Программно-технические способы и средства обеспечения информационной безопасности

§ Средства защиты от несанкционированного доступа (НСД):

§ Системы мониторинга сетей:

§ Анализаторы протоколов.

§ Антивирусные средства.

§ Межсетевые экраны.

§ Криптографические средства:

§ Системы резервного копирования.

§ Системы бесперебойного питания:

§ Системы аутентификации:

§ Средства предотвращения взлома корпусов и краж оборудования.

§ Средства контроля доступа в помещения.

§ Инструментальные средства анализа систем защиты

Организационная защита обеспечивает:

§ организацию охраны, режима, работу с кадрами, с документами;

§ использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

§ организацию режима и охраны

§ организацию работы с сотрудниками

§ организацию работы с документами и документированной информацией

§ организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

§ организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

§ организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

7. ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.

Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

- наличие документа, описывающего политику информационной безопасности;

- распределение обязанностей по обеспечению информационной безопасности;

- обучение вопросам информационной безопасности;

- информирование об инцидентах, связанных с информационной безопасностью;

- управление непрерывностью бизнеса.

Перечисленные мероприятия применимы для большинства организаций и информацион-ных сред. Следует отметить, что, хотя все приведенные в настоящем стандарте меро-приятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения ме-роприятий по обеспечению информационной безопасности, он не заменяет выбор меро-приятий по управлению информационной безопасностью, основанный на оценке рисков.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

Мероприятия по управлению в области информационной безопасности обойдутся значи-тельно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

Как определить требования к информационной безопасности

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявле-ние угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных органи-зацией в отношении обработки информации.

Область применения

Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку ре-шений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.

8. Обеспечение информационной безопасности организаций банковской системы РФ. Стандарт банка России СТО БР ИББС-1.0-2006: назначение, область действия и механизмы защиты информации.

Банковская система (БС) РФ включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БС РФ, и т.д.

Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликви-дации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кре-дитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки рисков и принятия мер, необходимых для управления этими рисками.

Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы стандартов, в целом составляющих комплекс стандартов по обеспечению ИБ организаций БС РФ.

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

- повышение доверия к БС РФ;

- повышение стабильности функционирования организаций БС РФ и на этой основе - ста-бильности функционирования БС РФ в целом;

- достижение адекватности мер по защите от реальных угроз ИБ;

- предотвращение и (или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

- установление единых требований по обеспечению ИБ организаций БС РФ;

- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организа-ций БС РФ.

ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий стандарт распространяется на организации банковской системы Российской Федерации и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних норма-тивных и методических документах организаций БС РФ, а также в договорах.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законо-дательством РФ, нормативным правовым актом Банка России или условиями договора.

Настоящий стандарт может быть введен в действие организаций БС РФ в качестве обя-зательного к исполнению в случае, если такая необходимость существует.

9. Основные механизмы защиты информации (стандарт ГОСТ ИСО/МЭК 17799).

Информационная безопасность - механизм защиты, обеспечивающий:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

10. Конфиденциальность информации и механизмы ее обеспечения.

Служба конфиденциальности обеспечивает секретность информации. Правильно сконфигурированная, эта служба открывает доступ к информации только аутентифицированным пользователям. Ее надежная работа зависит от службы обеспечения идентификации и однозначного определения подлинности лиц.