Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Информационная безопасность. Часть 1. Основы

Информационная безопасность. Часть 1. Основы

Информационная безопасность — то чем частенько пренебрегают российские компании. Пренебрегают по вполне понятным причинам. Во-первых, предмет этот кажется очень сложным, непонятным и мутным. И, самое главное, скучным, требующим много внимания к нюансам, деталям и формализации. Во-вторых, полностью предотвратить потенциальную утечку или потерю информации – невозможно, поскольку, даже лишив человека всех возможных технических средств, всегда остается его способность запоминать, а потом где-то озвучивать то, что запомнил. И в-третьих: «А зачем? У нас нет секретов»

Все это связано с нашими представлениями о том, что же такое информационная безопасность. Часто понимание этой науки ограничивается необходимостью защищать от вирусов локальную сеть компании и делать резервные копии данных на сервере, с чем может справиться рядовой системный администратор. Либо, мы думаем что это «что-то», чем занимаются в отделах безопасности банков и крупных холдингов.

И то и другое представления не ошибочны, так как и то и другое имеет прямое отношение к сохранению информации и ее уровня конфиденциальности, но это лишь отдельные пазлы всей системы информационной безопасности.  Сегодня соберем первые.

Прежде всего, информационная безопасность базируется на стандартах: ISO/IEC 17799:2005 и его британском собрате BS 7799-1:2005. В России база — термины и определения — прописана в ГОСТ Р 50922-2006. Остальное можно с легкостью найти на Wikipedia.

Эти стандарты рассматривают понятие информации внутри компании, как весь объем информационных потоков. Это и очевидные электронные потоки информации: электронный документооборот, базы данных, хранилища файлов, видео- и аудиозаписи. Сюда же входят и средства обработки информации — программное обеспечение. И, не столь очевидные «бумажный» документооборот, и устная передача информации. Все это входит в сферу внимания информационной безопасности, цель которой — защита информации от утери и возможной утечки за границы, определенные для каждого типа информации внутри предприятия.

Считается, что безопасность информации складывается из трех аспектов:

  • Конфиденциальность — данные находятся в безопасности от внешних лиц.
  • Доступность - данные используются нужными людьми в нужное время.
  • Целостность — Данные безошибочны.

Сама информация классифицируется в соответствии со ее значением в компании и уровнем допуска к ней на четыре типа:

  1. Открытый (Public).
  2. Конфиденциальный, только для внутреннего использования (CompanyConfidential).
  3. Секретно (Secret).
  4. Совершенно секретно (TopSecret).

Базовый тип для всех видов информации компания определяет сама. Чаще всего это «Конфиденциальный, только для внутреннего использования».

И завершая разговор об основных понятиях информационной безопасности, стоит упомянуть о том, что служб, обеспечивающих защиту информации на уровне компании несколько:

  • Отдел кадров;
  • ИТ-отдел
  • Служба информационной безопасности (в небольших компаниях роль этой службы выполняет все тот же ИТ-отдел).

Это стандартная схема обеспечения защиты подразделениями информации компании.

В случае, если, речь идет о компаниях, занимающихся финансовой деятельностью, крупных холдингах, оборонных заводах и любых других компаниях с повышенным уровнем секретности должны быть внедрены еще две службы:

  • Служба экономической безопасности;
  • Служба безопасности персонала (Режимный отдел);

Вот и все на сегодня.

Первые несколько пазлов уже сложены.

Продолжение следует

Дополнительные материалы

Лучшие комментарии

  • Аватар

    Яковлев Андрей Михайлович [swtws], 19 мая 2011, 09:40

    Все это конечно хорошо, но 17799 немножко помер - новая редакция для стандартности имеет номер 27002.
    Второе, статья лоскутная, и тумана наводит больше, чем проясняет ситуацию. Реализуется ИБ в виде соответсвующей политики, ставящей своей целью защиту информационных активов, и все. Как - решает предприятие. Если хватит коммерческого ISO 27001 одно дело, если нужен уровень гостайны - другое. СТО БР ИББС 1.0 базируется на 17799 (27002)

Комментарии (7)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 19 мая 2011, 09:40

    2
    Все это конечно хорошо, но 17799 немножко помер - новая редакция для стандартности имеет номер 27002.
    Второе, статья лоскутная, и тумана наводит больше, чем проясняет ситуацию. Реализуется ИБ в виде соответсвующей политики, ставящей своей целью защиту информационных активов, и все. Как - решает предприятие. Если хватит коммерческого ISO 27001 одно дело, если нужен уровень гостайны - другое. СТО БР ИББС 1.0 базируется на 17799 (27002)
  • Аватар

    Тиманина Ольга [white_helga], 26 мая 2011, 23:32

    0
    Вы говорите, что "информация классифицируется в соответствии со ее значением в компании и уровнем допуска к ней на четыре типа", позвольте не согласиться с этим. Возможно, в зарубежных странах это действительно так, но в России хозяин компании сам определяет на сколько типов будет подразделяться информация. Если я Вас правильно поняла, речь идет о небольших компаниях, а в них в основном информацию делят на открытую и конфиденциальную.
    • Аватар

      Золотько Дмитрий [Ekzebiche], 27 мая 2011, 01:40

      0
      Я говорю о стандартах. Например, если ваша компания захочет пройти сертификацию по ISO 9001, то ваша ИТ служба также подпадет под аудит, и для получения сертификата компанией в целом, бородатые айтишники будут обязаны выполнить ряд базовых, но очень важных требований по информационной безопасности. И пожелания и взгляды хозяина в данном случае котироваться не будут
      • Аватар

        Котельников Илья [iluha], 27 мая 2011, 12:13

        0
        Про стандарты - понятно, но вот в фразу "если ваша компания захочет пройти сертификацию по ISO 9001 ..." следует перед словосочетанием "будут обязаны" надо добавить слово "ВОЗМОЖНО".
        Или Вы утверждаете, что стандарты ИСО 9001 напрямую указаны сведения по информационной безопасности для ВСЕХ предприятий? :)
        • Аватар

          Золотько Дмитрий [Ekzebiche], 27 мая 2011, 15:48

          0
          Прочитай вторую часть марлезонского балета - на своей шкуре это все в живую проходил... Я конечно не знаю как наши аудиторы делают. Мы, в свое время, как филиал европейского концерна, приглашали аудиторов из Европы. У них обязательно
    • Аватар

      Яковлев Андрей Михайлович [swtws], 22 июня 2011, 09:13

      0
      Везде абсолютно количество типов - на усмотрение менеджмента организации. Обычно 3-5.
  • Аватар

    Редков Алексей [ARedkov], 27 мая 2011, 16:50

    0
    Мне кажется сложно в принципе определить какая информация является конфиденциальной, а регулятора потом сделать легко ...

Также рекомендуем