Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • Аудит информационной безопасности
  • Защита ИСПДн

Информационная безопасность

 

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать последнюю - национальном, отраслевом, корпоративном или персональном. Спектр интересов субъектов, связанных с использованием информационных систем, делится на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. В современных условиях системы информационной безопасности должны уметь противостоять разнообразным внешним и внутренним угрозам безопасности и атакам нарушителей, поддерживать конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность информации или средств ее обработки и представлять совокупность организационных мер защиты, технических, программных и программно-технических средств зашиты информации и средств контроля эффективности защиты информации.

Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" установлены правила в отношении порядка обработки и обеспечения конфиденциальности персональных данных (ФИО,дата и место рождения, адрес и др.), которые обрабатываются в организациях. Оператор при обработке персональных данных (ПДн) обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Обеспечение безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн) достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных (СЗПДн). СЗПДн включает в себя организационные меры, сертифицированные средства защиты информации, а также используемые в информационной системе информационные технологии.

В современном обществе не только информация о человеке представляет определенную ценность. Многие зарубежные государства, а также террористические и криминальные структуры интенсивно совершенствуют методы и способы использования информационных технологий и средств для деструктивных информационных воздействий на информационные ресурсы информационно - телекоммуникационных систем и сетей государственных и негосударственных организаций. Такое применение информационных технологий и средств придает им свойства так называемого информационного оружия. Для нанесения значительного ущерба интересам государства и общества информационное оружие может быть применено и в мирное время, особенно террористическими организациями. Нарушение функционирования критически важных информационно - телекоммуникационных систем и сетей (ключевых систем информационной инфраструктуры Российской Федерации) может привести к развитию чрезвычайных ситуаций, связанных с гибелью людей, экологическими катастрофами, нанесением крупного материальна финансового, экономического ущерба или крупномасштабными нарушениями жизнедеятельности городов и населенных пунктов и т.п. Поэтому создание системы защиты ключевых систем информационной инфраструктуры (КСИИ) является необходимой и первостепенной задачей.

Процесс защиты персональных данных или иных конфиденциальных сведений должен осуществляться в соответствии с требованиями ФСТЭК России (Федеральная служба по техническому и экспортному контролю) к технической защите конфиденциальной информации. Деятельность по ТЗКИ подлежит обязательному лицензированию – таково требование Закона. Получение лицензии ФСТЭК России – обязательно для законной работы предприятия, чья деятельность направлена на защиту информации, представляющей гостайну (защита государственной тайны) или конфиденциальные сведения (коммерческая тайна), а для проведения работ, связанных с созданием, техническим обслуживанием и распространением средств криптографической защиты конфиденциальной информации обязательно получение лицензии ФСБ России.

Если система защиты информации уже создана и существует, то необходимо проводить аудит информационной безопасности. Он является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

Главной специализацией компании «Эйснет» является комплексный подход к проектам защиты конфиденциальной информации от внутренних и внешних угроз. Наши специалисты обладают значительным опытом реализации комплексных проектов на промышленных предприятиях, в государственных учреждениях и объектах энергетики России, а также опытом оказания услуг предприятиям и организациям ряда других отраслей. Главной задачей компании является выработка сбалансированных решений в области информационной безопасности и достижение максимального эффекта.

Обладая лицензиями Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) России, компания «Эйснет» осуществляет мероприятия и оказывает услуги в области технической защиты конфиденциальной информации, а также в проектировании объектов в защищенном исполнении.