г. Краснодар,
ул. Красная, 124
Без соотнесенных друг с другом и взаимодополняющих правил в этой сфере невозможно эффективное и достигающее поставленных целей обеспечение сохранности информационных потоков, поэтому единые стандарты являются производственной необходимостью. Любая компания, предоставляющая третьим лицам услуги по обеспечению информационной безопасности, будет оцениваться по существующим критериям качественности оказанной услуги.
Что значит защитить информацию? Это подразумевает обеспечить ее:
конфиденциальность (сохранность личной, коммерческой и иной охраняемой законом тайны между субъектами — носителями права доступа к ней);
целостность (предотвращение возможной порчи, утери части информации, ее искажения и несанкционированного видоизменения);
доступность (обеспечение беспрепятственного легализованного использования информации допущенными к ней субъектами);
аутентичность (обеспечение подлинности информационных данных, в том числе соответствия копий оригиналу, сохранения авторства и всех сопутствующих данных, прилагаемых к основному материалу).
Как видно из вышеизложенного, обеспечение информационной безопасности — это трудоемкая и многосложная работа, комплексная по своей сущности, которая охватывает несколько направлений, по которым должна провестись тщательная и кропотливая работа:
предоставление правового обеспечения мероприятий по ИБ;
предоставление и применение инструментов информационной безопасности, как цифровых, так и аналоговых;
обеспечение повышения уровня грамотности сотрудников в вопросах поддерживания ИБ;
продумывание комплекса организационно-распорядительных действий.
Оценка деятельности специалистов ИБ не может быть полностью выражена в числовом значении (хотя количество отраженных хакерских атак является ярким свидетельством грамотно предпринятых шагов). Отсутствие утечки данных, невозможность хакерских взломов и иных технических сбоев в программном обеспечении, а также осведомленность и профессионализм субъектов - носителей информационных ресурсов компании являются дополнительными качественными показателями, отражающими информационное благополучие фирмы.
Прежде чем предпринимать какие-либо действия по созданию безопасных условий передачи и обращения с информационными сведениями, необходимо удостовериться в их отсутствии или недостаточности.
Недостаточность предпринимаемых для сохранности конфиденциальных, финансово - операционных и корпоративных сведений проявляется именно в их несоответствии как российским, так и международным критериям. Российские стандарты выражаются в ГОСТах и ИСО, международные — в Iso и Common criteries for IT security.
Ответственной за разработку международных показателей информационной безопасности является Международная Организация по Стандартизации или сокращенно ISO. Данная межправительственная структура прорабатывает понятные и практически применимые правила и материалы рекомендательного характера касательно самых эффективных способов и типов оборудования которые могут максимально сохранить все наиважнейшие свойства информации, не допустить ее повреждения и использования ее в преступных целях.
Одним из самых востребованных инструментов для стандартизации является свод правил ISO 27000, разбивающийся на пятнадцать ключевых моментов. Данные наиболее распространенные критерии расширяют список обязательных качеств надлежащим образом защищенной информации и вводят такие признаки эффективно установленной информационной защиты как:
надежность информации (истинность предоставленных в ней сведений и фактических данных);
отказоустойчивость систем, на которых информация хранится;
идентифицируемость субъекта — носителя информации (должным образом разработанная процедура подтверждения личности индивида, запрашивающего доступ к информационным ресурсам).
Что еще содержится в рассматриваемой совокупности стандартов ISO 27000 ? Это:
определение понятийно-категориального аппарата сферы информационной безопасности;
подробные инструкции по методам управления системами информационной безопасности;
некоторые правила для проведения как внутрикорпоративного, так и стороннего аудита систем информационной безопасности;
схемы, по которым должно идти совершенствование систем информационной безопасности.
Российские стандарты находят свое правовое выражение в более чем тридцати ключевых положениях ГОСТов. Там есть как общие начала деятельности по информационной безопасности, так и специфические случаи, а так же моменты, имеющие наибольшее практическое значение. ГОСТы России содержат отсылочные нормы, которые приводят специалистов к нормам, закрепляемым стандартами ISO.
Такое нормативное единство очень полезно, так как приучает специалистов ИБ работать в едином ключе и на едином уровне профессионализма, защищая персональные данные физических лиц и корпоративные сведения компаний и государственных учреждений (оперирующих с информацией самого строгого уровня секретности — охраняемой федеральным законодательством государственной тайной»).
Правовое регулирование информационной безопасности, существующее в Европе, значительно более конкретизировано, нежели российские нормы. Их совокупное количество, применяемое в нашей правовой действительности, уступает европейскому.
Преимущественно российскими действующими нормами законодатель делает упор на сохранение различных видов информации от преступных посягательств на нее, которые могут нарушить ее аутентичность, целостность и упорядоченность, а также могут стать объектами преступных манипуляций.
Европейские системы защиты более специализируются на проработке вопросов аутентификации и определения субъектов, которым может быть доверен доступ к пользованию информационными ресурсами.
Различны также подходы к осуществлению проверочных и аудиторских мероприятий, следящих за состоянием систем безопасности информации юридических лиц.
Как бы то ни было, российское правовое поле вполне позволяет создать надежное защитное поле в информационной сфере, предоставляя для этого весь имеющийся нормативный инструментарий.
Предпринимательское дело в современных реалиях вынуждено переместить львиную долю коммуникационных операций в Интернет-пространство. В том числе взаимодействия с государственными структурами. Также вся финансовая сфера теперь имеет жесткую привязку к виртуальности: все начисления и переводы выполняются в онлайн-режиме посредством производства санкционированных опосредованных манипуляций со счетами. Информационная безопасность становится своевременной необходимостью, обеспечить которую значит обеспечить бесперебойную работу организации и осуществление ею эффективной уставной деятельности.
Антивирусные программы, протоколы операций с денежными счетами, ЭЦП, ключи доступа и многое другое являются теми инструментами, посредством которых информация ограждается от искажений, потери, порчи и несанкционированного использования.
Отдельное слово необходимо сказать о протоколах как об установленной последовательности действий, предпринимаемых системой для обеспечения сохранности данных. Одним из самых востребованных видов является SSL (Secure Socket Layer) — протокол, созданный американскими профессионалами. Краеугольным камнем защитного протокола является криптографический метод. Одной из сильных сторон Secure Socket Layer является проведение проверочных мероприятий прямо перед передачей информации. Данный протокол рекомендован к применению в нашей стране, но не является обязательным.
Касательно защиты банковских манипуляций со счетами специалисты рекомендуют протокол передачи данных SET (Security Electronic Transaction). Этот протокол является основой операционных манипуляций систем Visa и MasterCard.
Все применяемые в международном сообществе стандарты по информационной защите не являются строго обязательными на территории Российской Федерации, однако имеют доказанную годами эффективность, которая является тем убедительнее, чем больше возрастает мошенническая статистика манипулирования информацией в целом по стране.
Международные стандарты доказали свою целевую пригодность. Представляется разумным, что российские стандарты информационной безопасности должны дорасти до международных, что в целом повысит уровень защищенности как персональных, так и корпоративных/государственных сведений в Российской Федерации.
2018 © Центр сертификации и экспертизы Кубань-Тест
Наши специалисты свяжутся в Вами в ближайшее время.
