Правовые, организационные и технические меры защиты информации


Защита информации - это комплекс правовых, организационных и технических мер. Давайте рассмотрим каждую в отдельности.

  1. Правовые меры – это нормативка – то есть законы России и международные, но только те, которые ратифицированы Россией.

    Законы устанавливают нормы в использовании информации и определяют ответственность за нарушение этих норм.

    Что же конкретно прописывают законы?

    1. Кто чем занимается в плане защиты информации на каждом уровне государственной власти: центр – субъект РФ – территория.
    2. Правила, по которым происходит работа с информацией.
    3. Ответственность за нарушения при работе с информацией.
  2. Пример правовой меры - федеральный закон 152-ФЗ «О персональных данных»

    Таким образом, законодательство дает нам своего рода основу, "правила игры" для применения организационных и технических мер.

  3. Организационные меры – по сути та же нормативка, правила, но уже внутренние, то есть в масштабах одной организации. Понятно, что если имеется вертикально или горизонтально организованный холдинг или государственная структура, территориальные органы которой находятся во всех регионах страны, то и организационные меры по защите информации в таких структурах скорее всего будут идентичными.
  4. Естественно, это правила не должны идти вразрез с правовыми мерами.

    Организационные меры описывают правила защиты информации, то есть отвечают а вопрос «как защищать».

  5. Технические меры защиты строятся на основе технических средств, то есть отвечают на вопрос «чем защищать», если выработаны правила защиты.

Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта угроз с системами обработки информации. К физическим средствам относятся также системы контроля и управления доступом (СКУД), системы видеонаблюдения, видеорегистраторы, датчики, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратные средства защиты информации – это любые устройства, которые либо затрудняют несанкционированный съем информации либо помогают обнаружить потенциальные каналы утечки информации.

Это самый узкоспециализированный и экзотический класс средств защиты информации. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и другие. Более подробно про аппаратные средства защиты можно будет почитать тут и тут.

Основная сфера применения – защита секретной и совершенно секретной информации: армия, спецслужбы, высшие государственные органы.

К сфере гражданского применения из этой группы относятся разве что аппаратные или программно-аппаратные средства для идентификации пользователей (по аппаратным идентификаторам, смарт-картам, отпечатку пальца и пр. )

Математические (криптографические) средства – это кодирование и шифрование информации для безопасной обработки, хранения и передачи ее по корпоративной или глобальной сети.

Сюда входят программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Программные средства защиты информации – это программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности. Это, пожалуй, самая многочисленная и распространенная группа средств защиты информации.

К ним относят: