Термин компьютерная безопасность является более широким чем термин информационная безопасность

Обновлено: 07.07.2024

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

• Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
• Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Мой комментарий: Меня эта заметка заинтересовала во многом потому, что я, с одной стороны, много перевожу и регулярно сталкиваюсь с проблемой подбора российских терминов, которые бы точно соответствовали англоязычным; а с другой - уже много лет участвую как в российских, так и международных терминологических дискуссиях и знаю их во всём их «блеске и нищете».

Некоторые люди используют термины «ИТ-безопасность» (IT security), «информационная безопасность» (information security) и «кибербезопасность» (cybersecurity) взаимозаменяемо, как синонимы. Но мне также приходилось работать с коллегами, которые использовали каждый из этих терминов определенным образом. Например, некоторые скажут, что понятие ИТ-безопасности является более широким и включает физическую безопасность, информационную безопасность и кибербезопасность, как показано на диаграмме 1 ниже.

Но в чём различие между этими терминами, и почему это важно? Если оно вообще имеет значение… Продолжайте читать, чтобы узнать.

Что такое ИТ-безопасность?

• Физическая безопасность: Здесь основное внимание уделяется обеспечению безопасности людей и инфраструктуры. В рамках этой категории Вы сосредоточиваете внимание на защите зданий, серверных комнат и кабельных шкафов. Например, Вы обеспечиваете правильное освещение зданий и парковок. Физическая безопасность также включает в себя понимание того, как использовать камеры наблюдения, а также охранников и даже сторожевых собак.
• Информационная безопасность. Она сфокусирована на обеспечение безопасности всех данных и получаемой на их основе информации. Информационная безопасность охватывает как данные на физических носителях (например, бумага, компьютеры), а также электронную информацию. В данной категории большое внимание уделяется резервным копиям данных, а также на методах мониторинга, позволяющим убедиться, что никто не вмешивался в данные и не отфильтровывал информацию. Здесь меньше внимания уделяется фактически используемому оборудованию и вычислительным ресурсам, поскольку акцент делается на безопасности самих данных. - И да, я различаю «данные» и «информацию»: данные – это сырой необработанный материал; информация извлекается из данных после достаточно трудоемкой очистки, обработки и преобразований.
• Кибербезопасность фокусирует внимание на защите электронных активов, включая ресурсы Интернета, локальных и глобальных сетей, которые используются для хранения и передачи этой информации. Кибербезопасность обращает внимание на том, как злоумышленники используют эти ресурсы для атаки на информацию. Те, кто интересуется кибербезопасностью, заинтересованы обеспечить. чтобы хакеры не могли использовать электронные средства для получения несанкционированного доступа к данным и информации.
  

Итак, что лучше? Кто прав?

На самом деле какого-то окончательного решения нет, но когда ИТ-специалисты собираются создать план безопасности, они, как правило, они склонны разделять категории физической, информационной и кибербезопасности. Порой они, по-видимому, даже не осознают этого.

Имеет ли терминология значение?

Часто эти вопросы возникают, когда ИТ-специалисты обсуждают, какая программа сертификации или обучения лучше всего подходит для их роли в сфере безопасности. Ещё одна типичная ситуация - когда люди пытаются соответствующим образом организовать свои команды по безопасности и их деятельность.

Я считаю, что если только Вы не реализуете план безопасности каким-то очень специфическим образом, тонкости терминологии на самом деле не имеют значения. Обеспечение безопасности требует углубления в детали и последовательного использования Ваших терминов. Поэтому, если Вы сосредотачиваетесь на деталях и начинаете применять меры и средства обеспечения безопасности в соответствии с разумным, основанным на политике подходом, я не думаю, что Вы столкнётесь с проблемами из-за своей терминологии, - пока она используется Вами последовательно.

