Основные направления системы защиты информации в современных информационных системах

Эффективная защита от рассмотренных угроз безопасности и целостности информации может реализоваться только через комплексную систему защиты. Это совокупность правовых, организационных мероприятий, технических средств, программно-технических методов, организуемых и поддерживаемых для предупреждения разрушения, утечки или модификации защищаемой информации в вычислительной системе.

ПРАВОВОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Нормативно-правовая база в области обеспечения информационной безопасности формируется на четырех иерархических уровнях:

Первый уровень образуют международные договоры и федеральные законы России, например:

- Международные конвенции об охране интеллектуальной собственности, авторском праве;

- Конституция РФ (ст. 23, 24, 29, 44);

- Федеральный закон РФ от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

- Уголовный кодекс РФ (ст. 272, ст.273, ст.274);

- Федеральный закон РФ от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Закон РФ от 21.07.93 № 5485-1 (ред. 01.12.2007) «О государственной тайне»;

- Федеральный закон РФ от 10.01.2002 № 1-ФЗ (ред. 08.11.2007) «Об электронной цифровой подписи»;

- Федеральный закон РФ от 27.07.2006 №152-ФЗ «О персональных данных».

Второй уровеньсоставляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться:

- Указ Президента РФ от 06.03.97 № 188 (ред. 23.09.2005) «Об утверждении перечня сведений конфиденциального характера»;

- Указ Президента РФ от 12.05.09 № 537 «О стратегии национальной безопасности Российской Федерации до 2020 года».

- «Доктрина информационной безопасности РФ», утверждена Президентом РФ 09.09.2000 г. №Пр.-1895.

- Указ Президента РФ от 16.08.2004 №1085 (ред. от 17.11.2008) «Вопросы Федеральной службы по техническому и экспортному контролю».

- Указ Президента РФ от 17.03.2008 №351 (ред. 21.10.2008) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

- Постановление Правительства РФ от 15.08.2006 №504 «О лицензировании деятельности по технической защите конфиденциальной информации».

- Приказ ФСТЭК РФ №55, ФСБ РФ №86, Мининформсвязи РФ №20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

- Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

- Приказ ФСБ РФ от 09.02.2005 №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

Третий уровень - это государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести следующие документы:

- ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

- Приказ ФСТЭК РФ от 28.08.2007 №182 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

- Приказ Россвязькомнадзора от 17.07.2008 №08 «Об утверждении образца формы уведомления об обработке персональных данных»;

- Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008» (принят и введен в действие Распоряжением ЦБ РФ от 25.12.2008).

Четвертый уровень образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации территориальных подразделений. В них определяются перечни сведений ограниченного распространения, порядки организации реальных мероприятий и т.д.

Организационные мероприятия

Целью этих мероприятий является создание организационной защиты, предотвращающей доступ посторонних лиц к компьютерам, на которых хранится и обрабатывается сетевая информация, а также к средствам и линиям связи в сети.

Организационная защита - это регламентация служебной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение информацией ограниченного распространения и проявления внутренних и внешних угроз.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся, в основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер. К числу основных таких мер можно отнести:

- организация режима и охраны для исключения тайного проникновения на территорию и в помещения посторонних лиц; обеспечение контроля прохода и перемещения сотрудников, посетителей и др.;

- создание отдельных рабочих зон (выделенные помещения);

- контроль и соблюдение временного режима труда и пребывания на территории сотрудников организации;

- проведение работы с сотрудниками: подбор и расстановка персонала; ознакомление, изучение, обучение правилам работы с информацией ограниченного доступа; оповещение о мерах ответственности за нарушение правил защиты информации и др.;

- организация специального делопроизводства и документооборота, разработка технологий использования документов и носителей информации ограниченного доступа, их учета, исполнения, возврата, хранения и уничтожения;

- использование сертифицированных технических средств сбора, обработки, накопления и хранения информации ограниченного доступа;

- анализ внутренних и внешних угроз информации ограниченного доступа и выработка мер по обеспечению ее защиты;

- проведение систематического контроля за работой персонала с информацией ограниченного доступа, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом случае организационные мероприятия по форме и содержанию являются специфическими для данной организации и обеспечивают безопасность информации в конкретных условиях.

Технические средства защиты

Для решения задач обеспечения безопасности и целостности информации в арсенале специалистов службы безопасности и защиты информации имеется широкий набор технических средств и методов, среди которых два направления занимают важное место:

- обнаружение, идентификация, локализация (определение местоположения) подслушивающих устройств и других средств несанкционированной передачи информации из контролируемых помещений;

- организация технической защиты информации на основе специальных технических средств, методов и оборудования.