Подробности записи журнала 1547874

08:21, 27 мая 2014: 71 «Запрет снятия\простановки некоторых служебных шаблонов» 84.21.94.59 (обсуждение) на странице Информационная безопасность, меры: Отклонение (просмотреть)

Изменения, сделанные в правке

{{переписать}}
{{проверить факты}}
Информационная безопасность государства<ref>[http://slovari.yandex.ru/dict/bezopasnost/article/bez/bez-0237.htm?text=информационная%20безопасность Безопасность: теория, парадигма, концепция, культура. Словарь-справочник] / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.</ref> — состояние сохранности информационных ресурсов [[государство|государства]] и защищённости законных прав [[личность|личности]] и [[общество|общества]] в [[информационная сфера|информационной сфере]].

В современном социуме [[информационная сфера]] имеет две составляющие<ref name="Информационная безопасность">Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.</ref>: информационно-техническую (искусственно созданный человеком мир [[техника|техники]], [[технология|технологий]] и т. п.) и информационно-психологическую (естественный мир [[природа|живой природы]], включающий и самого [[человек]]а). Соответственно, в общем случае информационную безопасность [[общество|общества]] ([[государство|государства]]) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью{{нет АИ|5|09|2013}}.

== Стандартизированные определения ==
Информационная безопасность<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/> — это процесс обеспечения конфиденциальности, целостности и доступности информации.

# [[Конфиденциальность_информации|Конфиденциальность]]: Обеспечение доступа к информации только авторизованным пользователям.
# [[Целостность_информации|Целостность]]: Обеспечение достоверности и полноты информации и методов ее обработки.
# [[Доступность_информации|Доступность]]: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность ({{lang-en|information security}})<ref name="g13335-1-2006"> [http://rfcmd.ru/sphider/docs/InfoSec/GOST-R_ISO_IEC_13335-1-2006.htm Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)].</ref> — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) ({{lang-en|information (data) security}})<ref name="Р 50.1.053-2005">Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005).</ref><ref name="ГОСТ Р 50922-2006"/> — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) ({{lang-en|IT security}})<ref name="Р 50.1.053-2005"/> — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной [[Информационная система|информационной системы]]<ref name="Р 50.1.053-2005"/> — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.
Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал.
Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

== Существенные признаки понятия ==
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

* [[Конфиденциальность_информации|Конфиденциальность]] ({{lang-en|confidentiality}})<ref name="Р 50.1.053-2005"/> — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
* [[Целостность информации|целостность]] ({{lang-en|integrity}})<ref>[http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи]</ref> — избежание несанкционированной модификации информации;
* [[Доступность информации|доступность]] ({{lang-en|availability}})<ref>[http://www.glossary.ru/cgi-bin/gl_find.cgi?ph=%E4%EE%F1%F2%F3%EF%ED%EE%F1%F2%FC&action=%CF%EE%E8%F1%EA Поиск. Глоссарий.ru<!-- Заголовок добавлен ботом -->]</ref> — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

* [[неотказуемость]] или [[апеллируемость]] ({{lang-en|non-repudiation}})<ref name="g13335-1-2006"/> — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
* [[подотчётность]] ({{lang-en|accountability}})<ref>Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).</ref> — обеспечение [[Идентификация (информационные системы)|идентификации]] субъекта доступа и регистрации его действий;
* [[достоверность]] ({{lang-en|reliability}})<ref name="g13335-1-2006"/> — свойство соответствия предусмотренному поведению или результату;
* [[аутентичность]] или [[аутентичность|подлинность]] ({{lang-en|authenticity}})<ref name="g13335-1-2006"/> — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

== Рекомендации по использованию терминов ==
В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «[[безопасность]]» и «безопасный»:
{{начало цитаты}}
Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий [[риск]]а.

Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:
* «защитный шлем» вместо «безопасный шлем»;
* «нескользкое покрытие для пола» вместо «безопасное покрытие».
{{конец цитаты}}

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

== Объём (реализация) понятия «информационная безопасность» ==
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности<ref name="Домарев">Домарев В. В. [http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1221 Безопасность информационных технологий. Системный подход] — К.: ООО ТИД Диа Софт, 2004. — 992 с.</ref>:
# Законодательная, нормативно-правовая и научная база.
# Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
# Организационно-технические и режимные меры и методы (Политика информационной безопасности).
# Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>:
* выявить требования защиты информации, специфические для данного объекта защиты;
* учесть требования национального и международного Законодательства;
* использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
* определить подразделения, ответственные за реализацию и поддержку СОИБ;
* распределить между подразделениями области ответственности в осуществлении требований СОИБ;
* на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
* реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
* реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
* используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

== Нормативные документы в области информационной безопасности ==
{{Глобализовать|Россия}}
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся<ref>Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.</ref>:

Акты федерального законодательства:
* Международные договоры РФ;
* Конституция РФ;
* Законы федерального уровня (включая федеральные конституционные законы, кодексы);
* Указы Президента РФ;
* Постановления Правительства РФ;
* Нормативные правовые акты федеральных министерств и ведомств;
* Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе [[Информационное право]].

К нормативно-методическим документам можно отнести
* Методические документы государственных органов России:
** Доктрина информационной безопасности РФ;
** Руководящие документы ФСТЭК (Гостехкомиссии России);
** Приказы ФСБ;

* [[Стандарты информационной безопасности]], из которых выделяют:
** Международные стандарты;
** Государственные (национальные) стандарты РФ;
** Рекомендации по стандартизации;
** Методические указания.

== Органы (подразделения), обеспечивающие информационную [[безопасность]] ==
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:
* [[Комитет Государственной думы по безопасности]];
* [[Совет безопасности России]];
* [[Федеральная служба по техническому и экспортному контролю]] (ФСТЭК России);
* [[Федеральная служба безопасности Российской Федерации]] (ФСБ России);
* [[Федеральная служба охраны Российской Федерации]] (ФСО России);
* [[Служба внешней разведки Российской Федерации]] (СВР России);
* [[Министерство обороны Российской Федерации]] (Минобороны России);
* [[Министерство внутренних дел Российской Федерации]] (МВД России);
* [[Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций]] (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия
* [[Служба экономической безопасности]];
* [[Служба безопасности персонала]] (Режимный отдел);
* [[Кадровая служба]];
* [[Служба информационной безопасности]].

== Организационно-технические и режимные меры и методы ==
Для описания технологии защиты информации конкретной [[информационная система|информационной системы]] обычно строится так называемая ''Политика информационной безопасности'' или [[Политика безопасности]] рассматриваемой [[информационная система|информационной системы]].

Политика безопасности (информации в организации) ({{lang-en|Organizational security policy}})<ref name="ГОСТ Р 50922-2006"/> — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий ({{lang-en|ІСТ security policy}})<ref name="g13335-1-2006"/> — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты [[информационная система|информационной системы]]<ref name="Домарев"/>:
* [[Защита объектов информационной системы]];
* Защита процессов, процедур и [[компьютерная программа|программ]] обработки информации;
* Защита [[Канал связи|каналов связи]] ([[Акустическая информация|акустические]], инфракрасные, проводные, радиоканалы и др.);
* Подавление побочных электромагнитных излучений;
* Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
# Определение информационных и технических ресурсов, подлежащих защите;
# Выявление полного множества потенциально возможных угроз и каналов утечки информации;
# Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
# Определение требований к системе защиты;
# Осуществление выбора средств защиты информации и их характеристик;
# Внедрение и организация использования выбранных мер, способов и средств защиты;
# Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на [[информационная система|информационную систему]]. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, [[Контент-фильтр|Контентная фильтрация]] и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

== Программно-технические способы и средства обеспечения информационной безопасности ==
В литературе предлагается следующая классификация средств защиты информации.<ref name="Домарев"/>

