© Владимир Алексеевич Челухин, 2020

ISBN 978-5-4498-1598-9

Создано в интеллектуальной издательской системе Ridero

Информационная безопасность предприятия

Челухин Владимир Алексеевич, родился 21.10. 1948 г. в городе Комсомольске-на-Амуре. Доктор технических наук, профессор кафедры информационной безопасности автоматизированных систем государственного технического университета (КнАГУ) г. Комсомольска-на-Амуре.

Введение

Проблема информационной безопасности вызывает в нашей стране и во всем мире все возрастающий интерес. Причиной обострения этой проблемы является широкомасштабное использование автоматизированных средств накопления, хранения, обработки и передачи информации, особенно развитие компьютерных сетей и интернета. Сегодня в сфере виртуального пространства интернета обращаются огромные суммы денег, что в свою очередь привлекает различного типа мошенников и преступников. При этом злоумышленник может находиться за тысячи километров от атакуемого объекта, и нападению может подвергаться не только конкретный компьютер, но и технологический процесс, сетевые устройства организации или предприятия, информация, передающаяся по каналам связи.

На сегодня информационная составляющая бизнеса, экономики и общества все возрастает. Завершается эпоха индустриального развития и мир последовательно переходит от эпохи индустриального развития к информационной эпохе. Это в свою очередь усиливает ценность и значение информации, и требует все большего внимания к её защите.

Именно поэтому в последнее время появились такие категории, как «информационная политика», «информационная безопасность», «информационная война» и целый ряд других новых понятий, в той или иной мере связанных с информацией.

Сегодня современные методы и решения дают возможность обеспечить высокий уровень информационной безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными – в крупных организациях затраты на защиту информационных систем иногда достигают 20- 30% ИТ-бюджета.

Ко всему прочему, сегодня значительно усилился законодательный уровень защиты информации, в большинстве случаев обязывающий предприятия заниматься данной проблемой. Принятые законы предусматривают не только обязанность владельцев предприятий и бюджетных организаций применять меры защиты информации, но и ответственность за их не исполнение как в виде штрафов, так и административной ответственности.

Предприниматель, бизнесмен, владелец предприятия зачастую пока еще слабо знаком со всей серьезностью данных требований и последствий их не выполнения, особенно те, кто только начинает или разворачивает свой бизнес. Поэтому появилась необходимость сжато познакомить их с существующим современным положением дел в области информационной безопасности предприятия, дабы им не иметь неприятностей в виде штрафов от ФСБ, Гостехнадзора и других контрольных организаций в области информационной безопасности..

Основные понятия информационной безопасности

Информационная безопасность предприятия – это состояние её информационной структуры, при которой ей не может быть нанесен существенный ущерб путем воздействия на её информационную сферу. Другими словами такой ущерб, пренебречь которым предприятие уже не может или не должно. Реализуется через регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией.

Понятие «информационная безопасность» порой трактуется по разному. В частности в Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» определяется как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе «Об информации, информационных технологиях и о защите информации» информационная безопасность определяется так же – как состояние защищенности информационной среды.

Более конкретно информационная безопасность определяется, как защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Здесь неприемлемый ущерб – ущерб, которым нельзя пренебречь.

Однако, в последнее время сформировалось более краткое и точное определение безопасности информации – это состояние, при котором обеспечены её конфиденциальность, доступность и целостность.

Конфиденциальность (секретность): свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

Целостность: неизменность информации в процессе её передачи или хранения.

Доступность: свойство информационных ресурсов, в том числе информации определяющее возможность их получения и использования по требованию уполномоченных лиц.

Все меры и способы по реализации и защите информационной безопасности можно разделить на несколько уровней:

– Законодательные меры информационной безопасности.

– Организационные меры информационной безопасности.

– Технические способы информационной безопасности.

– Программные способы информационной безопасности.

К законодательным мерам информационной безопасности относятся все законы, а также и другие нормативно-технически, нормативно-методические документы по защите информации.

Различают:

– Законы РФ;

– Доктрины Российской федерации в области защиты;

– Нормативно-методические документы по защите информации;

– Документы уполномоченных федеральных органов;

– Национальные стандарты в области защиты информации;

– Международные стандарты в области защиты информации.

Основные законы РФ в области информационной безопасности, касающиеся напрямую любое предприятие, будут следующие.

– Конституция Российской Федерации (1993 г.)

– Закон РФ «О безопасности» от 05.03.1992г. №2446—1

– ФЗ РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. №149-ФЗ

– ФЗ РФ «О коммерческой тайне» от 29 июля 2004 г. N 98-ФЗ

– ФЗ РФ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ

– ФЗ РФ «Об электронной цифровой подписи» от 10 января 2002 г. N 1-ФЗ

– ФЗ РФ «О правовой охране программ для ЭВМ и баз данных» 23 сентября 1992 г. N 3523—1

– 187 – ФЗ О безопасности критической информационной инфраструктуры от 26 июля 2017.

Правовые акты Президента РФ

– Указ «Об основах государственной политики в сфере информатизации» N 170 от 20.01.94г.

– УП РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. №188

– Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008г. №687.

Нормативно-методические документы по защите информации

– Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

– Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Документы уполномоченных федеральных органов

Приказ ФСТЭК №58 от 5.02.2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Перечень нормативных документов, определяющих требования по защите персональных данных при их обработке в информационных системах

– Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.)

– Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. (Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.)

– Инструкция об организации и обеспечении хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Приложение к Приказу ФАПСИ от 13.06.2001г. №152)