Информационная безопасность: различия между версиями

Эту страницу предлагается объединить со страницей Информационная безопасность (учебная программа). Пояснение причин и обсуждение — на странице Википедия:К объединению/4 июля 2018. Обсуждение длится не менее недели (подробнее). Не удаляйте шаблон до подведения итога обсуждения.

Эта статья должна быть полностью переписана. На странице обсуждения могут быть пояснения.

Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных^{[К 1][2]}, с учётом целесообразноcти применения и без какого-либо ущерба производительности организации^[3]. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками^[4].

Для того, чтобы стандартизовать эту деятельность научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и адмиистраторов. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура непрерывного совершенствования^[англ.] не привита должным образом^[5].

В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо компрометации в критической ситуации^[6]. К таким ситуациям относятся природные, техногенные и социальные катастрофы, компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах^[7], требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях^[8][9], что влечёт за собой привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев — какой-либо разновидности компьютерных систем). Следует отметить, что под компьютером в данном контексте подразумевается не только бытовой персональный компьютер, а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров, объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак, зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.

Информационная безопасность, как сфера занятости, значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры, защиты программного обеспечения и баз данных, аудит информационных систем, планирование непрерывности бизнеса, выявление электронных записей и компьютерная криминалистика^[англ.]. Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Масштабные исследования, проведённые организацией (ISC)² показали, что на 2017 год 66 % руководителей информационной безопасности признали острую нехватку рабочей силы в своих подразделениях, а по прогнозам к 2022 году недостаток специалистов в этой области составит по всему миру 1 800 000 человек^[10].

Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с «преступлением как услугой» (англ. Crime-as-a-Service), Интернетом вещей, цепями поставок и усложнением требований регуляторов^[11]. «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим киберпреступникам^{[англ.][К 2]}. Это позволяет последним совершать хакерские атаки, ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением^[13]. Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированны без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложенение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются во вне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целосности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают^[11].

Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Hапример, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей)^[14], фишинга или кражи личности. Фишинг (англ. Phishing) представляет собой мошенническую попытку^{[К 3]} завладения конфиденциальной информацией (например, учётной записью, паролём или данными кредитной карты). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт, неотличимый от оригинального сайта какой-либо организации (банка, интернет-магазина, социальной сети и т. п.)^[15][16]. Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации^[17], содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников^[18]. Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году^[19] для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощю фишинга) используются для мошеничества и совершения иных преступлений^[20][21]. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия^[22]. Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни^[23], определение которой в различных культурах может весьма разниться^[24].

Органы государственной власти, вооружённые силы, корпорации, финансовые институты, медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далекоидущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансированна относительно затрат; экономическая модель Гордона-Лоба^[англ.] описывает математический аппарат для решения этой задачи^[25]. Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:

• снижение — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз;
• передача — перенос затрат, связанных с реализацией угроз на третьих лиц: страховые или аутсорсинговые компании;
• принятие — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы;
• отказ — отказ от чрезмерно рисковой деятельности^[14].

С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и способов выявления попыток её фальсификации^[англ.]. Например, Юлию Цезарю приписывают изобретение около 50 года до н. э. шифра Цезаря, который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены^[26]. Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках^[27]. C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в 1653 году появилась Тайная канцелярия (англ. Secret Office)^[28]. В России перлюстрация осуществлялась, по крайней мере, со времен Петра I — с 1690 года в Смоленске вскрывались все письма, идущие за границу, а системный характер практика тайного копирования корреспонденции всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века^[29].

В середине XIX века появились более сложные системы классификации секретной информации, позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией Закона о государственной тайне^{[англ.][30]}. Во время Первой мировой войны многоуровневые системы классификаци использовались для передачи информации на различных фронтах, что способствовало интенсивному использованию подразделений шифрования и криптоанализа в дипломатических миссиях и армейских штабах. В межвоенный период системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать специальные машины, из которых наиболее известной является «Энигма», созданая немецкими инженерами в 1920-х годах. Уже в 1932 году Бюро шифров польской разведки удалось взломать шифр «Энигмы» методом обратной разработки^[31].

Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедурных контролей. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, учитывая прогресс в разработке всё более сложных сейфов и хранилищ. Воюющими сторонами были разработанны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур приводили к самым занчительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки U-570^[англ.] не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам^[32]. Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась вермахтом и другими службами Третьего рейха. В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством Алана Тьюринга. Разработанная ими дешифровальная машина «Turing Bombe» (с англ. — «бомба Тьюринга»), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников^[33]. В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо, язык которого за пределами США никто не знал^[34], японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации^[35]. В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной (в том числе, Ставки Верховного Главнокомандования) от прослушивания использовалась так называемая ВЧ-связь, основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования. Однако отсутствие криптографической защиты позволяло, используя спектрометр, восстанавливать сообщения в перехваченном сигнале^[36].

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом, что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма, вызвало потребность в лучших методах защиты компьютеров и информации, которую они сохраняют, обрабатывают и передают. Возникили научные дисциплины, такие, как, «Компьютерная безопасность» и «Методы защиты информации»^{[англ.][К 4]} и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем^[38].

Ниже даны несколько определений информационной безопасности из разных источников:

1. «Сохранение конфиденциальности, целостности и доступности информации. Примечание — также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, неотказуемость (англ. non-repudiation) и достоверность^[40].»
2. «Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности^[2].»
3. «Информационная безопасность обеспечивает на предприятии защищиту информации от раскрытия неавторизованным пользователям (конфиденциальность), противоправного изменения (целостность) и недоступности, когда она необходима (доступность)^[41].»
4. «Информационная безопасность — это процесс защиты интеллектуальной собственности организации^[42].»
5. «…информационная безопасность — одна из дисциплин управления рисками, чьей задачей является управление стоимостью информационных рисков для бизнеса^[43].»
6. «Обоснованная уверенность в том, что информационные риски уравновешенны соответствующими контролями^[44].»
7. «Информационная безопасность — это защита информации, минимизирующая риск разглашения информации неавторизованным лицам^[45].»
8. «Информационная безопасность — это мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности (технических, организационных, человекоориентированных, юридических) с целью предохранения информации от угроз повсюду, где бы она ни находилась (как внутри периметра организации, так и за его пределами) и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается. Перечень целей безопасности, идентифицированных в ходе анализа угроз, следует периодически пересматривать, чтобы обеспечивать его адекватность и соответствие текущему состоянию окружающей обстановки. В настоящее время релевантный перечнь целей безопасности может включать такие составляющие, как: конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость^[39].»
9. «Процесс баланса между возникающими, воздействующими угрозами и успешностью противодействия этим угрозам со стороны органов государственной власти, отвечающих за безопасность государства^[46].»

Этот раздел не завершён. Вы поможете проекту, исправив и дополнив его.

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
• целостность (англ. integrity) — избежание несанкционированной модификации информации^[47];
• доступность (англ. availability)^[48] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
• подотчётность (англ. accountability) — свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.;
• достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности^[49]:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

• выявить требования защиты информации, специфические для данного объекта защиты;
• учесть требования национального и международного Законодательства;
• использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
• определить подразделения, ответственные за реализацию и поддержку СОИБ;
• распределить между подразделениями области ответственности в осуществлении требований СОИБ;
• на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
• реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
• реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
• используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Этот раздел описывает ситуацию применительно лишь к одному региону, возможно, нарушая при этом правило о взвешенности изложения. Вы можете помочь Википедии, добавив информацию для других стран и регионов.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся^[50]:

Акты федерального законодательства:

• Международные договоры РФ;
• Конституция РФ;
• Законы федерального уровня (включая федеральные конституционные законы, кодексы);
• Указы Президента РФ;
• Постановления Правительства РФ;
• Нормативные правовые акты федеральных министерств и ведомств;
• Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

• Методические документы государственных органов России:
  • Доктрина информационной безопасности РФ;
  • Руководящие документы ФСТЭК (Гостехкомиссии России);
  • Приказы ФСБ;
• Стандарты информационной безопасности, из которых выделяют:
  • Международные стандарты;
  • Государственные (национальные) стандарты РФ;
  • Рекомендации по стандартизации;
  • Методические указания.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

• Комитет Государственной думы по безопасности;
• Совет безопасности России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба безопасности Российской Федерации (ФСБ России);
• Федеральная служба охраны Российской Федерации (ФСО России);
• Служба внешней разведки Российской Федерации (СВР России);
• Министерство обороны Российской Федерации (Минобороны России);
• Министерство внутренних дел Российской Федерации (МВД России);
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
• Центральный банк Российской Федерации (Банк России).