* Средства защиты от [[Несанкционированный доступ к информации|несанкционированного доступа]] (НСД):
** [[авторизация|Средства авторизации]];
** [[Мандатное управление доступом]]<ref>[http://www.compress.ru/article.aspx?id=10099&iid=419 Информационная безопасность в современных системах управления базами данных]</ref>;
** [[Избирательное управление доступом]];
** [[Управление доступом на основе ролей]];
** [[Журналирование]] (так же называется [[Аудит]]).
* Системы анализа и моделирования информационных потоков (CASE-системы).
* Системы мониторинга сетей:
** [[Система обнаружения вторжений|Системы обнаружения и предотвращения вторжений]] (IDS/IPS).
** Системы [[Предотвращение утечек|предотвращения утечек]] конфиденциальной информации (DLP-системы).
* [[:Категория:Анализаторы трафика|Анализаторы протоколов]].
* [[:Категория:Антивирусы|Антивирусные средства]].
* [[:Категория:Межсетевые экраны|Межсетевые экраны]].
* [[:Категория:Криптография|Криптографические средства]]:
** [[Шифрование]];
** [[Цифровая подпись]].
* [[Резервное копирование|Системы резервного копирования]].
* Системы бесперебойного питания:
** [[Источник бесперебойного питания|Источники бесперебойного питания]];
** Резервирование нагрузки;
** [[Электрический генератор|Генераторы напряжения]].
* [[:Категория:Аутентификация|Системы аутентификации]]:
** [[Пароль]];
** [[Ключ доступа (физический или электронный)]];
** [[Сертификат (криптография)|Сертификат]];
** [[Биометрия]].
* Средства предотвращения взлома корпусов и краж оборудования.
* Средства контроля доступа в помещения.
* Инструментальные средства анализа систем защиты:
** [[Антивирус]].

== Организационная защита объектов информатизации ==
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
* организацию охраны, режима, работу с кадрами, с документами;
* использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности<ref>[http://inforsec.ru/business-security/org-security/85-paper-sec-practice-sec Организационная безопасность на предприятии: бумажная и практическая безопасность]</ref>.
К основным организационным мероприятиям можно отнести:
* организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
* организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
* организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
* организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
* организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
* организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

== Исторические аспекты возникновения и развития информационной безопасности ==
Объективно категория «информационная безопасность» возникла с появлением [[Информационная система|средств информационных коммуникаций]] между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесён ущерб путём воздействия на [[Информационная система|средства информационных коммуникаций]], наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии [[Информационная система|средств информационных коммуникаций]] можно выделить несколько этапов<ref name="Информационная безопасность"/>:

* I этап — до 1816 года — характеризуется использованием естественно возникавших [[Информационная система|средств информационных коммуникаций]]. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

* II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств [[Электросвязь|электро-]] и [[радиосвязь|радиосвязи]]. Для обеспечения скрытности и помехозащищённости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого [[Кодирование|кодирования]] [[Сообщение|сообщения]] ([[сигнал]]а) с последующим декодированием принятого сообщения (сигнала).

* III этап — начиная с 1935 года — связан с появлением [[Радиоэлектронные средства|радиолокационных и гидроакустических средств]]. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

* IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность [[Компьютер|электронно-вычислительных машин]] (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

* V этап — начиная с 1965 года — обусловлен созданием и развитием [[Локальная сеть|локальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]]. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём [[Системное администрирование|администрирования]] и управления доступом к сетевым ресурсам.

* VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — [[хакер]]ов, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется [[информационное право]] — новая отрасль международной правовой системы.

* VII этап — начиная с 1985 года — связан с созданием и развитием [[Глобальная вычислительная сеть|глобальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]] с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

== См. также ==
{{Навигация
|Викиучебник = Защита конфиденциальных данных и анонимность в интернете
}}
* [[Information Protection and Control]]
* [[Common Criteria]]
* [[Критерии определения безопасности компьютерных систем]]
* [[Предотвращение утечек информации]]
* [[СТО БР ИББС|Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)]]
* [[Правонарушения в области технической защищённости систем]]
* [[Стандарт SCAP]]

== Примечания ==
{{примечания}}

== Литература ==
* ''Бармен Скотт''. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
* ''Галатенко В. А.'' Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
* ''Галицкий А. В., Рябко С. Д., Шаньгин В. Ф.'' Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0.
* ''Гафнер В.В.'' Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. - ISBN 978-5-222-17389-3
* ''Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В.'' Информационная безопасность открытых систем. В 2-х томах
** Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия - Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
** Том 2. — Средства защиты в сетях. — М.: Горячая линия - Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.
* ''Лепехин А. Н.'' Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
* ''Лопатин В. Н.'' Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
* ''Малюк А.А.'' Теория защиты информации. — М.:Горячая линия - Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6.
* ''Родичев Ю.'' Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
* ''Петренко С. А., Курбатов В. А.'' Политики информационной безопасности. — М.: Компания [[АйТи]], 2006. — 400 с. — ISBN 5-98453-024-4.
* ''Петренко С. А.'' Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
* ''Шаньгин В. Ф.'' Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
* ''Щербаков А. Ю.'' Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
* ''Борисов М. А.'' Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0.
* ''Жданов О. Н., Чалкин В. А.'' Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8.
* ''Борисов М. А., Заводцев И. В., Чижов И. В.'' Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3.
* ''Борисов М. А., Романов О. А.'' Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). №2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014. — 248 с. — ISBN 978-5-9710-0837-8.
* ''Применко Э. А.'' Алгебраические основы криптографии. №9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014. - 294 с. - ISBN 978-5-397-04457-8.
* ''Гуров С. И.'' Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.2. М.: Книжный дом «ЛИБРОКОМ», 2013. - 352 с. - ISBN 978-5-397-03899-7.
* ''Исамидинов А. Н.'' Защита коммерческой тайны в сфере трудовых отношений. №11. М.: Книжный дом «ЛИБРОКОМ», 2014. - 120 с. - ISBN 978-5-9710-1047-0.

== Ссылки ==
{{Внешние ссылки нежелательны}}
* [http://www.cnews.ru/reviews/free/security2006/index.shtml Обзор. Средства защиты информации и бизнеса 2006] CNews
* [http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии] Европейский институт стандартов по электросвязи
* [http://www.scrf.gov.ru/documents/5.html Доктрина информационной безопасности Российской Федерации]
* [http://www.agentura.ru/dossier/russia/sovbez/docs/concept/ Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации]
* [http://www.e-nigma.ru/stat/fz-149/ Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации]

[[Категория:Информационная безопасность|*]]
[[Категория:Информационная безопасность|*]]

