Законодательная, нормативно-правовая и научная база

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

· Акты федерального законодательства:

o Международные договоры РФ;

o Конституция РФ;

o Законы федерального уровня (включая федеральные конституционные законы, кодексы);

o Указы Президента РФ;

o Постановления правительства РФ;

o Нормативные правовые акты федеральных министерств и ведомств;

o Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

· Методические документы государственных органов России:

o Доктрина информационной безопасности РФ;

o Руководящие документы ФСТЭК (Гостехкомиссии России);

o Приказы ФСБ;

· Стандарты информационной безопасности, из которых выделяют:

o Международные стандарты;

o Государственные (национальные) стандарты РФ;

o Рекомендации по стандартизации;

o Методические указания.

Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

· Комитет Государственной думы по безопасности;

· Совет безопасности России;

· Федеральная служба по техническому и экспортному контролю (ФСТЭК);

· Федеральная служба безопасности Российской Федерации (ФСБ России);

· Министерство внутренних дел Российской Федерации (МВД России);

· Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия:

· Служба экономической безопасности;

· Служба безопасности персонала;

· Отдел кадров;

· Служба информационной безопасности.

Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Программно-технические способы и средства обеспечения информационной безопасности

Предлагается следующая классификация средств защиты информации:

Средства защиты от несанкционированного доступа (НСД)

· Модели управления доступом (способы разграничения доступа к информации)

ü Избирательное управление доступом (субъект с определенным правом доступа может передать это право любому другому субъекту);

ü Мандатное управление доступом (при официальном разрешении (допуске) субъекта к информации);

· Системы аутентификации:

ü Пароль (секретное слово или набор символов, предназначенный для подтверждения личности или полномочий);

ü Сертификат;

ü Биометрия (предполагает систему распознавания людей по одной или более физических или поведенческих черт. Биометрические данные можно разделить на два основных класса:

Ø Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.

Ø Поведенческие связаны с поведением человека. Например, походка и голос);

· Средства авторизации (процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий);

· Межсетевые экраны (комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами);

· Антивирусные средства;

· Журналирование (так же называется Аудит; процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл)).