Службы, организующие защиту информации на уровне предприятия

• Служба экономической безопасности;
• Служба безопасности персонала (Режимный отдел);
• Кадровая служба;
• Служба информационной безопасности.

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы^[49]:

• Защита объектов информационной системы;
• Защита процессов, процедур и программ обработки информации;
• Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
• Подавление побочных электромагнитных излучений;
• Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

В литературе предлагается следующая классификация средств защиты информации.^[49]

• Средства защиты от несанкционированного доступа
  • Средства авторизации;
  • Мандатное управление доступом^[51];
  • Избирательное управление доступом;
  • Управление доступом на основе ролей;
  • Журналирование (так же называется Аудит).
• Системы анализа и моделирования информационных потоков (CASE-системы).
• Системы мониторинга сетей:
  • Системы обнаружения и предотвращения вторжений (IDS/IPS).
  • Системы предотвращения утечек конфиденциальной информации (DLP-системы).
• Анализаторы протоколов.
• Антивирусные средства.
• Межсетевые экраны.
• Криптографические средства:
  • Шифрование;
  • Цифровая подпись.
• Системы резервного копирования.
• Системы бесперебойного питания:
  • Источники бесперебойного питания;
  • Резервирование нагрузки;
  • Генераторы напряжения.
• Системы аутентификации:
  • Пароль;
  • Ключ доступа (физический или электронный);
  • Сертификат;
  • Биометрия.
• Средства предотвращения взлома корпусов и краж оборудования.
• Средства контроля доступа в помещения.
• Инструментальные средства анализа систем защиты:
  • Антивирус.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности^[52].

К основным организационным мероприятиям можно отнести:

• организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
• организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
• организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
• организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Задачи систем информационной безопасности предприятия различны:

• Обеспечение защищённого хранения информации на носителях;
• защита данных, передаваемых по каналам связи;
• создание резервных копий, послеаварийное восстановление и т. д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично^[53].

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее^[54].

Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:

1. Оценка стоимости
2. Разработка политики безопасности
3. Реализация политики
4. Квалифицированная подготовка специалистов
5. Аудит

С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программу защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности:

• определить ценность информационных активов;
• определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
• определить существующие уязвимые места в практической деятельности организации;
• установить риски организации в отношении информационных активов;
• предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
• обеспечить базу для создания проекта обеспечения безопасности.

Пять основных видов оценки:

• Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
• Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
• Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
• Аудит. Исследована существующая политика и соответствие организации этой политике.
• Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.

При проведении оценки должны быть исследованы такие документы, как:

• политика безопасности;
• информационная политика;
• политика и процедуры резервного копирования;
• справочное руководство работника или инструкции;
• процедуры найма-увольнения работников;
• методология разработки программного обеспечения;
• методология смены программного обеспечения;
• телекоммуникационные политики;
• диаграммы сети.

Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.

После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.

Необходимо разработать следующие политики и процедуры:

• Информационная политика. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
• Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
• Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
• Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
• Процедуры управления учетными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
• План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.

При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.

Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.

Аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала^[55].

