Фрагмент для ознакомления
2
В рамках анализа предметной области проведено изучение нормативной базы, регламентирующей вопросы соблюдения требований защиты информации.
Законодательное регулирование вопросов соблюдения требований в области защиты информации включает: определение порядка обработки персональных данных, работу с информацией ограниченного доступа, коммерческой тайной, а также использование средств криптографической защиты, использования систем электронного документооборота.
Внедрение программного обеспечения в бизнес-процессы современных компаний приводит к необходимости приятия мер, обеспечивающих безопасность эксплуатации программного обеспечения, минимизации вероятности возникновения инцидентов, связанных с утечками информации, разглашением конфиденциальных сведений, возникновением ситуаций, приводящих к недоступности информационных ресурсов, предотвращения несанкционированного использования криптографических систем и средств электронной подписи.
Задачами обеспечения защиты информации в условиях современных компаний являются: обеспечение целостности, конфиденциальности, доступности информации. Нарушение какого-либо из требований защиты информации приводит к прямым материальным потерям компании, невозможности проведения оплат, обмена документами, невозможности исполнения сотрудниками своих функций вплоть до остановки работы компаний в целом.
Меры по защите информации включают [4]:
создание организационной структуры, обеспечивающей исполнение требований в области защиты информации;
издание нормативных документов, регламентирующих деятельность сотрудников компании в части соблюдения требований по защите информации;
использование систем физической защиты, укрепленности помещений, систем охраны, сигнализации, видеонаблюдения;
использование средств программной защиты информации, обеспечивающих защиту ИТ-инфраструктуры;
использование инженерно-технических решений, обеспечивающих защиту от утечек информации.
Специфика деятельности современных компаний предполагает необходимость защиты информации, передаваемой по сети, в части соблюдения требований к конфиденциальности, защиты каналов передачи данных, по которым осуществляется работа с информационными ресурсами, предотвращение инцидентов, в рамках которых возможно предоставление доступа к конфиденциальной информации со стороны злоумышленников.
Проводя классификацию информационных рисков, выделяют следующие критерии: по источникам (внутренние и внешние), по характеру (преднамеренные и непреднамеренные), по виду (прямые или косвенные), по виду нарушения (информационные, физические, организационно-правовые), по механизму воздействия (стихийного бедствия, техногенные, политические, социальные, развитие информационно-коммуникационных технологий).
Классификация рисков в области информационной безопасности имеет важное значение для правильной оценки информационных рисков, охватывающих все возможные инциденты, угрозы информационной безопасности, которые могут привести к нарушению свойств информации. Инцидент информационной безопасности — событие или группа событий, вследствие которых вероятна реализация угроз, связанных с нарушением защищенности системы информационной безопасности на предприятиях.
Рекомендации по предотвращению инцидентов информационной безопасности и методология реагирования на них определены в стандартах. В документе [5] подробно описаны стадии планирования, эксплуатации, анализа и улучшения системы управления инцидентами безопасности. В документе [6] определена необходимость выполнения организациями деятельности по выявлению инцидентов ИБ и реагированию на инциденты ИБ.
Методические рекомендации ГосСОПКА разработаны для органов государственной власти, принявших решение о создании ведомственных центров ГосСОПКА, государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА.
В рамках проведения анализа причин возникновения инцидентов информационной безопасности проводятся работы:
устранение негативных последствий, которые были вызваны возникновением инцидентов;
определение сферы ответственности сотрудников, курирующих направления работы, по которым возникли проблемы безопасности, привлечение их к установленной ответственной;
выявление причин происшествий, документирование, разработка профилактических мер.
Нормативная база в области защиты информации включает:
152- ФЗ «О Персональных данных» от 27.07.2006;
149 – ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006;
Статьи Трудового кодекса, кодекса об административных правонарушениях;
Приказы, положения и распоряжения, изданные в организации и регламентирующие вопросы соблюдения требований по защите информации.
В качестве нормативной базы, регламентирующей вопросы соблюдения требований защиты информации, выступают: федеральные законы и другие документы, изданные органами федеральной власти и надзорными ведомствами.
Законодательство предписывает обязанности организаций издавать регламенты, в соответствии с которыми осуществляется работа в области защиты информации внутри компании, которые должны соответствовать действующим стандартам и федеральным законам.
В соответствии с Федеральным законом от 27 июля 2006г. № 152-ФЗ, оператор в рамках обработки персональных данных должен обеспечивать комплекс необходимых правовых, организационных и технических мер по обеспечению конфиденциальности персональных данных, что достигается путем определения угроз безопасности, оценки эффективности мероприятий по обеспечению безопасности, контроля за принимаемыми мерами по защите информации [8].
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление № 1119 содержит довольно подробную классификацию информационных систем персональных данных, угроз безопасности таких систем (п. 6), уровней защищенности информационных систем от указанных угроз
Приказ ФСТЭК России № 21 от 18.02.2013 определяет принципы классификации систем персональных данных. Согласно приказу ФСБ от 10.07.2014 № 378 определены четыре уровня защищенности персональных данных.
Каждый из присвоенных уровней защищенности предполагает применение соответствующих мер по обеспечению информационной безопасности.
В зависимости от соотношения типа информационной системы и характерных для нее угроз выделены четыре уровня защищенности персональных данных, необходимых для конкретной информационной системы.
Фрагмент для ознакомления
3
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Межсетевой экран «Рубикон-К». Описание настройки. [Электронный ресурс]. URL: https://www.rubicon.ru/upload/medialibrary/917/ Rubikon_Rukovodstvo_po_programmirovaniyu_proshivka_2526_2019.pdf (дата доступа: 08.02.2026)
2. Клименко И. С. Информационная безопасность и защита информации: модели и методы управления: монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178с.
3. Бондарев, В. В. Введение в информационную безопасность автоматизированных систем : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2018. - 250 с.
4. Внуков А. А. Защита информации: учебное пособие для вузов / А. А. Внуков. — 3-е изд., перераб. и доп. — Москва: Издательство Юрайт, 2024. — 161 с.
5. Примакин А. И., Саратов Д. Н., Синещук Ю. И. Техническая защита информации : учебное пособие /Примакин А. И., Саратов Д. Н., Синещук Ю. И. - Санкт-Петербург: Санкт-Петербургский университет МВД России, 2021. - 154 с.
6. Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления: монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178 с.
7. Воеводин В. А., Душкин А. В., Петухов А. Н., Хорев А. А. Программно-аппаратные средства защиты информации: учебное пособие / В. А. Воеводин, А. В. Душкин, А. Н. Петухов, А. А. Хорев. - Москва: МИЭТ, 2021. - 280 с.
8. Чекулаева Е. Н., Кубашева Е. С. Управление информационной безопасностью : учебное пособие / Е. Н. Чекулаева, Е. С. Кубашева. - Йошкар-Ола: Поволжский государственный технологический университет, 2020. - 153 с.
9. Лось А. Б. Криптографические методы защиты информации для изучающих компьютерную безопасность: учебник для вузов / А. Б. Лось, А. Ю. Нестеренко, М. И. Рожков. — 2-е изд., испр. — Москва: Издательство Юрайт, 2024. — 473 с.
10. Благодаров, А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.
11. Бондарев, В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.
12. Язов Ю. К., Соловьев С. В. Организация защиты информации в информационных системах от несанкционированного доступа : [монография] / Ю. К. Язов, С. В. Соловьев. - Воронеж: Кварта, 2018. - 588 с.
13. Марков А. С. Техническая защита информации: курс лекций: учебное пособие / Марков А.С. - Москва : Изд-во АИСНТ, 2020. – 233с.
14. Королев, Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с.
15. Михайлова, Е. М. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017. – 342 с.
16. Камалова Г. Г. Юридическая ответственность за нарушение конфиденциальности информации: монография / Камалова Гульфия Гафиятовна. - Саратов : Амирит, 2019. - 160 с.
17. Никифоров, С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 с
18. Белов, Е. Б. Организационно-правовое обеспечение информационной безопасности: учебник / Е.Б. Белов, В.Н. Пржегорлинский. - 2-е изд., испр. и доп. - Москва: Академия, 2020. – 332с.
19. Ревнивых, А. В. Информационная безопасность в организациях: учебное пособие / А. В. Ревнивых. - Новосибирск: НГУЭУ, 2018. - 83 с.
20. Щеглов А. Ю. Защита информации: основы теории: учебник для вузов / А. Ю. Щеглов, К. А. Щеглов. — Москва: Издательство Юрайт, 2022. — 309 с.
21. Зенков А. В. Информационная безопасность и защита информации: учебное пособие для вузов / А. В. Зенков. — Москва : Издательство Юрайт, 2022. — 104 с.
22. Бузов Г. А. Защита информации ограниченного доступа от утечки по техническим каналам / Г. А. Бузов. - Москва: Горячая линия - Телеком, 2022. - 585 с.
23. Васильева И. Н. Криптографические методы защиты информации: учебник и практикум для вузов / И. Н. Васильева. — Москва: Издательство Юрайт, 2022. — 349 с.
24. Мазин А. В. Техническая защита информации в информационных системах: учебное пособие / Мазин А. В. - Калуга: Манускрипт, 2019. - 109 с.
25. Казарин О. В. Программно-аппаратные средства защиты информации. Защита программного обеспечения : учебник и практикум для вузов / О. В. Казарин, А. С. Забабурин. — Москва : Издательство Юрайт, 2022. — 312 с.