Параметры действия

ПеременнаяЗначение
Число правок участника (user_editcount)
null
Имя учётной записи (user_name)
'84.21.94.59'
Возраст учётной записи (user_age)
0
Группы (включая неявные) в которых состоит участник (user_groups)
[ 0 => '*' ]
Редактирует ли участник через мобильный интерфейс (user_mobile)
false
ID страницы (page_id)
13389
Пространство имён страницы (page_namespace)
0
Название страницы (без пространства имён) (page_title)
'Информационная безопасность'
Полное название страницы (page_prefixedtitle)
'Информационная безопасность'
Последние десять редакторов страницы (page_recent_contributors)
[ 0 => '185.16.138.173', 1 => '109.188.124.236', 2 => 'Golubinka8', 3 => 'Karachun', 4 => '94.233.70.74', 5 => '91.210.27.6', 6 => 'Charlotte Heinenberg', 7 => 'A5b', 8 => '91.77.110.181', 9 => '94.31.167.175' ]
Действие (action)
'edit'
Описание правки/причина (summary)
'/* Программно-технические способы и средства обеспечения информационной безопасности */ '
Была ли правка отмечена как «малое изменение» (больше не используется) (minor_edit)
false
Вики-текст старой страницы до правки (old_wikitext)
'{{переписать}} {{проверить факты}} Информационная безопасность государства<ref>[http://slovari.yandex.ru/dict/bezopasnost/article/bez/bez-0237.htm?text=информационная%20безопасность Безопасность: теория, парадигма, концепция, культура. Словарь-справочник] / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.</ref> — состояние сохранности информационных ресурсов [[государство|государства]] и защищённости законных прав [[личность|личности]] и [[общество|общества]] в [[информационная сфера|информационной сфере]]. В современном социуме [[информационная сфера]] имеет две составляющие<ref name="Информационная безопасность">Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.</ref>: информационно-техническую (искусственно созданный человеком мир [[техника|техники]], [[технология|технологий]] и т. п.) и информационно-психологическую (естественный мир [[природа|живой природы]], включающий и самого [[человек]]а). Соответственно, в общем случае информационную безопасность [[общество|общества]] ([[государство|государства]]) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью{{нет АИ|5|09|2013}}. == Стандартизированные определения == Информационная безопасность<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/> — это процесс обеспечения конфиденциальности, целостности и доступности информации. # [[Конфиденциальность_информации|Конфиденциальность]]: Обеспечение доступа к информации только авторизованным пользователям. # [[Целостность_информации|Целостность]]: Обеспечение достоверности и полноты информации и методов ее обработки. # [[Доступность_информации|Доступность]]: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Информационная безопасность ({{lang-en|information security}})<ref name="g13335-1-2006"> [http://rfcmd.ru/sphider/docs/InfoSec/GOST-R_ISO_IEC_13335-1-2006.htm Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)].</ref> — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки. Безопасность информации (данных) ({{lang-en|information (data) security}})<ref name="Р 50.1.053-2005">Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005).</ref><ref name="ГОСТ Р 50922-2006"/> — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе. Безопасность информации (при применении информационных технологий) ({{lang-en|IT security}})<ref name="Р 50.1.053-2005"/> — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована. Безопасность автоматизированной [[Информационная система|информационной системы]]<ref name="Р 50.1.053-2005"/> — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов. Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь. == Существенные признаки понятия == В качестве стандартной модели безопасности часто приводят модель из трёх категорий: * [[Конфиденциальность_информации|Конфиденциальность]] ({{lang-en|confidentiality}})<ref name="Р 50.1.053-2005"/> — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право; * [[Целостность информации|целостность]] ({{lang-en|integrity}})<ref>[http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи]</ref> — избежание несанкционированной модификации информации; * [[Доступность информации|доступность]] ({{lang-en|availability}})<ref>[http://www.glossary.ru/cgi-bin/gl_find.cgi?ph=%E4%EE%F1%F2%F3%EF%ED%EE%F1%F2%FC&action=%CF%EE%E8%F1%EA Поиск. Глоссарий.ru<!-- Заголовок добавлен ботом -->]</ref> — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа. Выделяют и другие не всегда обязательные категории модели безопасности: * [[неотказуемость]] или [[апеллируемость]] ({{lang-en|non-repudiation}})<ref name="g13335-1-2006"/> — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты; * [[подотчётность]] ({{lang-en|accountability}})<ref>Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).</ref> — обеспечение [[Идентификация (информационные системы)|идентификации]] субъекта доступа и регистрации его действий; * [[достоверность]] ({{lang-en|reliability}})<ref name="g13335-1-2006"/> — свойство соответствия предусмотренному поведению или результату; * [[аутентичность]] или [[аутентичность|подлинность]] ({{lang-en|authenticity}})<ref name="g13335-1-2006"/> — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. == Рекомендации по использованию терминов == В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «[[безопасность]]» и «безопасный»: {{начало цитаты}} Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий [[риск]]а. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например: * «защитный шлем» вместо «безопасный шлем»; * «нескользкое покрытие для пола» вместо «безопасное покрытие». {{конец цитаты}} Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности». == Объём (реализация) понятия «информационная безопасность» == Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности<ref name="Домарев">Домарев В. В. [http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1221 Безопасность информационных технологий. Системный подход] — К.: ООО ТИД Диа Софт, 2004. — 992 с.</ref>: # Законодательная, нормативно-правовая и научная база. # Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ. # Организационно-технические и режимные меры и методы (Политика информационной безопасности). # Программно-технические способы и средства обеспечения информационной безопасности. Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности. Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>: * выявить требования защиты информации, специфические для данного объекта защиты; * учесть требования национального и международного Законодательства; * использовать наработанные практики (стандарты, методологии) построения подобных СОИБ; * определить подразделения, ответственные за реализацию и поддержку СОИБ; * распределить между подразделениями области ответственности в осуществлении требований СОИБ; * на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты; * реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации; * реализовать Систему менеджмента (управления) информационной безопасности (СМИБ); * используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ. Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы. == Нормативные документы в области информационной безопасности == {{Глобализовать|Россия}} В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся<ref>Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.</ref>: Акты федерального законодательства: * Международные договоры РФ; * Конституция РФ; * Законы федерального уровня (включая федеральные конституционные законы, кодексы); * Указы Президента РФ; * Постановления Правительства РФ; * Нормативные правовые акты федеральных министерств и ведомств; * Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д. Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе [[Информационное право]]. К нормативно-методическим документам можно отнести * Методические документы государственных органов России: ** Доктрина информационной безопасности РФ; ** Руководящие документы ФСТЭК (Гостехкомиссии России); ** Приказы ФСБ; * [[Стандарты информационной безопасности]], из которых выделяют: ** Международные стандарты; ** Государственные (национальные) стандарты РФ; ** Рекомендации по стандартизации; ** Методические указания. == Органы (подразделения), обеспечивающие информационную [[безопасность]] == В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия. Государственные органы РФ, контролирующие деятельность в области защиты информации: * [[Комитет Государственной думы по безопасности]]; * [[Совет безопасности России]]; * [[Федеральная служба по техническому и экспортному контролю]] (ФСТЭК России); * [[Федеральная служба безопасности Российской Федерации]] (ФСБ России); * [[Федеральная служба охраны Российской Федерации]] (ФСО России); * [[Служба внешней разведки Российской Федерации]] (СВР России); * [[Министерство обороны Российской Федерации]] (Минобороны России); * [[Министерство внутренних дел Российской Федерации]] (МВД России); * [[Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций]] (Роскомнадзор). Службы, организующие защиту информации на уровне предприятия * [[Служба экономической безопасности]]; * [[Служба безопасности персонала]] (Режимный отдел); * [[Кадровая служба]]; * [[Служба информационной безопасности]]. == Организационно-технические и режимные меры и методы == Для описания технологии защиты информации конкретной [[информационная система|информационной системы]] обычно строится так называемая ''Политика информационной безопасности'' или [[Политика безопасности]] рассматриваемой [[информационная система|информационной системы]]. Политика безопасности (информации в организации) ({{lang-en|Organizational security policy}})<ref name="ГОСТ Р 50922-2006"/> — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий ({{lang-en|ІСТ security policy}})<ref name="g13335-1-2006"/> — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты [[информационная система|информационной системы]]<ref name="Домарев"/>: * [[Защита объектов информационной системы]]; * Защита процессов, процедур и [[компьютерная программа|программ]] обработки информации; * Защита [[Канал связи|каналов связи]] ([[Акустическая информация|акустические]], инфракрасные, проводные, радиоканалы и др.); * Подавление побочных электромагнитных излучений; * Управление системой защиты. При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации: # Определение информационных и технических ресурсов, подлежащих защите; # Выявление полного множества потенциально возможных угроз и каналов утечки информации; # Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки; # Определение требований к системе защиты; # Осуществление выбора средств защиты информации и их характеристик; # Внедрение и организация использования выбранных мер, способов и средств защиты; # Осуществление контроля целостности и управление системой защиты. Политика информационной безопасности оформляется в виде документированных требований на [[информационная система|информационную систему]]. Документы обычно разделяют по уровням описания (детализации) процесса защиты. Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК 17799—2005<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса». К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, [[Контент-фильтр|Контентная фильтрация]] и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности. == Программно-технические способы и средства обеспечения информационной безопасности == В литературе предлагается следующая классификация средств защиты информации.<ref name="Домарев"/> * Средства защиты от [[Несанкционированный доступ к информации|несанкционированного доступа]] (НСД): ** [[авторизация|Средства авторизации]]; ** [[Мандатное управление доступом]]<ref>[http://www.compress.ru/article.aspx?id=10099&iid=419 Информационная безопасность в современных системах управления базами данных]</ref>; ** [[Избирательное управление доступом]]; ** [[Управление доступом на основе ролей]]; ** [[Журналирование]] (так же называется [[Аудит]]). * Системы анализа и моделирования информационных потоков (CASE-системы). * Системы мониторинга сетей: ** [[Система обнаружения вторжений|Системы обнаружения и предотвращения вторжений]] (IDS/IPS). ** Системы [[Предотвращение утечек|предотвращения утечек]] конфиденциальной информации (DLP-системы). * [[:Категория:Анализаторы трафика|Анализаторы протоколов]]. * [[:Категория:Антивирусы|Антивирусные средства]]. * [[:Категория:Межсетевые экраны|Межсетевые экраны]]. * [[:Категория:Криптография|Криптографические средства]]: ** [[Шифрование]]; ** [[Цифровая подпись]]. * [[Резервное копирование|Системы резервного копирования]]. * Системы бесперебойного питания: ** [[Источник бесперебойного питания|Источники бесперебойного питания]]; ** Резервирование нагрузки; ** [[Электрический генератор|Генераторы напряжения]]. * [[:Категория:Аутентификация|Системы аутентификации]]: ** [[Пароль]]; ** [[Ключ доступа (физический или электронный)]]; ** [[Сертификат (криптография)|Сертификат]]; ** [[Биометрия]]. * Средства предотвращения взлома корпусов и краж оборудования. * Средства контроля доступа в помещения. * Инструментальные средства анализа систем защиты: ** [[Антивирус]]. == Организационная защита объектов информатизации == Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: * организацию охраны, режима, работу с кадрами, с документами; * использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности<ref>[http://inforsec.ru/business-security/org-security/85-paper-sec-practice-sec Организационная безопасность на предприятии: бумажная и практическая безопасность]</ref>. К основным организационным мероприятиям можно отнести: * организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; * организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.; * организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение; * организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации; * организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты; * организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей. В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. == Исторические аспекты возникновения и развития информационной безопасности == Объективно категория «информационная безопасность» возникла с появлением [[Информационная система|средств информационных коммуникаций]] между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесён ущерб путём воздействия на [[Информационная система|средства информационных коммуникаций]], наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безопасности, в развитии [[Информационная система|средств информационных коммуникаций]] можно выделить несколько этапов<ref name="Информационная безопасность"/>: * I этап — до 1816 года — характеризуется использованием естественно возникавших [[Информационная система|средств информационных коммуникаций]]. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение. * II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств [[Электросвязь|электро-]] и [[радиосвязь|радиосвязи]]. Для обеспечения скрытности и помехозащищённости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого [[Кодирование|кодирования]] [[Сообщение|сообщения]] ([[сигнал]]а) с последующим декодированием принятого сообщения (сигнала). * III этап — начиная с 1935 года — связан с появлением [[Радиоэлектронные средства|радиолокационных и гидроакустических средств]]. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами. * IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность [[Компьютер|электронно-вычислительных машин]] (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации. * V этап — начиная с 1965 года — обусловлен созданием и развитием [[Локальная сеть|локальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]]. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём [[Системное администрирование|администрирования]] и управления доступом к сетевым ресурсам. * VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — [[хакер]]ов, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется [[информационное право]] — новая отрасль международной правовой системы. * VII этап — начиная с 1985 года — связан с созданием и развитием [[Глобальная вычислительная сеть|глобальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]] с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов. == См. также == {{Навигация |Викиучебник = Защита конфиденциальных данных и анонимность в интернете }} * [[Information Protection and Control]] * [[Common Criteria]] * [[Критерии определения безопасности компьютерных систем]] * [[Предотвращение утечек информации]] * [[СТО БР ИББС|Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)]] * [[Правонарушения в области технической защищённости систем]] * [[Стандарт SCAP]] == Примечания == {{примечания}} == Литература == * ''Бармен Скотт''. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X. * ''Галатенко В. А.'' Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1. * ''Галицкий А. В., Рябко С. Д., Шаньгин В. Ф.'' Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0. * ''Гафнер В.В.'' Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. - ISBN 978-5-222-17389-3 * ''Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В.'' Информационная безопасность открытых систем. В 2-х томах ** Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия - Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0. ** Том 2. — Средства защиты в сетях. — М.: Горячая линия - Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9. * ''Лепехин А. Н.'' Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2. * ''Лопатин В. Н.'' Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4. * ''Малюк А.А.'' Теория защиты информации. — М.:Горячая линия - Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6. * ''Родичев Ю.'' Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9. * ''Петренко С. А., Курбатов В. А.'' Политики информационной безопасности. — М.: Компания [[АйТи]], 2006. — 400 с. — ISBN 5-98453-024-4. * ''Петренко С. А.'' Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5. * ''Шаньгин В. Ф.'' Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8. * ''Щербаков А. Ю.'' Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2. * ''Борисов М. А.'' Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0. * ''Жданов О. Н., Чалкин В. А.'' Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8. * ''Борисов М. А., Заводцев И. В., Чижов И. В.'' Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3. * ''Борисов М. А., Романов О. А.'' Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). №2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014. — 248 с. — ISBN 978-5-9710-0837-8. * ''Применко Э. А.'' Алгебраические основы криптографии. №9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014. - 294 с. - ISBN 978-5-397-04457-8. * ''Гуров С. И.'' Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.2. М.: Книжный дом «ЛИБРОКОМ», 2013. - 352 с. - ISBN 978-5-397-03899-7. * ''Исамидинов А. Н.'' Защита коммерческой тайны в сфере трудовых отношений. №11. М.: Книжный дом «ЛИБРОКОМ», 2014. - 120 с. - ISBN 978-5-9710-1047-0. == Ссылки == {{Внешние ссылки нежелательны}} * [http://www.cnews.ru/reviews/free/security2006/index.shtml Обзор. Средства защиты информации и бизнеса 2006] CNews * [http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии] Европейский институт стандартов по электросвязи * [http://www.scrf.gov.ru/documents/5.html Доктрина информационной безопасности Российской Федерации] * [http://www.agentura.ru/dossier/russia/sovbez/docs/concept/ Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации] * [http://www.e-nigma.ru/stat/fz-149/ Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации] [[Категория:Информационная безопасность|*]]'
Вики-текст новой страницы после правки (new_wikitext)
'[[Категория:Информационная безопасность|*]]'
Унифицированная разница изменений правки (edit_diff)
