О нас
Наши проекты
Партнеры
Благодарности
Информационная безопасность - не роскошь, а необходимость
Главная >>    Информационная безопасность - не роскошь, а необходимость   

Информационная безопасность - не роскошь, а необходимость

Конкуренция - это прежде всего борьба идей, технологий, качества... И поэтому очень важно не допустить утечки информации. Но как обеспечить безопасность информации в наше технологически продвинутое время?

 

Об этом нам рассказал руководитель  удостоверяющего центра ООО «Кредо-С» Николай Сеничев:

 

- Считается, что безопасность - это отсутствие опасностей. Но ясно, что абсолютной безопасности достичь нельзя. Зато значительно снизить риски вполне реально. Есть определенные (постоянные) и меняющиеся угрозы. Их следует отслеживать и в соответствии с ситуацией строить системные защиты. Защита информации сегодня необходима не только предприятиям с различной формой собственности, но и частным лицам, то есть нам с вами. Думаю, вряд ли кто-либо из нас хочет, чтобы его личная информация (доход, религиозные взгляды, медицинский диагноз и проч.) стала достоянием общественности. Попав в нечистоплотные руки, такая информация может быть использована как в корыстных целях, так и в целях дискредитации того  человека, кому она принадлежит.

 

А если мы говорим о крупных компаниях или государственных органах, то тут все куда серьезнее. Нетрудно, например, представить, что повлечет за собой разглашение государственной тайны. Коммерческая же информация важна, прежде всего, потому, что представляет собой вполне определенную ценность, которую можно выразить в денежной форме. Если такая информация достанется конкурентам, то компания может потерять огромные деньги или репутацию, что может быть еще серьезнее.

 

В период глобального кризиса существенно возрастает риск потери конфиденциальной и секретной информации. Важность вопросов защиты информации осознается сейчас на самом высоком уровне. Так, Президент РФ Дмитрий Медведев в Петрозаводске, на заседании президиума Госсовета, посвященного реализации стратегии развития информационного общества в Российской Федерации, заявил: «Всем без исключения пользователям должен быть обеспечен безопасный режим работы и безусловное сохранение государственной, коммерческой и личной тайны».

 

- Какую информацию необходимо защищать?

- Законодательство выделяет три вида информации: государственная тайна, конфиденциальная информация и информация общего пользования. Первые два вида информации подлежат защите. Сегодня мы будем больше говорить о конфиденциальной информации. К ней относятся служебная, коммерческая, врачебная и прочие тайны, а также персональные данные, которые сейчас выделяют в отдельный подвид защищаемой информации.

 

Защита персональных данных - это основа неприкосновенности частной жизни как составляющей прав и свобод человека. Этим вопросам уделяется большое внимание в цивилизованном мире. Россия стремиться интегрироваться в мировое сообщество, и именно поэтому защита персональных данных сейчас очень актуальна. Недаром в последние годы принят ряд законов, защищающих информацию.

 

- Какими нормативно-правовыми актами рекомендуете руководствоваться?

- Это прежде всего Федеральный закон от 27 июля 2006 года № 149-Ф3 «Об информации, информационных технологиях и защите информации», а также:

Федеральный закон от 21 июля 1993 года №  5485-1 «О государственной тайне»

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

Федеральный закон от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи».

 

- И как определить уровень угроз и методы необходимой защиты?

- Нужно определить, от чего или от кого мы защищаемся, то есть разработать модели угроз и нарушителя. Потом необходимо спроектировать систему защиты информации согласно нормативным документам ФСТЭК РФ и государственным стандартам, включая разработку организационных документов и выбор технических средств защиты.

 

После этапа проектирования идет этап внедрения. На данном этапе происходит непосредственное построение системы защиты информации - оборудование помещения, установка и настройка средств защиты информации, инструктаж персонала и прочее. После этапа внедрения может следовать этап аттестации.

 

- Непросто однако...

- А как же!

Это целая наука, азы которой в определении целесообразности тех или иных мероприятий по защите. То есть, если вы, например, возводите вокруг дома забор, то вряд ли рассчитываете, на то, что он защитит вас от атаки танка. У ограждения - иные цели, а возможность появления танка ничтожно мала.

 

Нужно явственно представить ущерб, который может нести та или иная угроза. Если возможный ущерб меньше стоимости, в которую могут обойтись мероприятия по защите, то такая защита нецелесообразна.

 

Также следует учитывать, что помимо построения собственно системы защиты информации, принадлежащей предприятию, может возникнуть необходимость защитить канал передачи данных, то есть наладить безопасный обмен информацией между подразделениями компании, ее партнерами и проч. В таком случае следует подумать о внедрении средств электронной цифровой подписи (ЭЦП), либо создании защищенного канала связи.

 

- Что такое электронная цифровая подпись? Выражение на слуху, но мало кто может объяснить, что это такое?

- Это аналог собственноручной подписи (и печати), который при определенных условиях (они оговорены в Федеральном законе) имеет ту же юридическую силу. Естественно, с помощью ЭЦП подписываются только электронные документы. Подписание документа ЭЦП позволяет защитить данный электронный документ от подделки, однозначно определить владельца подписи, а также установить отсутствие искажения информации в электронном документе. Все это в совокупности позволяет организовать юридически значимый документооборот без бумажной волокиты! Это очень удобно. Представьте, для того, чтобы согласовать документ, не нужно бегать по разным кабинетам. Все бумаги  - в компьютере. Или, например, чтобы подписать договор, не требуется пересылать его обычной почтой или с помощью курьера.

 

- Действительно, это очень удобно. А каковы, на ваш взгляд, сегодня основные источники угроз информационной безопасности?

- Несмотря на бурное развитие технологий, такой угрозой были и остаются люди, то есть те физические лица, которые непосредственно работают с секретной информацией. Тем не менее, и эту угрозу можно значительно минимизировать, используя как организационные, так и технические средства защиты информации. Другой важной угрозой является проникновение  вредоносного программного обеспечения из всемирной сети Интернет. Несмотря на развитие антивирусных систем, современные программы-злоумышленники становятся изощреннее, и защищаться от них становится все сложнее.

 

- Что вы можете предложить в области информационной безопасности?

- Практически весь спектр услуг, начиная от предпроэктного обследования информационной системы, и заканчивая внедрением системы защиты информации. Вот примерный перечень:

1. Обследование информационных систем с целью выявления уязвимостей.

2. Защита сетевого периметра в целях устранения проникновений из глобальной сети Интернет.

3. Защита от несанкционированного доступа к конфиденциальной информации (персональным данным).

 4. Предотвращение утечки конфиденциальной информации (персональных данных) за пределы предприятия.

5. Внедрение средств электронно-цифровой подписи для создания юридически значимого безопасного электронного документооборота.

6. Разработка организационной документации в целях обеспечения информационной безопасности, в том числе политики безопасности, инструкций, перечней, журналов и проч.

7. Создание защищенных каналов связи.

 

- Что ж, будем защищаться!

 


Copyright (c) 2017 "Кредо-С"
Создание сайтов в Туле - WebGK.ru
г. Тула, ул. Демонстрации, 27
Факс: (4872) 71-71-74
e-mail: uc@credos.ru
 
(4872) 71-71-74
(495) 225-60-59