Я обнаружил, что компании очень заинтересованы в том, чтобы обеспечить применение надлежащих меры безопасности, включая меры и средства детектирования (например, систему обнаружения вторжений или систему менеджмента информации и событий безопасности - security information and event management, SIEM), компенсирующие (например, разделение обязанностей) и корректирующие меры (например, блокировка IP-адресов).

Что касается различий между понятиями «ИТ-безопасность» и «кибербезопасность», наличие у Вас есть правильного фундамента знаний, позволяющего Вам лучше направлять деятельность красной и синей команд, куда важнее используемых Вами терминов.

В данной статье понятие «информационная безопасность» рассматривается в следующих значениях:

1. состояние (качество) определенного объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.) [1] ;
2. деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации») [2] .

Содержание

Сущность понятия «информационная безопасность»

Содержание понятия

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Информационная безопасность государства [3] — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие [4] : информационно-техническую (искуственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

Стандартизированные определения

Безопасность информации (данных) [1] — состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

Информационная безопасность [2] — защита конфиденциальности, целостности и доступности информации.
Примечания.

1. Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.
   
2. Целостность: обеспечение достоверности и полноты информации и методов ее обработки.
   
3. Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security ) [5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Безопасность информации (данных) (англ. information (data) security ) [6] — состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.
Примечание. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

Безопасность информации (при применении информационных технологий) (англ. IT security ) [6] — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы [6] — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

(англ.confidentiality ) [6] — состояние информации , при котором доступ к ней осуществляют только субъекты, имеющие на него право; (англ.integrity ) [7] — избежание несанкционированной модификации информации; (англ.availability ) [8] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость (англ.non-repudiation ) [8] — невозможность отказа от авторства;
• подотчётность (англ.accountability ) [9] — обеспечение идентификации субъекта доступа и регистрации его действий; (англ.reliability ) [5] — свойство соответствия предусмотренному поведению или результату; или подлинность (англ.authenticity ) [5] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Рекомендации по использованию терминов

В Государственном стандарте РФ [10] приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:
— «защитный шлем» вместо «безопасный шлем»;
— «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо агрумента «исходя из требований информационной безопасности».

Объем (реализация) понятия «информационная безопасность»

Системный подход [11] к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо [2] :

• выявить требования защиты информации, специфические для данного объекта защиты;
• учесть требования национального и международного Законодательства;
• использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
• определить подразделения, ответственные за реализацию и поддержку СОИБ;
• распределить между подразделениями области ответственности в осуществлении требований СОИБ;
• на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
• реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
• реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
• используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся [12]

• Акты федерального законодательства:
  • Международные договоры РФ;
  • Конституция РФ;
  • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
  • Указы Президента РФ;
  • Постановления правительства РФ;
  • Нормативные правовые акты федеральных министерств и ведомств;
  • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т.д.

  Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

  К нормативно-методическим документам можно отнести

  • Методические документы государственных органов России:
    • Доктрина информационной безопасности РФ;
    • Руководящие документы Гостехкомиссии;
    • Руководящие документы ФСТЭК;
    • Приказы ФСБ;
    , из которых выделяют:
    • Международные стандарты;
    • Государственные (национальные) стандарты РФ;
    • Рекомендации по стандартизации;
    • Методические указания.

    Органы (подразделения), обеспечивающие информационную безопасность

    В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

    Государственные органы РФ, контролирующие деятельность в области защиты информации:

    Службы, организующие защиту информации на уровне предприятия

    ;
    • Служба безопасности персонала (Режимный отдел);
    • Отдел кадров; .

    Организационно-технические и режимные меры и методы

    Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

    Политика безопасности (информации в организации) (англ. Organizational security policy ) [1] - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

    Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy ) [5] - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

    Для построения Политики информационной безопасности рекомендуется [11] отдельно рассматривать следующие направления защиты информационной системы:

    • Защита объектов информационной системы;
    • Защита процессов, процедур и программ обработки информации;
    • Защита каналов связи;
    • Подавление побочных электромагнитных излучений;
    • Управление системой защиты.

