Андрей Обласов - Исследование процесса комплексного обеспечения информационной безопасности

Это достигается четкими инструкция для системных администраторов и сотрудников предприятия, разработкой четких регламентов действий в случае инцидентов информационной безопасности, постоянными тренировками специалистов, обеспечивающих информационную безопасность, тестированием на проникновение из вне, постоянным контролем за состоянием системы и её совершенствованием по мере развития предприятия. По этим причинам важно, чтобы разрабатываемая система защиты информации была гибкой и расширяемой.

Вопрос обеспечения информационной безопасности становится весьма актуальным для предприятий, в интересах которых минимизировать последствия от инцидентов, связанных с информационной безопасностью.

Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений.

В составе системы рассматривается обрабатываемая информация и инфраструктура, включающая в себя все системы обеспечения, от энергоснабжения до сотрудников, работающих с защищаемой информацией.

Обеспечение состояния защищенности информации достигается целенаправленной деятельностью, ориентированной на предотвращение утечки защищаемой информации, недопущение несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Основные признаки обеспеченности информационной безопасности:

Конфиденциальность – доступность информации только для прошедших проверку субъектов системы;

Целостность – сохранение структуры и содержания информации в процессе её обработки, передачи или хранения;

Доступность – возможность уполномоченных лиц обрабатывать информацию.

Таким образом, основываясь на данных базовых признаках видно, что информационная безопасность должна быть направлена не только на предотвращение рисков утечки защищаемой информации, но и на нормальное функционирование и динамичное развитие информационной инфраструктуры.

При реализации политики информационной безопасности на предприятии должны четко соблюдаться следующие принципы обеспечения информационной безопасности:

– Строгое выполнение правил, предписанных политикой информационной безопасности – четкое соблюдение всех предписаний, содержащихся в документированных инструкциях и регламентах для сотрудников. Все действия согласной данным требованиям должны исполняться и фиксироваться;

– Реализация отчетности и идентификации – все субъекты информационной системы и пользователи информации, имеющие права доступа для работы с защищаемой информацией должны быть однозначно идентифицированы, а действия, совершаемые ими по отношению к защищаемой информации – регистрироваться;

– Достижение достоверности путем подтверждения соответствия совершаемых операций регламентированным действиям и результатам;

– Обеспечение идентичности информационных ресурсов заявленным параметрам, которые должны оставаться неизменными для правильного функционирования системы информационной защиты.

Основные сферы обеспечения информационной безопасности – аппаратное и программное обеспечение, а также каналы связи. Процедуры и механизмы защиты информации подразделяются на средства для физического уровня, обеспечение персональной и организационной защиты.

В настоящее время невозможно представить деятельность организации, работающей с клиентами без работы с информацией о них. Компании обрабатывают информацию о сотрудниках, клиентах, партнерах и других лицах. Безусловно, любая утечка или потеря персональных данных способна привести к невосполнимому ущербу для бизнеса и репутации. Наряду с этим защита персональных данных – это требование законодательства.

Согласно ФЗ от 27.07.2006 г. №152-ФЗ «О персональных данных» (п. 1 ст. 3): персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. Такое определение позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Тип информационной системы обработки персональных данных и средств защиты персональных данных определяется в соответствии с Федеральным законом «О персональных данных».

Типы угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

Уровень защищенности персональных данных при их обработке в информационной системе определяется в соответствии с ПП РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». [6]

Контроль и надзор за выполнением требований федерального законодательства о защите ПДн, в соответствии с п. 3 ст. 19 Федерального закона «О персональных данных», осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в информационных системах персональных данных. [5]