Понятие информационной безопасности. Основные составляющие. Важность проблемы Информационная безопасностью - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение - доступности - целостности - конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Основные определения и критерии классификации угроз Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности. Угрозы можно классифицировать по нескольким критериям: - по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; - по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); - по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); - по расположению источника угроз (внутри/вне рассматриваемой ИС).

Комплексный подход к обеспечению информационной безопасности включает в себя следующие уровни и соответствующие им мероприятия: -законодательный; -административный (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами); - процедурный (меры безопасности, ориентированные на людей); программно-технического. Уровни обеспечения информационной безопасности

Законодательный уровень обеспечения информационной безопасности Различают на законодательном уровне две группы мер: - меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (меры ограничительной направленности); - направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

Законодательство РФ в области информационной безопасности, основные законодательные акты. ФЕДЕРАЛЬНЫЕ ЗАКОНЫ РФ Закон «Об электронной цифровой подписи» ФЕДЕРАЛЬНЫЙ ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» (от 10 января 2002 года 1–ФЗ) Закон "О техническом регулировании" Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании« Закон "О коммерческой тайне" Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" Закон "О персональных данных" Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных« Закон "О безопасности" Закон Российской Федерации "О безопасности" от 5 марта 1992 г I (с изменениями и дополнениями от 25 декабря 1992 г I; от 24 декабря 1993 г. 2288; от 25 июля 2002 г. 116-ФЗ; от 7 марта 2005 г. 15-ФЗ)

Законодательство РФ в области информационной безопасности, основные законодательные акты. ФЕДЕРАЛЬНЫЕ ЗАКОНЫ РФ Закон "О государственной тайне" Закон Российской Федерации "О государственной тайне" от 21 июня 1993 г I (с изменениями и дополнениями от 6 октября 1997 г. 131-ФЗ; от 30 июня 2003 г. 86-ФЗ; от 11 ноября 2003 г. 153-ФЗ; от 29 июня 2004 г. 58-ФЗ; от 22 августа 2004 г ФЗ) Кодекс Российской Федерации об административных правонарушениях От 30 декабря 2001 года 195-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 30 июня 2003 г. 86-ФЗ) Уголовный кодекс Российской Федерации От 13 июня 1996 года 63-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 8 декабря 2003 г. 162-ФЗ) Закон «О лицензировании отдельных видов деятельности» Федеральный закон от 8 августа 2001 года 128-ФЗ (с изменениями и дополнениями от 13 марта 2002 г. 28-ФЗ, от 21 марта ФЗ; от 9 декабря 2002 г. 164-ФЗ; от 10 января 2003 г. 17-ФЗ; от 27 февраля 2003 г. 29-ФЗ; от 11 марта 2003 г. 32-ФЗ; от 26 марта 2003 г. 36-ФЗ; от 23 декабря 2003 г. 185-ФЗ; от 2 ноября 2004 г ФЗ; от 21 марта 2005 г. 20-ФЗ)

Законодательство РФ в области информационной безопасности, основные законодательные акты ФЕДЕРАЛЬНЫЕ ЗАКОНЫ РФ Закон "Об информации, информационных технологиях и о защите информации" ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" Закон "О ратификации Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации" Федеральный закон N 164-ФЗ от 1 октября 2008 Принят Государственной Думой 12 сентября 2008 года. Одобрен Советом Федерации 19 сентября 2008 года. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г. с изменениями от 15 июня 1999 г.) Трудовой кодекс РФ - Глава 14. Защита персональных данных работника Трудовой кодекс Российской Федерации от 30 декабря 2001 г. 197-ФЗ (ТК РФ) (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г., 27 апреля, 22 августа, 29 декабря 2004 г., 9 мая 2005 г., 30 июня, 18, 30 декабря 2006 г., 20 апреля, 21 июля, 1, 18 октября, 1 декабря 2007 г.)