    При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

    1. Определение информационных и технических ресурсов, подлежащих защите;
    2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
    3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
    4. Определение требований к системе защиты;
    5. Осуществление выбора средств защиты информации и их характеристик;
    6. Внедрение и организация использования выбранных мер, способов и средств защиты;
    7. Осуществление контроля целостности и управление системой защиты.

    Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

    Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, ее стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться "Концепция ИБ", "Регламент управления ИБ", "Политика ИБ", "Технический стандарт ИБ" и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутренего использования. Согласно ГОСТ Р ИСО/МЭК 17799—2005 [2] , на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: "Концепция обеспечения ИБ", "Правила допустимого использования ресурсов информационной системы", "План обеспечения непрерывности бизнеса".

    К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, огранизацию информационных и бизнесс-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т.п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

    В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

    Программно-технические способы и средства обеспечения информационной безопасности

    В литературе [11] предлагается следующая классификация средств защиты информации.

    • Средства защиты от несанкционированного доступа (НСД):
      ; ; ; ; (так же называется Аудит).
      • Системы анализа и моделирования информационных потоков (CASE-системы).
      • Системы мониторинга сетей:
        (IDS/IPS).
        • Анализаторы протоколов.
        • Антивирусные средства.
        • Межсетевые экраны.
        • Криптографические средства:
          ; .
          .
          • Системы бесперебойного питания:
            ;
            • Резервирование нагрузки; .
            • Системы аутентификации:
              ; ; .
              • Средства предотвращения взлома корпусов и краж оборудования.
              • Средства контроля доступа в помещения.
              • Инструментальные средства анализа систем защиты:
                .

                Исторические аспекты возникновения и развития информационной безопасности

                Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов [4] :

                Дополнительная информация

                Примечания (источники)

                Литература

                См. также

                Ссылки

                Cnews. Европейский институт стандартов по электросвязи. Алексей Лукацкий.

                Профильные периодические издания

                • Безопасность информационных технологий (Выпускается МИФИ. Является рецензируемым научным журналом, включенным в список ВАК).
                • Вопросы защиты информации.
                • Проблемы информационной безопасности. Компьютерные системы (Является рецензируемым научным журналом, включенным в список ВАК). . . . . .

                Wikimedia Foundation . 2010 .

                Полезное

                Смотреть что такое "Компьютерная безопасность" в других словарях:

                Компьютерная преступность — (преступление с использованием компьютера) представляет собой любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку данных или передачу данных. При этом, компьютерная информация является предметом или … Википедия

                Информационная безопасность — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей … Википедия

                Точками приложения процесса защиты информации кинформационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи(коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

                В данной статье понятие «информационная безопасность» рассматривается в следующих значениях:
                

                • состояние (качество) определенного объекта (в качестве объекта может выступать информация, данные , ресурсы автоматизированной системы , автоматизированная система информационная система предприятия, общества, государства и т.п.) ;
                • деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин « защита информации ») .

                
                

                Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

                Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

                • Конфиденциальность:обеспечение доступа к информации только авторизованным пользователям.
                • Целостность:обеспечение достоверности и полноты информации и методов ее обработки.
                • Доступность:обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

                Информационная безопасность ( англ. in formation security) — все аспекты, связанные с определением,достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости ,подотчетности, аутентичности и достоверности информации или средств ее обработки.

                Безопасность информации (данных) (англ. information (data) security) — состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.
                Безопасность информации (данных) определяется отсутствием недопустимого риска,связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы,используемые при применении информационной технологии.

                Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

                Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность,доступность, целостность, подотчетность и подлинность ее ресурсов.

