Понятие информационной безопасности. Система обеспечения информационной безопасности, ее цель, задачи, силы и средства⚓︎

Определение⚓︎

Информационная безопасность – это сохранение и защита информации, а также ее важнейших элементов, в том числе системы и оборудование, предназначенные для использования, сбережения и передачи этой информации. Другими словами, это набор технологий, стандартов и методов управления, которые необходимы для защиты информационной безопасности.

Основы СОИБ⚓︎

Определение⚓︎

Система обеспечения информационной безопасности - совокупность правовых, организационных и технических мероприятий, органов, сил, средств и норм, направленных на предотвращение или существенное затруднение нанесения ущерба — собственнику информации

Цель⚓︎

Заключается в обеспечении устойчивого функционирования организации (предприятия) для достижения им своих целей, которое достигается выполнением требований по конфиденциальности, доступности и целостности принадлежащих ему активов

Задачи⚓︎

1. Предотвращение угроз безопасности организации (предприятия), защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта

2. Повышение качества предоставляемых услуг и гарантий безопасности

Мероприятия⚓︎

• Отнести информацию к категории ограниченного доступа`
• Прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению нормального функционирования и развития организации
• Создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба
• Создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических и прочих мер, и средств обеспечения безопасности
• Создать условия для максимально возможного возмещения и (или) локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности

Перечень режимных мероприятий⚓︎

• Физическая защита сотрудников, являющихся потенциальными носителями конфиденциальной информации
• Постоянный контроль и проверка персонала с целью устранения возможностей для совершения мошенничества, предотвращения возможного сговора между сотрудниками и, например, клиентами`
• Ограничение прав доступа сотрудников к информации, которое должно — регламентироваться только характером выполняемых ими должностных обязанностей
• Налаженная и постоянно действующая система внутреннего контроля, включающая проведение плановых, внезапных и скрытых контрольных проверок
• Проведение предупредительной активной политики аудита информационной безопасности

В основу СОИБ включены следующие положения⚓︎

• Под СОИБ рассматриваем сложную организационно-иерархическую систему с видами обеспечения
• каждый вид обеспечения является сложной темой и рассматривается в качестве подсистемы СОИБ
• В каждой подсистеме СОИБ выделяются направления деятельности по обеспечению информационной безопасности в интересах объекта
• Каждое направление деятельности по обеспечению информационной безопасности реализуется определенными силами ( организации, подразделения, должностные лица)
• Конкретные задачи обеспечения информационной безопасности в интересах объекта решаются применением конкретных средств (методики, документы, компьютерные программы и др.)

Организационную основу СОИБ составляют⚓︎

• Совет Федерации Федерального Собрания РФ
• Государственная Дума Федерального Собрания РФ
• Правительство РФ
• Совет Безопасности РФ
• Федеральные органы исполнительной власти
• Центральный банк РФ
• Военно-промышленная комиссия РФ
• Межведомственные органы
• Создаваемые Президентом РФ и Правительством РФ
• Органы исполнительной власти субъектов РФ
• Органы местного самоуправления
• Органы судебной власти
• Принимающие в соответствии с законодательством РФ участие в решении задач по обеспечению ИБ

Участники СОИБ⚓︎

• Собственники объектов критической информационной инфраструктуры и организации, эксплуатирующие такие объекты, средства массовой информации и массовых коммуникаций
• Организации денежно-кредитной, валютной, банковской и иных сфер финансового рынка
• Операторы связи, операторы ИС
• Организации, осуществляющие деятельность по созданию и эксплуатации информационных систем и сетей связи, по разработке, производству и эксплуатации средств обеспечения ИБ, по оказанию услуг в области обеспечения информационной безопасности, организации, осуществляющие образовательную деятельность в данной области`
• Общественные объединения, иные организации и граждане, которые в соответствии с законодательством РФ участвуют в решении задач по обеспечению информационной безопасности

Система обеспечения ИБ в РФ⚓︎

Понятие «СОИБ».

• Система обеспечения информационной безопасности (СОИБ) состоит как из системы организационных и технических мер обеспечения ИБ, так и системы менеджмента информационной безопасности, обеспечивающей непрерывное функционирование СОИБ как системы управления ИБ.
• Целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
• Государственная система обеспечения информационной безопасности РФ и ее структура.
• Система обеспечения информационной безопасности РФ предназначена для реализации государственной политики в данной сфере.

Основные функции⚓︎

• Разработка нормативной правовой базы в области обеспечения информационной безопасности РФ
• Создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в Информационной сфере
• Определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации

Основными направлениями совершенствования системы обеспечения ИБ РФ являются:⚓︎

1. Систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности и определение соответствующих практических задач
2. Проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления и связи, имеющих в своем составе элементы вычислительной техники
3. Постоянное совершенствование средств защиты информации, развитие защищенных систем связи и управления, повышение надежности специального программного обеспечения
4. Совершенствование структуры функциональных органов системы, координация их взаимодействия.

ГОСТ 53114⚓︎

Обеспечение ИБ организации⚓︎

Деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз

Мера обеспечения безопасности⚓︎

Cложившаяся практика, процедура или механизм обработки риска

Мероприятия обеспечения ИБ⚓︎

Совокупность действий, направленных на разработку и (или) практическое применение способов и средств обеспечения информационной безопасности

Организационные мероприятия обеспечения ИБ⚓︎

Мероприятия обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации

Техническое средство обеспечения ИБ⚓︎

Оборудование, используемое для обеспечения ИБ организации не криптографическими методами