• ГОСТ ИСО/МЭК 27000 — серия стандартов по менеджменту информационной безопасности
• Information Protection and Control
• Common Criteria
• Критерии определения безопасности компьютерных систем
• Предотвращение утечек информации
• Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
• Правонарушения в области технической защищённости систем
• Стандарт SCAP
• Модели оценки ценности информации
• Государственная информационная политика
• Доктрина информационной безопасности Российской Федерации
• Компьютерная безопасность
• (ISC)²
• Единый реестр российского ПО

• Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
• Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
• Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0.
• Гафнер В. В. Информационная безопасность: учеб. пособие. — Ростов на Дону: Феникс, 2010. — 324 с. — ISBN 978-5-222-17389-3.
• Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х томах
  • Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
  • Том 2. — Средства защиты в сетях. — М.: Горячая линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.
• Лепехин А. Н. Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
• Лопатин В. Н. Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
• Малюк А. А. Теория защиты информации. — М.:Горячая линия — Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6.
• Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
• Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006. — 400 с. — ISBN 5-98453-024-4.
• Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
• Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
• Шушков Г. М., Сергеев И. В. Концептуальные основы информационной безопасности Российской Федерации // Актуальные вопросы научной и научно-педагогической деятельности молодых ученых: сборник научных трудов III Всероссийской заочной научно-практической конференции (23.11.2015 — 30.12.2015 г., Москва) / под общ. ред. Е. А. Певцовой; редколл.: Е. А. Куренкова и др. — М.: ИИУ МГОУ, 2016. — С. 69 — 76. — ISBN 978-5-7017-2532-2
• Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
• Борисов М. А. Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0.
• Жданов О. Н., Чалкин В. А. Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8.
• Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3.
• Борисов М. А., Романов О. А. Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). № 2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014. — 248 с. — ISBN 978-5-9710-0837-8.
• Применко Э. А. Алгебраические основы криптографии. № 9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014. — 294 с. — ISBN 978-5-397-04457-8.
• Гуров С. И. Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.2. М.: Книжный дом «ЛИБРОКОМ», 2013. — 352 с. — ISBN 978-5-397-03899-7.
• Исамидинов А. Н. Защита коммерческой тайны в сфере трудовых отношений. № 11. М.: Книжный дом «ЛИБРОКОМ», 2014. — 120 с. — ISBN 978-5-9710-1047-0.
• NIST IR 7298 : Glossary of Key Information Security Terms : [англ.] / Richard L. Kissel, editor, Computer Security Division, Information Technology Laboratory. — Revision 2. — Gaithersburg, MD, USA : National Institute of Standards and Technology, 2013. — 222 p.
• Andress, J. The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. — Syngress, 2014. — 240 p. — ISBN 9780128008126.
• Stewart, James. CISSP : Certified Information Systems Security Professional Study Guide : [англ.] / James Stewart, Mike Chapple, Darril Gibson. — Canada : John Wiley & Sons, Inc., 2012. — 936 p. — ISBN 978-1-118-31417-3.
• Moore, Robert. Cybercrime : Investigating High Technology Computer Crime : [англ.]. — 2nd ed. — Boston : Anderson Publ., 2011. — 318 p. — ISBN 9781437755824.
• Phishing attacks and countermeasures / Ramzan, Zulfikar // Handbook of Information and Communication Security : [англ.] / Peter Stavroulakis, Mark Stamp. — L. : Springer Science & Business Media, 2010. — 867 p. — ISBN 978-3-642-04117-4.
• Гай Светоний Транквилл. Книга первая // Жизнь двенадцати цезарей = De vita XII caesarvm : [пер. с лат.] / перевод Гаспаров М.. — М. : Издательство «Наука», 1964. — 374 с. — (Литературные памятники).
• Сингх, Саймон. Книга шифров : Тайная история шифров и их расшифровки. — М. : Издательство «АСТ», 2009. — 448 с. — ISBN 5-17-038477-7.
• Johnson, John. The Evolution of British Sigint : 1653–1939 : [англ.]. — Her Majesty's Stationary Office, 1998. — 58 p.
• Измозик, В. С. «Черные кабинеты» : история российской перлюстрации. XVIII — начало XX века. — М. : Новое литературное обозрение, 2015. — ISBN 978-5-4448-0392-9.
• Official Secrets Act (1889; New 1911; Amended 1920, 1939, 1989) // Spies, Wiretaps, and Secret Operations : An Encyclopedia of American Espionage / editor Hastedt, G. P.. — Santa Barbara, CA, USA : ABC-CLIO, LLC, 2011. — Vol. 2. — ISBN 978-1-85109-807-1.
• Sebag–Montefiore, Hugh. Enigma : The Battle for the Code. — Orion, 2011. — 576 p. — ISBN 9781780221236.
• Жельников В. Язык сообщения // Криптография от папируса до компьютера. — М.: ABF, 1996. — 335 с. — ISBN 5-87484-054-0.
• Анин, Б. Ю.. «Марфинская шаражка» // Радиоэлектронный шпионаж. — М. : Центрполиграф, 2000. — 491, [2] с., [8] л. ил., портр. — (Секретная папка). — 10 000 экз. — ISBN 5-227-00659-8.
• Chapter 24 : A History of Internet Security / De Nardis, L. // The History of Information Security : A Comprehensive Handbook / edited by de Leeuw, K. M. M. and Bergstra, J.. — Elsevier, 2007. — ISBN 9780080550589.
• Cherdantseva, Y. Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals // Organizational, Legal, and Technological Dimensions of Information System Administrator / Y. Cherdantseva, J. Hilton. — IGI Global Publishing, 2013.
• Pipkin, Donald L. Information Security : Protecting the Global Enterprise : [англ.]. — N. Y. : Prentice Hall PTR, 2000. — 364 p. — ISBN 9780130173232.