                
                

                • конфиденциальность ( англ. confidentiality) — состояние информации , при котором доступ к ней осуществляют только субъекты, имеющие на него право;
                • целостность ( англ. integrity) — избежание несанкционированной модификации информации;
                • доступность ( англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
                • неотказуемость или апеллируемость ( англ. non-repudiation)— невозможность отказа от авторства;
                • подотчётность ( англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;
                • достоверность ( англ. reliability) — свойство соответствия предусмотренному поведению или результату;
                • аутентичность или подлинность ( англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

                Рекомендации по использованию терминов

                В Государственном стандарте РФ приводится следующая рекомендация использования терминов« безопасность » и «безопасный»:

                
                Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду,где возможно, эти слова заменять признаками предмета, например:
                — «защитный шлем» вместо «безопасный шлем»;
                — «не скользкое покрытие для пола» вместо «безопасное покрытие».

                Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

                
                Объем (реализация) понятия «информационная безопасность»

                • Законодательная, нормативно-правовая и научная база.
                • Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
                • Организационно-технические и режимные меры и методы (Политика информационной безопасности).
                • Программно-технические способы и средства обеспечения информационной безопасности.
                1. выявить требования защиты информации, специфические для данного объекта защиты;
                2. учесть требования национального и международного Законодательства;
                3. использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
                4. определить подразделения, ответственные за реализацию и поддержку СОИБ;
                5. распределить между подразделениями области ответственности в осуществлении требований СОИБ;
                6. на базе управления рисками информационной безопасности определить общие положения, технические иорганизационные требования, составляющие Политику информационной безопасности объекта защиты;
                7. реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
                8. реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
                9. используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотри корректировку СОИБ и СМИБ.

                
                Нормативные документы в области информационной безопасности

                • Международные договоры РФ;
                • Конституция РФ;
                • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
                • Указы Президента РФ;
                • Постановления правительства РФ;
                • Нормативные правовые акты федеральных министерств и ведомств;
                • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т.д.
                • Доктрина информационной безопасности РФ;
                • Руководящие документы Гостехкомиссии;
                • Руководящие документы ФСТЭК;
                • Приказы ФСБ;
                • Международные стандарты;
                • Государственные (национальные) стандарты РФ;
                • Рекомендации по стандартизации;
                • Методические указания.

                
                

                Органы (подразделения), обеспечивающие информационную безопасность

                В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

                • Комитет Государственной думы по безопасности ;
                • Совет безопасности России ;
                • Федеральная служба по техническому и экспортному контролю (ФСТЭК);
                • Федеральная служба безопасности Российской Федерации (ФСБ России);
                • Министерство внутренних дел Российской Федерации (МВД России);
                • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
                • Служба экономической безопасности ;
                • Служба безопасности персонала (Режимный отдел);
                • Отдел кадров;
                • Служба информационной безопасности .
                • Защита объектов информационно й системы;
                • Защита процессов, процедур и программ обработки информации ;
                • Защита каналов связи;
                • Подавление побочных электромагнитных излучений;
                • Управление системой защиты.
                1. Определение информационных и технических ресурсов, подлежащих защите;
                2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
                3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
                4. Определение требований к системе защиты;
                5. Осуществление выбора средств защиты информации и их характеристик;
                6. Внедрение и организация использования выбранных мер, способов и средств защиты;
                7. Осуществление контроля целостности и управление системой защиты.

                
                

                
                Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
                
                Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, ее стремление соответствовать государственным,международным требованиям и стандартам в этой области. Подобные документы могут называться "Концепция ИБ", "Регламент управления ИБ", "Политика ИБ", "Технический стандарт ИБ" и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК17799—2005 , на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы:
                • "Концепция обеспечения ИБ"
                • "Правила допустимого использования ресурсов информационной системы"
                • "План обеспечения непрерывности бизнеса"

                К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности .Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты,Контентная фильтрация и т.п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

                В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

                Читайте также:

                  
                • Как ввести команду в майнкрафт на планшете
                  
                • Убрать скобки в тотал коммандер
                  
                • Где отремонтировать планшет в саратове
                  
                • Как зарядить мп3 плеер через usb
                  
                • Компьютерная техника что к ней относится по закону