'@@ -1,270 +1 @@ -{{переписать}} -{{проверить факты}} -Информационная безопасность государства<ref>[http://slovari.yandex.ru/dict/bezopasnost/article/bez/bez-0237.htm?text=информационная%20безопасность Безопасность: теория, парадигма, концепция, культура. Словарь-справочник] / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.</ref> — состояние сохранности информационных ресурсов [[государство|государства]] и защищённости законных прав [[личность|личности]] и [[общество|общества]] в [[информационная сфера|информационной сфере]]. - -В современном социуме [[информационная сфера]] имеет две составляющие<ref name="Информационная безопасность">Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.</ref>: информационно-техническую (искусственно созданный человеком мир [[техника|техники]], [[технология|технологий]] и т. п.) и информационно-психологическую (естественный мир [[природа|живой природы]], включающий и самого [[человек]]а). Соответственно, в общем случае информационную безопасность [[общество|общества]] ([[государство|государства]]) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью{{нет АИ|5|09|2013}}. - -== Стандартизированные определения == -Информационная безопасность<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/> — это процесс обеспечения конфиденциальности, целостности и доступности информации. - -# [[Конфиденциальность_информации|Конфиденциальность]]: Обеспечение доступа к информации только авторизованным пользователям. -# [[Целостность_информации|Целостность]]: Обеспечение достоверности и полноты информации и методов ее обработки. -# [[Доступность_информации|Доступность]]: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. - -Информационная безопасность ({{lang-en|information security}})<ref name="g13335-1-2006"> [http://rfcmd.ru/sphider/docs/InfoSec/GOST-R_ISO_IEC_13335-1-2006.htm Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)].</ref> — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки. - -Безопасность информации (данных) ({{lang-en|information (data) security}})<ref name="Р 50.1.053-2005">Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005).</ref><ref name="ГОСТ Р 50922-2006"/> — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. - -Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе. - -Безопасность информации (при применении информационных технологий) ({{lang-en|IT security}})<ref name="Р 50.1.053-2005"/> — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована. - -Безопасность автоматизированной [[Информационная система|информационной системы]]<ref name="Р 50.1.053-2005"/> — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов. - -Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. -Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. -Неприемлемый ущерб — ущерб, которым нельзя пренебречь. - -== Существенные признаки понятия == -В качестве стандартной модели безопасности часто приводят модель из трёх категорий: - -* [[Конфиденциальность_информации|Конфиденциальность]] ({{lang-en|confidentiality}})<ref name="Р 50.1.053-2005"/> — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право; -* [[Целостность информации|целостность]] ({{lang-en|integrity}})<ref>[http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи]</ref> — избежание несанкционированной модификации информации; -* [[Доступность информации|доступность]] ({{lang-en|availability}})<ref>[http://www.glossary.ru/cgi-bin/gl_find.cgi?ph=%E4%EE%F1%F2%F3%EF%ED%EE%F1%F2%FC&action=%CF%EE%E8%F1%EA Поиск. Глоссарий.ru<!-- Заголовок добавлен ботом -->]</ref> — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа. - -Выделяют и другие не всегда обязательные категории модели безопасности: - -* [[неотказуемость]] или [[апеллируемость]] ({{lang-en|non-repudiation}})<ref name="g13335-1-2006"/> — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты; -* [[подотчётность]] ({{lang-en|accountability}})<ref>Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).</ref> — обеспечение [[Идентификация (информационные системы)|идентификации]] субъекта доступа и регистрации его действий; -* [[достоверность]] ({{lang-en|reliability}})<ref name="g13335-1-2006"/> — свойство соответствия предусмотренному поведению или результату; -* [[аутентичность]] или [[аутентичность|подлинность]] ({{lang-en|authenticity}})<ref name="g13335-1-2006"/> — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. - -== Рекомендации по использованию терминов == -В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «[[безопасность]]» и «безопасный»: -{{начало цитаты}} -Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий [[риск]]а. - -Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например: -* «защитный шлем» вместо «безопасный шлем»; -* «нескользкое покрытие для пола» вместо «безопасное покрытие». -{{конец цитаты}} - -Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности». - -== Объём (реализация) понятия «информационная безопасность» == -Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности<ref name="Домарев">Домарев В. В. [http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1221 Безопасность информационных технологий. Системный подход] — К.: ООО ТИД Диа Софт, 2004. — 992 с.</ref>: -# Законодательная, нормативно-правовая и научная база. -# Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ. -# Организационно-технические и режимные меры и методы (Политика информационной безопасности). -# Программно-технические способы и средства обеспечения информационной безопасности. - -Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности. - -Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>: -* выявить требования защиты информации, специфические для данного объекта защиты; -* учесть требования национального и международного Законодательства; -* использовать наработанные практики (стандарты, методологии) построения подобных СОИБ; -* определить подразделения, ответственные за реализацию и поддержку СОИБ; -* распределить между подразделениями области ответственности в осуществлении требований СОИБ; -* на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты; -* реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации; -* реализовать Систему менеджмента (управления) информационной безопасности (СМИБ); -* используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ. - -Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы. - -== Нормативные документы в области информационной безопасности == -{{Глобализовать|Россия}} -В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся<ref>Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.</ref>: - -Акты федерального законодательства: -* Международные договоры РФ; -* Конституция РФ; -* Законы федерального уровня (включая федеральные конституционные законы, кодексы); -* Указы Президента РФ; -* Постановления Правительства РФ; -* Нормативные правовые акты федеральных министерств и ведомств; -* Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д. - -Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе [[Информационное право]]. - -К нормативно-методическим документам можно отнести -* Методические документы государственных органов России: -** Доктрина информационной безопасности РФ; -** Руководящие документы ФСТЭК (Гостехкомиссии России); -** Приказы ФСБ; - -* [[Стандарты информационной безопасности]], из которых выделяют: -** Международные стандарты; -** Государственные (национальные) стандарты РФ; -** Рекомендации по стандартизации; -** Методические указания. - -== Органы (подразделения), обеспечивающие информационную [[безопасность]] == -В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия. - -Государственные органы РФ, контролирующие деятельность в области защиты информации: -* [[Комитет Государственной думы по безопасности]]; -* [[Совет безопасности России]]; -* [[Федеральная служба по техническому и экспортному контролю]] (ФСТЭК России); -* [[Федеральная служба безопасности Российской Федерации]] (ФСБ России); -* [[Федеральная служба охраны Российской Федерации]] (ФСО России); -* [[Служба внешней разведки Российской Федерации]] (СВР России); -* [[Министерство обороны Российской Федерации]] (Минобороны России); -* [[Министерство внутренних дел Российской Федерации]] (МВД России); -* [[Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций]] (Роскомнадзор). - -Службы, организующие защиту информации на уровне предприятия -* [[Служба экономической безопасности]]; -* [[Служба безопасности персонала]] (Режимный отдел); -* [[Кадровая служба]]; -* [[Служба информационной безопасности]]. - -== Организационно-технические и режимные меры и методы == -Для описания технологии защиты информации конкретной [[информационная система|информационной системы]] обычно строится так называемая ''Политика информационной безопасности'' или [[Политика безопасности]] рассматриваемой [[информационная система|информационной системы]]. - -Политика безопасности (информации в организации) ({{lang-en|Organizational security policy}})<ref name="ГОСТ Р 50922-2006"/> — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. - -Политика безопасности информационно-телекоммуникационных технологий ({{lang-en|ІСТ security policy}})<ref name="g13335-1-2006"/> — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. - -Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты [[информационная система|информационной системы]]<ref name="Домарев"/>: -* [[Защита объектов информационной системы]]; -* Защита процессов, процедур и [[компьютерная программа|программ]] обработки информации; -* Защита [[Канал связи|каналов связи]] ([[Акустическая информация|акустические]], инфракрасные, проводные, радиоканалы и др.); -* Подавление побочных электромагнитных излучений; -* Управление системой защиты. - -При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации: -# Определение информационных и технических ресурсов, подлежащих защите; -# Выявление полного множества потенциально возможных угроз и каналов утечки информации; -# Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки; -# Определение требований к системе защиты; -# Осуществление выбора средств защиты информации и их характеристик; -# Внедрение и организация использования выбранных мер, способов и средств защиты; -# Осуществление контроля целостности и управление системой защиты. - -Политика информационной безопасности оформляется в виде документированных требований на [[информационная система|информационную систему]]. Документы обычно разделяют по уровням описания (детализации) процесса защиты. - -Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования. - -Согласно ГОСТ Р ИСО/МЭК 17799—2005<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса». - -К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, [[Контент-фильтр|Контентная фильтрация]] и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. - -В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности. - -== Программно-технические способы и средства обеспечения информационной безопасности == -В литературе предлагается следующая классификация средств защиты информации.