• Алексей Лукацкий. Триада \"конфиденциальность, целостность, доступность\": откуда она? // SecurityLab.ru. — 2012. — 20 сентября.
• Schlienger, Thomas. Information security culture : From analysis to change : [англ.] / Thomas Schlienger, Stephanie Teufel // South African Computer Journal. — Pretoria, South Africa, 2003. — Vol. 31.
• Samonas, S. The CIA Strikes Back : Redefining Confidentiality, Integrity and Availability in Security : [англ.] / Samonas, S., Coss, D. // Journal of Information System Security. — Washington DC, USA : Information Institute Publishing, 2014. — Vol. 10, no. 3.
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Gordon, Lawrence. The Economics of Information Security Investment : [англ.] / Lawrence Gordon, Martin Loeb // ACM Transactions on Information and System Security. — 2002. — Vol. 5, no. 4 (November). — doi:10.1145/581271.581274.
• Van der Merwe, Alta. Characteristics and Responsibilities involved in a Phishing Attack : [англ.] / Loock, Marianne, Dabrowski, Marek // WISICT '05 Proceedings of the 4th international symposium on Information and communication technologies. — Cape Town, South Africa, 2005. — 3 January. — P. 249—254. — ISBN 1-59593-169-4.
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Концептуальные основы информационной безопасности Российской Федерации / Шушков Г. М., Сергеев И. В. // Актуальные вопросы научной и научно-педагогической деятельности молодых ученых : сборник научных трудов III Всероссийской заочной научно-практической конференции (23.11.2015 – 30.12.2015 г., Москва) / под общ. ред. Е.А. Певцовой; редколл.: Е.А. Куренкова и др.. — М. : ИИУ МГОУ, 2016. — ISBN 978-5-7017-2532-2.
• Information security is information risk management / Bob Blakley, Ellen McDermott, Dan Geer // Proceedings of the 2001 workshop on New security paradigms. — N. Y. : ACM, 2001. — P. 97—104. — ISBN 1-58113-457-6.
• Anderson, J. M. Why we need a new definition of information security // Computers & Security. — 2003. — Vol. 22, no. 4. — P. 308–313. — doi:10.1016/S0167-4048(03)00407-3.
• Venter, H. S. A taxonomy for information security technologies / H. S. Venter, J. H. P. Eloff // Computers & Security. — 2003. — Vol. 22, no. 4. — P. 299–307. — doi:10.1016/S0167-4048(03)00406-1.

• Шаблон:Cite web2
• Шаблон:Cite web2

• Обзор. Средства защиты информации и бизнеса 2006 CNews
• Словарь терминов по безопасности и криптографии Европейский институт стандартов по электросвязи
• Доктрина информационной безопасности Российской Федерации
• Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации
• Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2
• Шаблон:Cite web2

Для улучшения этой статьи желательно: Оформить список литературы. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.