Доктрина информационной безопасности РФ Концепция национальной безопасности Российской Федерации Утверждена Указом Президента Российской Федерации от 17 декабря 1997 г (с изменениями и дополнениями от 10 января 2000 г. 24) О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации УКАЗ от 3 апреля 1995 г. N 334 Об утверждении Концепции национальной безопасности Российской Федерации Указ Президента Российской Федерации от 17 декабря 1997 года 1300 (с изменениями и дополнениями от 10 января 2000 года 24) Законодательство РФ в области информационной безопасности, основные законодательные акты. УКАЗЫ ПРЕЗИДЕНТА РФ

Об утверждении перечня сведений конфиденциального характера Указ Президента Российской Федерации от 6 марта 1997 г. 188 Об утверждении перечня сведений, отнесенных к государственной тайне Указ Президента Российской Федерации от 30 ноября 1995 г (с изменениями и дополнениями от 24 января 1998 г. 61; от 6 июня 2001 г. 659; от 10 сентября 2001 г. 1114; от 29 мая 2002 г. 518; от 3 марта 2005 г. 243; от 11 февраля 2006 г. 90) О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена Указ Президента РФ 351 от 17 марта 2008 года О внесении изменений в некоторые акты Президента Российской Федерации Указ 1625 от 17 ноября 2008 года Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела Указ Президента РФ от 30 мая 2005 г. N 609 Законодательство РФ в области информационной безопасности, основные законодательные акты. УКАЗЫ ПРЕЗИДЕНТА РФ

О сертификации средств защиты информации ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 26 июня 1995 г. N 608 "О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ" (в ред. Постановлений Правительства РФ от N 509, от N 342, от N 808) О лицензировании деятельности по технической защите конфиденциальной информации Постановление Правительство Российской Федерации от 15 августа 2006 г. 504 О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации Постановление Правительства Российской Федерации от 31 августа 2006 г. 532 Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами Постановление Правительства Российской Федерации от 23 сентября 2002 г. 691 Законодательство РФ в области информационной безопасности, основные законодательные акты ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ.

Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление Правительства РФ 781 от 17 ноября 2007 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Законодательство РФ в области информационной безопасности, основные законодательные акты ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ.

ISO Международные стандарты управления информационной безопасностью Семейство Международных Стандартов на Системы Управления Информационной Безопасностью разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. ISO Общие критерии оценки безопасности информационных технологий В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). Внушительных размеров тома Common Criteria содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий. ISO Международные стандарты сетевой безопасности серии ISO Международные стандарты безопасности информационных технологий Международные и национальные стандарты в области информационной безопасности.

BSI\IT Baseline Protection Manual Немецкий стандарт "Руководство по обеспечению безопасности ИТ" (IT Baseline Protection Manual) разрабатывается в BSI (Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency), SysTrust Данный стандарт (Канада, США) видимо отражает бухгалтерское видение проблемы информационной безопасности. PCI DSS - стандарт защиты информации в индустрии платежных карт Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации BS Британские стандарты по управлению непрерывностью бизнеса ISO и ITIL - библиотека лучших практик в области управления ИТ Целью ITIL является предоставление руководства по передовому опыту в области управления ИТ сервисами. Он включает в себя опции, которые могут быть позаимствованы и адаптированы под потребности конкретного бизнеса, местные условия и уровень зрелости сервис провайдера. ISO устанавливает стандарты, к которым должны быть устремлены процессы управления сервисами. Международные и национальные стандарты в области информационной безопасности.

Basel II - Международная конвергенция измерения капитала и стандартов капитала: новые подходыBasel II - Международная конвергенция измерения капитала и стандартов капитала: новые подходы Документ отражает наиболее продвинутые подходы как в сфере финансовых операций, так и в области банковского регулирования. В связи с этим в нем широко используются специальные термины, относящиеся к операциям на финансовых рынках и не имеющие в настоящее время аналогов на русском языке. СТО БР ИББС - Стандарты Банка России в области информационной безопасности Международные и национальные стандарты в области информационной безопасности.

Административный уровень обеспечения информационной безопасности. Политика безопасности. К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Политика безопасности - совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Административный уровень обеспечения информационной безопасности. Политика безопасности. Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы: I. Вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности; II. Организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности; III. Классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты; IV. Штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

Административный уровень обеспечения информационной безопасности. Политика безопасности. Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы: V. Раздел, освещающий вопросы физической защиты; VI. Управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями; VII. Раздел, описывающий правила разграничения доступа к производственной информации; VIII. Раздел, характеризующий порядок разработки и сопровождения систем; IX. Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации; X. Юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Основные классы мер процедурного уровня На процедурном уровне можно выделить следующие классы мер: Управление персоналом; Физическая защита; Поддержание работоспособности; Реагирование на нарушения режима безопасности; Планирование восстановительных работ.