<ref name="Домарев"/> - -* Средства защиты от [[Несанкционированный доступ к информации|несанкционированного доступа]] (НСД): -** [[авторизация|Средства авторизации]]; -** [[Мандатное управление доступом]]<ref>[http://www.compress.ru/article.aspx?id=10099&iid=419 Информационная безопасность в современных системах управления базами данных]</ref>; -** [[Избирательное управление доступом]]; -** [[Управление доступом на основе ролей]]; -** [[Журналирование]] (так же называется [[Аудит]]). -* Системы анализа и моделирования информационных потоков (CASE-системы). -* Системы мониторинга сетей: -** [[Система обнаружения вторжений|Системы обнаружения и предотвращения вторжений]] (IDS/IPS). -** Системы [[Предотвращение утечек|предотвращения утечек]] конфиденциальной информации (DLP-системы). -* [[:Категория:Анализаторы трафика|Анализаторы протоколов]]. -* [[:Категория:Антивирусы|Антивирусные средства]]. -* [[:Категория:Межсетевые экраны|Межсетевые экраны]]. -* [[:Категория:Криптография|Криптографические средства]]: -** [[Шифрование]]; -** [[Цифровая подпись]]. -* [[Резервное копирование|Системы резервного копирования]]. -* Системы бесперебойного питания: -** [[Источник бесперебойного питания|Источники бесперебойного питания]]; -** Резервирование нагрузки; -** [[Электрический генератор|Генераторы напряжения]]. -* [[:Категория:Аутентификация|Системы аутентификации]]: -** [[Пароль]]; -** [[Ключ доступа (физический или электронный)]]; -** [[Сертификат (криптография)|Сертификат]]; -** [[Биометрия]]. -* Средства предотвращения взлома корпусов и краж оборудования. -* Средства контроля доступа в помещения. -* Инструментальные средства анализа систем защиты: -** [[Антивирус]]. - -== Организационная защита объектов информатизации == -Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. -Организационная защита обеспечивает: -* организацию охраны, режима, работу с кадрами, с документами; -* использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности<ref>[http://inforsec.ru/business-security/org-security/85-paper-sec-practice-sec Организационная безопасность на предприятии: бумажная и практическая безопасность]</ref>. -К основным организационным мероприятиям можно отнести: -* организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; -* организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.; -* организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение; -* организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации; -* организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты; -* организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей. -В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. - -== Исторические аспекты возникновения и развития информационной безопасности == -Объективно категория «информационная безопасность» возникла с появлением [[Информационная система|средств информационных коммуникаций]] между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесён ущерб путём воздействия на [[Информационная система|средства информационных коммуникаций]], наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. - -Учитывая влияние на трансформацию идей информационной безопасности, в развитии [[Информационная система|средств информационных коммуникаций]] можно выделить несколько этапов<ref name="Информационная безопасность"/>: - -* I этап — до 1816 года — характеризуется использованием естественно возникавших [[Информационная система|средств информационных коммуникаций]]. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение. - -* II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств [[Электросвязь|электро-]] и [[радиосвязь|радиосвязи]]. Для обеспечения скрытности и помехозащищённости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого [[Кодирование|кодирования]] [[Сообщение|сообщения]] ([[сигнал]]а) с последующим декодированием принятого сообщения (сигнала). - -* III этап — начиная с 1935 года — связан с появлением [[Радиоэлектронные средства|радиолокационных и гидроакустических средств]]. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами. - -* IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность [[Компьютер|электронно-вычислительных машин]] (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации. - -* V этап — начиная с 1965 года — обусловлен созданием и развитием [[Локальная сеть|локальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]]. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём [[Системное администрирование|администрирования]] и управления доступом к сетевым ресурсам. - -* VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — [[хакер]]ов, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется [[информационное право]] — новая отрасль международной правовой системы. - -* VII этап — начиная с 1985 года — связан с созданием и развитием [[Глобальная вычислительная сеть|глобальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]] с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов. - -== См. также == -{{Навигация - |Викиучебник = Защита конфиденциальных данных и анонимность в интернете -}} -* [[Information Protection and Control]] -* [[Common Criteria]] -* [[Критерии определения безопасности компьютерных систем]] -* [[Предотвращение утечек информации]] -* [[СТО БР ИББС|Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)]] -* [[Правонарушения в области технической защищённости систем]] -* [[Стандарт SCAP]] - -== Примечания == -{{примечания}} - -== Литература == -* ''Бармен Скотт''. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X. -* ''Галатенко В. А.'' Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1. -* ''Галицкий А. В., Рябко С. Д., Шаньгин В. Ф.'' Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0. -* ''Гафнер В.В.'' Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. - ISBN 978-5-222-17389-3 -* ''Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В.'' Информационная безопасность открытых систем. В 2-х томах -** Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия - Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0. -** Том 2. — Средства защиты в сетях. — М.: Горячая линия - Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9. -* ''Лепехин А. Н.'' Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2. -* ''Лопатин В. Н.'' Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4. -* ''Малюк А.А.'' Теория защиты информации. — М.:Горячая линия - Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6. -* ''Родичев Ю.'' Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9. -* ''Петренко С. А., Курбатов В. А.'' Политики информационной безопасности. — М.: Компания [[АйТи]], 2006. — 400 с. — ISBN 5-98453-024-4. -* ''Петренко С. А.'' Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5. -* ''Шаньгин В. Ф.'' Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8. -* ''Щербаков А. Ю.'' Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2. -* ''Борисов М. А.'' Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0. -* ''Жданов О. Н., Чалкин В. А.'' Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8. -* ''Борисов М. А., Заводцев И. В., Чижов И. В.'' Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3. -* ''Борисов М. А., Романов О. А.'' Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). №2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014. — 248 с. — ISBN 978-5-9710-0837-8. -* ''Применко Э. А.'' Алгебраические основы криптографии. №9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014. - 294 с. - ISBN 978-5-397-04457-8. -* ''Гуров С. И.'' Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.2. М.: Книжный дом «ЛИБРОКОМ», 2013. - 352 с. - ISBN 978-5-397-03899-7. -* ''Исамидинов А. Н.'' Защита коммерческой тайны в сфере трудовых отношений. №11. М.: Книжный дом «ЛИБРОКОМ», 2014. - 120 с. - ISBN 978-5-9710-1047-0. - -== Ссылки == -{{Внешние ссылки нежелательны}} -* [http://www.cnews.ru/reviews/free/security2006/index.shtml Обзор. Средства защиты информации и бизнеса 2006] CNews -* [http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии] Европейский институт стандартов по электросвязи -* [http://www.scrf.gov.ru/documents/5.html Доктрина информационной безопасности Российской Федерации] -* [http://www.agentura.ru/dossier/russia/sovbez/docs/concept/ Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации] -* [http://www.e-nigma.ru/stat/fz-149/ Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации] - [[Категория:Информационная безопасность|*]] '
Новый размер страницы (new_size)
78
Старый размер страницы (old_size)
51480
Изменение размера в правке (edit_delta)
-51402
Добавленные в правке строки (added_lines)
[]
Удалённые в правке строки (removed_lines)
