все программные и технические инструменты противодействия несанкционированного доступа к конфиденциальным данным, а также разработку, утверждение, аудит и корректировку правил поведения при наступлении инцидента. Техническая часть этого метода решает три главные проблемы: обеспечение недоступности для посторонних лиц мест хранения информации, предотвращение намеренного (или стихийного) негативного воздействия или уничтожения носителей информации, а также предотвращение физического хищения данных. То есть это метод призывает граждан, организаций или государственные органы обеспечивать максимальную готовность оборудования обеспечивать ИБ объекта в режиме 24/7.

Программные меры метода направлены на использование специализированного программного обеспечения для предотвращения хищения секретных и конфиденциальных данных. К ним относятся антивирусы, DLP-системы, системы интеллектуального анализа информационной безопасности, SIEM-системы и многое другое. 

Организационная часть этого метода – это составление, утверждение и использование с последующей актуализацией всевозможных инструкций и регламентов поведения, которое должно обеспечить максимально безопасную коммуникацию между участниками, находящимися в контуре системы безопасности информации, и внешним миром.

Одной из важных частей организационно-технического метода является аудит ИБ. Крайне важно периодически проверять эффективность инструментов информационной безопасности, ведь независимая оценка состояния установит ее соответствие выставленным критериям сохранности данных. Аудит поможет в:

  1. повышении уровня защищенности конфиденциальных данных человека, организации, государства;
  2. поможет сформировать стратегически верный подход к ИБ;
  3. обеспечит независимую оценку системе безопасности;
  4. приведет применяемые меры обеспечения в соответствие с принятыми нормативными стандартами.

Аудит ИБ может быть:

  • внешним (на тестирование проникновения за контур безопасности);
  • внутренним (анализ вероятных уязвимостей ИБ).

Также аудит может производиться собственными силами (человеком, отделом безопасности компании, регулирующим органом в стране) или с привлечением сторонней организации-исполнителя.

Аудит информационной безопасности

Финансово-экономические методы обеспечения информационной безопасности

Согласно «Доктрине информационной безопасности Российской Федерации», утвержденной Президентом РФ от 09.09.2000 г., финансово-экономические методы обеспечения информационной безопасности в стране включают в себя:

  1. разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
  2. совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Это применение данного метода в масштабе государства, но и для других участников социума (организаций и самого гражданина), принцип тот же: это выведение средств и аудит эффективности использования финансового фонда на покрытие затрат по информационной безопасности.

Частные методы ИБ

Частные методы отличаются по сфере жизнедеятельности субъекта информации и бывают:

  1. Экономическими.
  2. Внешне и внутриполитическими.
  3. Научно-техническими.
  4. Социо-информационными.
  5. Направленными на поддержание духовной жизни общества и т.д.

Каждая из сфер жизнедеятельности затрагивает те или иные области существования социума и обладает своими специфическими характеристиками. Поэтому подход к обеспечению ИБ должен формироваться с учетом этих особенностей. Это как эксклюзивный инструмент, который подходит только к определенному процессу. Так и с частными методами. Разберем подробнее.

Экономические методы.

Направлены на снижение рисков угроз информационной безопасности в сфере экономики. Это одна из самых важных сфер жизни всех субъектов информации, и, к тому же, очень тесно привязанная к достоверности и точности информации, которая находится внутри системы. Причинами для потенциально опасных воздействий могут стать в таком случае: обострение конкурентной борьбы и реализация стратегического плана по захвату рынка; сбор любых данных для использования в таргетированном продвижении своего товара/услуги; снижение производственного потенциала объектов промышленности и давление на эти объекты; похищение и разглашение коммерческих данных и многое другое. Экономика как объект для преступления в области ИБ – один из лучших выборов.

Решением для каждого частного метода, в том числе экономического, является применение общих методов с последующим адаптированием мер под потребности каждого сегмента жизнедеятельности.

Пример: предприятие столкнулось с необходимостью защиты своего информационного пространства от потенциальной угрозы слива критичных данных о технологии производства флагманского продукта. Было принято решение использовать комплекс методов по обеспечению ИБ: нормативно-правовые ограничения (введение статуса коммерческой тайны на предприятии и подписание соглашений о неразглашении с работниками, носителями технологии) и организационно-технические меры (установку DLP-системы для мониторинга коммуникаций и пресечения кражи информации предприятия самими сотрудниками).

Внешне и внутриполитические.

Это адаптирование экономических, организационно-технических и правовых методов защиты информации под потребности внешней и внутренней политики государства.

Так, к внешнеполитическим угрозам можно отнести вмешательства в:

  • экономическую жизнь государства и давление на национальную валюту;
  • угрозу безопасности целостности и существования;
  • репутационную угрозу и пропагандистское давление на граждан страны;
  • ущерб коммуникационным и логистическим путям и многое другое.

К внутриполитическим угрозам можно отнести:

  • давление на организационную структуру страны и ее институты;
  • разжигание ненависти населения по национальным, расовым, религиозным признакам и другое.

Например: для обеспечения своей внутри и внешнеполитической стабильности, каждая страна принимает ряд законодательных актов, которые регулируют и устанавливают ответственность за шпионаж в пользу другого государства (нормативно-правовой метод). Или принимается решение об использовании экономического метода и с целью предотвращения использования потенциально опасного программного-обеспечения выделяется бюджет на создание собственного аналогового ПО.

Научно-техническая сфера.

Для предотвращения угроз информационной безопасности в научно-технической сфере чаще всего применяются экономические методы обеспечения ИБ. Сюда может входить выделение средств на осваивание научного потенциала общества, создание современной материально-технической базы для исследований, финансирование образования и научной деятельности, обеспечение актуальными средствами защиты информации и так далее. Также уместны и нормативно-правовые методы: создание и укрепление норм права по отношению регистрации и регулирования патентов, полезных изобретений и других объектов интеллектуальной собственности.

Социо-информационная.

Важность безопасной информации в средствах массовой информации и социо-коммуникационной сфере общества в современности невозможно недооценить. С полной уверенностью можно сказать, что слово стало не менее опасным чем орудие. СМИ обеспечивают выполнение организационных, просветительских, консолидирующих функций для общества, влиять на культуру и образование страны. Поэтому важность используемой информации и соответствие ее подачи критично для государства, но в равной степени важно и для участников общества и организаций. Поэтому используются различные методы обеспечения ИБ для этих источников: нормативно-правовые (введение мер за дезинформирование и предоставление заведомо ложных данных), экономические (введение экономических санкций, расширение бюджета на улучшение программно-технического контура системы безопасности и т.д.).

Необходимо помнить, что при создании и использовании инструментов обеспечения информационной безопасности страны важно сохранять баланс между правами граждан и мерами обеспечения безопасности.

Духовная жизнь общества.

Духовная жизнь общества является частью составной картины полноценного существования государства, а также национальной и религиозной идентификации его жителей. Поэтому обеспечение качества данных, исторической и культурной достоверности, традиций и норм морали влияет на духовно-нравственный портрет населения и его эффективное существование. Обеспечивается аналогичными методами общего характера (экономическими, нормативно-правовыми, организационно-техническими), адаптированными под специфику этой части жизни общества.

Вывод

При формировании системы обеспечения информационной безопасности, независимо от самого субъекта информации, выделяют три главных метода и три основополагающих аспекта создания ИБ. Важно понимать, в какой сфере необходимо вживить процесс создания безопасного информационного контура, а также эффективно использовать особенности этого сегмента, чтобы адаптировать стандартные подходы для каждого направления хозяйственной деятельности.

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально опасных сотрудников
  • Ведение архива бизнес-коммуникации