Законодательная, нормативно-правовая и научная база
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
· Акты федерального законодательства:
o Международные договоры РФ;
o Конституция РФ;
o Законы федерального уровня (включая федеральные конституционные законы, кодексы);
o Указы Президента РФ;
o Постановления правительства РФ;
o Нормативные правовые акты федеральных министерств и ведомств;
o Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести
· Методические документы государственных органов России:
o Доктрина информационной безопасности РФ;
o Руководящие документы ФСТЭК (Гостехкомиссии России);
o Приказы ФСБ;
· Стандарты информационной безопасности, из которых выделяют:
o Международные стандарты;
o Государственные (национальные) стандарты РФ;
o Рекомендации по стандартизации;
o Методические указания.
Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
· Комитет Государственной думы по безопасности;
· Совет безопасности России;
· Федеральная служба по техническому и экспортному контролю (ФСТЭК);
· Федеральная служба безопасности Российской Федерации (ФСБ России);
· Министерство внутренних дел Российской Федерации (МВД России);
· Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия:
· Служба экономической безопасности;
· Служба безопасности персонала;
· Отдел кадров;
· Служба информационной безопасности.
Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Программно-технические способы и средства обеспечения информационной безопасности
Предлагается следующая классификация средств защиты информации:
Средства защиты от несанкционированного доступа (НСД)
· Модели управления доступом (способы разграничения доступа к информации)
ü Избирательное управление доступом (субъект с определенным правом доступа может передать это право любому другому субъекту);
ü Мандатное управление доступом (при официальном разрешении (допуске) субъекта к информации);
· Системы аутентификации:
ü Пароль (секретное слово или набор символов, предназначенный для подтверждения личности или полномочий);
ü Сертификат;
ü Биометрия (предполагает систему распознавания людей по одной или более физических или поведенческих черт. Биометрические данные можно разделить на два основных класса:
Ø Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.
Ø Поведенческие связаны с поведением человека. Например, походка и голос);
· Средства авторизации (процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий);
· Межсетевые экраны (комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами);
· Антивирусные средства;
· Журналирование (так же называется Аудит; процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл)).