[ 0 => '{{переписать}}', 1 => '{{проверить факты}}', 2 => 'Информационная безопасность государства<ref>[http://slovari.yandex.ru/dict/bezopasnost/article/bez/bez-0237.htm?text=информационная%20безопасность Безопасность: теория, парадигма, концепция, культура. Словарь-справочник] / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.</ref> — состояние сохранности информационных ресурсов [[государство|государства]] и защищённости законных прав [[личность|личности]] и [[общество|общества]] в [[информационная сфера|информационной сфере]].', 3 => false, 4 => 'В современном социуме [[информационная сфера]] имеет две составляющие<ref name="Информационная безопасность">Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.</ref>: информационно-техническую (искусственно созданный человеком мир [[техника|техники]], [[технология|технологий]] и т. п.) и информационно-психологическую (естественный мир [[природа|живой природы]], включающий и самого [[человек]]а). Соответственно, в общем случае информационную безопасность [[общество|общества]] ([[государство|государства]]) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью{{нет АИ|5|09|2013}}.', 5 => false, 6 => '== Стандартизированные определения ==', 7 => 'Информационная безопасность<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/> — это процесс обеспечения конфиденциальности, целостности и доступности информации.', 8 => false, 9 => '# [[Конфиденциальность_информации|Конфиденциальность]]: Обеспечение доступа к информации только авторизованным пользователям.', 10 => '# [[Целостность_информации|Целостность]]: Обеспечение достоверности и полноты информации и методов ее обработки.', 11 => '# [[Доступность_информации|Доступность]]: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.', 12 => false, 13 => 'Информационная безопасность ({{lang-en|information security}})<ref name="g13335-1-2006"> [http://rfcmd.ru/sphider/docs/InfoSec/GOST-R_ISO_IEC_13335-1-2006.htm Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)].</ref> — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.', 14 => false, 15 => 'Безопасность информации (данных) ({{lang-en|information (data) security}})<ref name="Р 50.1.053-2005">Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005).</ref><ref name="ГОСТ Р 50922-2006"/> — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.', 16 => false, 17 => 'Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.', 18 => false, 19 => 'Безопасность информации (при применении информационных технологий) ({{lang-en|IT security}})<ref name="Р 50.1.053-2005"/> — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.', 20 => false, 21 => 'Безопасность автоматизированной [[Информационная система|информационной системы]]<ref name="Р 50.1.053-2005"/> — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.', 22 => false, 23 => 'Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.', 24 => 'Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал.', 25 => 'Неприемлемый ущерб — ущерб, которым нельзя пренебречь.', 26 => false, 27 => '== Существенные признаки понятия ==', 28 => 'В качестве стандартной модели безопасности часто приводят модель из трёх категорий:', 29 => false, 30 => '* [[Конфиденциальность_информации|Конфиденциальность]] ({{lang-en|confidentiality}})<ref name="Р 50.1.053-2005"/> — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;', 31 => '* [[Целостность информации|целостность]] ({{lang-en|integrity}})<ref>[http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи]</ref> — избежание несанкционированной модификации информации;', 32 => '* [[Доступность информации|доступность]] ({{lang-en|availability}})<ref>[http://www.glossary.ru/cgi-bin/gl_find.cgi?ph=%E4%EE%F1%F2%F3%EF%ED%EE%F1%F2%FC&action=%CF%EE%E8%F1%EA Поиск. Глоссарий.ru<!-- Заголовок добавлен ботом -->]</ref> — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.', 33 => false, 34 => 'Выделяют и другие не всегда обязательные категории модели безопасности:', 35 => false, 36 => '* [[неотказуемость]] или [[апеллируемость]] ({{lang-en|non-repudiation}})<ref name="g13335-1-2006"/> — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;', 37 => '* [[подотчётность]] ({{lang-en|accountability}})<ref>Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).</ref> — обеспечение [[Идентификация (информационные системы)|идентификации]] субъекта доступа и регистрации его действий;', 38 => '* [[достоверность]] ({{lang-en|reliability}})<ref name="g13335-1-2006"/> — свойство соответствия предусмотренному поведению или результату;', 39 => '* [[аутентичность]] или [[аутентичность|подлинность]] ({{lang-en|authenticity}})<ref name="g13335-1-2006"/> — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.', 40 => false, 41 => '== Рекомендации по использованию терминов ==', 42 => 'В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «[[безопасность]]» и «безопасный»:', 43 => '{{начало цитаты}}', 44 => 'Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий [[риск]]а.', 45 => false, 46 => 'Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:', 47 => '* «защитный шлем» вместо «безопасный шлем»;', 48 => '* «нескользкое покрытие для пола» вместо «безопасное покрытие».', 49 => '{{конец цитаты}}', 50 => false, 51 => 'Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».', 52 => false, 53 => '== Объём (реализация) понятия «информационная безопасность» ==', 54 => 'Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности<ref name="Домарев">Домарев В. В. [http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1221 Безопасность информационных технологий. Системный подход] — К.: ООО ТИД Диа Софт, 2004. — 992 с.</ref>:', 55 => '# Законодательная, нормативно-правовая и научная база.', 56 => '# Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.', 57 => '# Организационно-технические и режимные меры и методы (Политика информационной безопасности).', 58 => '# Программно-технические способы и средства обеспечения информационной безопасности.', 59 => false, 60 => 'Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.', 61 => false, 62 => 'Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>:', 63 => '* выявить требования защиты информации, специфические для данного объекта защиты;', 64 => '* учесть требования национального и международного Законодательства;', 65 => '* использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;', 66 => '* определить подразделения, ответственные за реализацию и поддержку СОИБ;', 67 => '* распределить между подразделениями области ответственности в осуществлении требований СОИБ;', 68 => '* на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;', 69 => '* реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;', 70 => '* реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);', 71 => '* используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.', 72 => false, 73 => 'Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.', 74 => false, 75 => '== Нормативные документы в области информационной безопасности ==', 76 => '{{Глобализовать|Россия}}', 77 => 'В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся<ref>Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.</ref>:', 78 => false, 79 => 'Акты федерального законодательства:', 80 => '* Международные договоры РФ;', 81 => '* Конституция РФ;', 82 => '* Законы федерального уровня (включая федеральные конституционные законы, кодексы);', 83 => '* Указы Президента РФ;', 84 => '* Постановления Правительства РФ;', 85 => '* Нормативные правовые акты федеральных министерств и ведомств;', 86 => '* Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.', 87 => false, 88 => 'Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе [[Информационное право]].', 89 => false, 90 => 'К нормативно-методическим документам можно отнести', 91 => '* Методические документы государственных органов России:', 92 => '** Доктрина информационной безопасности РФ;', 93 => '** Руководящие документы ФСТЭК (Гостехкомиссии России);', 94 => '** Приказы ФСБ;', 95 => false, 96 => '* [[Стандарты информационной безопасности]], из которых выделяют:', 97 => '** Международные стандарты;', 98 => '** Государственные (национальные) стандарты РФ;', 99 => '** Рекомендации по стандартизации;', 100 => '** Методические указания.', 101 => false, 102 => '== Органы (подразделения), обеспечивающие информационную [[безопасность]] ==', 103 => 'В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.', 104 => false, 105 => 'Государственные органы РФ, контролирующие деятельность в области защиты информации:', 106 => '* [[Комитет Государственной думы по безопасности]];', 107 => '* [[Совет безопасности России]];', 108 => '* [[Федеральная служба по техническому и экспортному контролю]] (ФСТЭК России);', 109 => '* [[Федеральная служба безопасности Российской Федерации]] (ФСБ России);', 110 => '* [[Федеральная служба охраны Российской Федерации]] (ФСО России);', 111 => '* [[Служба внешней разведки Российской Федерации]] (СВР России);', 112 => '* [[Министерство обороны Российской Федерации]] (Минобороны России);', 113 => '* [[Министерство внутренних дел Российской Федерации]] (МВД России);', 114 => '* [[Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций]] (Роскомнадзор).', 115 => false, 116 => 'Службы, организующие защиту информации на уровне предприятия', 117 => '* [[Служба экономической безопасности]];', 118 => '* [[Служба безопасности персонала]] (Режимный отдел);', 119 => '* [[Кадровая служба]];', 120 => '* [[Служба информационной безопасности]].', 121 => false, 122 => '== Организационно-технические и режимные меры и методы ==', 123 => 'Для описания технологии защиты информации конкретной [[информационная система|информационной системы]] обычно строится так называемая ''Политика информационной безопасности'' или [[Политика безопасности]] рассматриваемой [[информационная система|информационной системы]].', 124 => false, 125 => 'Политика безопасности (информации в организации) ({{lang-en|Organizational security policy}})<ref name="ГОСТ Р 50922-2006"/> — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.', 126 => false, 127 => 'Политика безопасности информационно-телекоммуникационных технологий ({{lang-en|ІСТ security policy}})<ref name="g13335-1-2006"/> — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.', 128 => false, 129 => 'Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты [[информационная система|информационной системы]]<ref name="Домарев"/>:', 130 => '* [[Защита объектов информационной системы]];', 131 => '* Защита процессов, процедур и [[компьютерная программа|программ]] обработки информации;', 132 => '* Защита [[Канал связи|каналов связи]] ([[Акустическая информация|акустические]], инфракрасные, проводные, радиоканалы и др.);', 133 => '* Подавление побочных электромагнитных излучений;', 134 => '* Управление системой защиты.', 135 => false, 136 => 'При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:', 137 => '# Определение информационных и технических ресурсов, подлежащих защите;', 138 => '# Выявление полного множества потенциально возможных угроз и каналов утечки информации;', 139 => '# Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;', 140 => '# Определение требований к системе защиты;', 141 => '# Осуществление выбора средств защиты информации и их характеристик;', 142 => '# Внедрение и организация использования выбранных мер, способов и средств защиты;', 143 => '# Осуществление контроля целостности и управление системой защиты.', 144 => false, 145 => 'Политика информационной безопасности оформляется в виде документированных требований на [[информационная система|информационную систему]]. Документы обычно разделяют по уровням описания (детализации) процесса защиты.', 146 => false, 147 => 'Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.', 148 => false, 149 => 'Согласно ГОСТ Р ИСО/МЭК 17799—2005<ref name="ГОСТ Р ИСО/МЭК 17799—2005"/>, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».', 150 => false, 151 => 'К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, [[Контент-фильтр|Контентная фильтрация]] и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.', 152 => false, 153 => 'В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.', 154 => false, 155 => '== Программно-технические способы и средства обеспечения информационной безопасности ==', 156 => 'В литературе предлагается следующая классификация средств защиты информации.<ref name="Домарев"/>', 157 => false, 158 => '* Средства защиты от [[Несанкционированный доступ к информации|несанкционированного доступа]] (НСД):', 159 => '** [[авторизация|Средства авторизации]];', 160 => '** [[Мандатное управление доступом]]<ref>[http://www.compress.ru/article.aspx?id=10099&iid=419 Информационная безопасность в современных системах управления базами данных]</ref>;', 161 => '** [[Избирательное управление доступом]];', 162 => '** [[Управление доступом на основе ролей]];', 163 => '** [[Журналирование]] (так же называется [[Аудит]]).', 164 => '* Системы анализа и моделирования информационных потоков (CASE-системы).', 165 => '* Системы мониторинга сетей:', 166 => '** [[Система обнаружения вторжений|Системы обнаружения и предотвращения вторжений]] (IDS/IPS).', 167 => '** Системы [[Предотвращение утечек|предотвращения утечек]] конфиденциальной информации (DLP-системы).', 168 => '* [[:Категория:Анализаторы трафика|Анализаторы протоколов]].', 169 => '* [[:Категория:Антивирусы|Антивирусные средства]].', 170 => '* [[:Категория:Межсетевые экраны|Межсетевые экраны]].', 171 => '* [[:Категория:Криптография|Криптографические средства]]:', 172 => '** [[Шифрование]];', 173 => '** [[Цифровая подпись]].', 174 => '* [[Резервное копирование|Системы резервного копирования]].', 175 => '* Системы бесперебойного питания:', 176 => '** [[Источник бесперебойного питания|Источники бесперебойного питания]];', 177 => '** Резервирование нагрузки;', 178 => '** [[Электрический генератор|Генераторы напряжения]].', 179 => '* [[:Категория:Аутентификация|Системы аутентификации]]:', 180 => '** [[Пароль]];', 181 => '** [[Ключ доступа (физический или электронный)]];', 182 => '** [[Сертификат (криптография)|Сертификат]];', 183 => '** [[Биометрия]].', 184 => '* Средства предотвращения взлома корпусов и краж оборудования.', 185 => '* Средства контроля доступа в помещения.', 186 => '* Инструментальные средства анализа систем защиты:', 187 => '** [[Антивирус]].', 188 => false, 189 => '== Организационная защита объектов информатизации ==', 190 => 'Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.', 191 => 'Организационная защита обеспечивает:', 192 => '* организацию охраны, режима, работу с кадрами, с документами;', 193 => '* использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности<ref>[http://inforsec.ru/business-security/org-security/85-paper-sec-practice-sec Организационная безопасность на предприятии: бумажная и практическая безопасность]</ref>.', 194 => 'К основным организационным мероприятиям можно отнести:', 195 => '* организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;', 196 => '* организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;', 197 => '* организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;', 198 => '* организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;', 199 => '* организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;', 200 => '* организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.', 201 => 'В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.', 202 => false, 203 => '== Исторические аспекты возникновения и развития информационной безопасности ==', 204 => 'Объективно категория «информационная безопасность» возникла с появлением [[Информационная система|средств информационных коммуникаций]] между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесён ущерб путём воздействия на [[Информационная система|средства информационных коммуникаций]], наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.', 205 => false, 206 => 'Учитывая влияние на трансформацию идей информационной безопасности, в развитии [[Информационная система|средств информационных коммуникаций]] можно выделить несколько этапов<ref name="Информационная безопасность"/>:', 207 => false, 208 => '* I этап — до 1816 года — характеризуется использованием естественно возникавших [[Информационная система|средств информационных коммуникаций]]. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.', 209 => false, 210 => '* II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств [[Электросвязь|электро-]] и [[радиосвязь|радиосвязи]]. Для обеспечения скрытности и помехозащищённости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого [[Кодирование|кодирования]] [[Сообщение|сообщения]] ([[сигнал]]а) с последующим декодированием принятого сообщения (сигнала).', 211 => false, 212 => '* III этап — начиная с 1935 года — связан с появлением [[Радиоэлектронные средства|радиолокационных и гидроакустических средств]]. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.', 213 => false, 214 => '* IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность [[Компьютер|электронно-вычислительных машин]] (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.', 215 => false, 216 => '* V этап — начиная с 1965 года — обусловлен созданием и развитием [[Локальная сеть|локальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]]. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём [[Системное администрирование|администрирования]] и управления доступом к сетевым ресурсам.', 217 => false, 218 => '* VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — [[хакер]]ов, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется [[информационное право]] — новая отрасль международной правовой системы.', 219 => false, 220 => '* VII этап — начиная с 1985 года — связан с созданием и развитием [[Глобальная вычислительная сеть|глобальных]] [[Компьютерная сеть|информационно-коммуникационных сетей]] с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.', 221 => false, 222 => '== См. также ==', 223 => '{{Навигация', 224 => ' |Викиучебник = Защита конфиденциальных данных и анонимность в интернете', 225 => '}}', 226 => '* [[Information Protection and Control]]', 227 => '* [[Common Criteria]]', 228 => '* [[Критерии определения безопасности компьютерных систем]]', 229 => '* [[Предотвращение утечек информации]]', 230 => '* [[СТО БР ИББС|Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)]]', 231 => '* [[Правонарушения в области технической защищённости систем]]', 232 => '* [[Стандарт SCAP]]', 233 => false, 234 => '== Примечания ==', 235 => '{{примечания}}', 236 => false, 237 => '== Литература ==', 238 => '* ''Бармен Скотт''. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.', 239 => '* ''Галатенко В. А.'' Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.', 240 => '* ''Галицкий А. В., Рябко С. Д., Шаньгин В. Ф.'' Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0.', 241 => '* ''Гафнер В.В.'' Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. - ISBN 978-5-222-17389-3', 242 => '* ''Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В.'' Информационная безопасность открытых систем. В 2-х томах', 243 => '** Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия - Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.', 244 => '** Том 2. — Средства защиты в сетях. — М.: Горячая линия - Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.', 245 => '* ''Лепехин А. Н.'' Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.', 246 => '* ''Лопатин В. Н.'' Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.', 247 => '* ''Малюк А.А.'' Теория защиты информации. — М.:Горячая линия - Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6.', 248 => '* ''Родичев Ю.'' Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.', 249 => '* ''Петренко С. А., Курбатов В. А.'' Политики информационной безопасности. — М.: Компания [[АйТи]], 2006. — 400 с. — ISBN 5-98453-024-4.', 250 => '* ''Петренко С. А.'' Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.', 251 => '* ''Шаньгин В. Ф.'' Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.', 252 => '* ''Щербаков А. Ю.'' Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.', 253 => '* ''Борисов М. А.'' Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0.', 254 => '* ''Жданов О. Н., Чалкин В. А.'' Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8.', 255 => '* ''Борисов М. А., Заводцев И. В., Чижов И. В.'' Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3.', 256 => '* ''Борисов М. А., Романов О. А.'' Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). №2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014. — 248 с. — ISBN 978-5-9710-0837-8.', 257 => '* ''Применко Э. А.'' Алгебраические основы криптографии. №9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014. - 294 с. - ISBN 978-5-397-04457-8.', 258 => '* ''Гуров С. И.'' Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.2. М.: Книжный дом «ЛИБРОКОМ», 2013. - 352 с. - ISBN 978-5-397-03899-7.', 259 => '* ''Исамидинов А. Н.'' Защита коммерческой тайны в сфере трудовых отношений. №11. М.: Книжный дом «ЛИБРОКОМ», 2014. - 120 с. - ISBN 978-5-9710-1047-0.', 260 => false, 261 => '== Ссылки ==', 262 => '{{Внешние ссылки нежелательны}}', 263 => '* [http://www.cnews.ru/reviews/free/security2006/index.shtml Обзор. Средства защиты информации и бизнеса 2006] CNews', 264 => '* [http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии] Европейский институт стандартов по электросвязи', 265 => '* [http://www.scrf.gov.ru/documents/5.html Доктрина информационной безопасности Российской Федерации]', 266 => '* [http://www.agentura.ru/dossier/russia/sovbez/docs/concept/ Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации]', 267 => '* [http://www.e-nigma.ru/stat/fz-149/ Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации]', 268 => false ]
Была ли правка сделана через выходной узел сети Tor (tor_exit_node)
0
Unix-время изменения (timestamp)
1401178883