Обеспечение безопасности информации

Приведение в соответствие системы информационной безопасности требованиям законодательства и лучшим международным практикам, включая: проведение аудита, разработку СМИБ и ОРД, реализацию технических мер защиты, тестирование на проникновение, аудит защищенности и оценку уязвимости ПО

Законодательные требования

С 2000 года в России совокупность официальных взглядов на обеспечение национальной безопасности в области защиты информации отражает Доктрина информационной безопасности.

Порядок обеспечения защиты информации регламентируется нормативными документами регулирующих органов и федеральным законодательством, в том числе:

  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • 187-ФЗ«О безопасности критической информационной инфраструктуры Российской Федерации»
  • 98-ФЗ «О коммерческой тайне»
  • Приказы ФСБ России
  • Приказы ФСТЭК России

Для формирования и модификации концептуальной модели ИБ используются российские и международные стандарты.

  • Серия ГОСТ Р ИСО/МЭК 27XXX
  • Серия ISO/IEC 27XXX
  • COBIT (Control Objectives for Information and Related Technologies)

Определения

Информация
сведения (сообщения, данные) независимо от формы их представления (149-ФЗ)
Информационная система
совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (149-ФЗ)
Информационная безопасность
свойство информации сохранять конфиденциальность, целостность и доступность (ГОСТ Р ИСО/МЭК 27000)
Обладатель информации
лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации (149-ФЗ)

Принципы

Ключевые составляющие ИБ — триада CIA.

Конфиденциальность (Confidentiality)
свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов
Целостность (Integrity)
свойство сохранения правильности и полноты информационных активов
Доступность (Availability)
свойство быть доступной и готовой к использованию по запросу авторизованного субъекта

Обязанности обладателя информации

  • Соблюдать права и законные интересы других лиц
  • Принимать меры по защите информации
  • Ограничивать доступ к информации, если такая обязанность установлена на законодательном уровне

Какие данные защищаем?

Информация ограниченного доступа — информация, доступ к которой ограничен в соответствии с законодательством РФ или нормами, установленными обладателем информации.

В отношении информации ограниченного доступа необходимо соблюдать конфиденциальность, если иное не предусмотрено законом.

Защита информации, составляющей государственную тайну, осуществляется в соответствии с Законом РФ «О государственной тайне».

Условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну устанавливаются федеральными законами РФ.

Порядок доступа к персональным данным граждан устанавливается Федеральным законом «О персональных данных». Подробнее о выполнение требований данного закона в разделе Персональные данные.

Как обеспечить безопасность информации?

  • Разработать концептуальную модель защиты информации с учетом требований законодательства и потребностей бизнеса
  • Разработать организационно-распорядительную документацию по информационной безопасности
  • Обеспечить техническую реализацию системы защиты с учетом экономической целесообразности
  • Создать специальное подразделение или назначить лиц, ответственных за обеспечение информационной безопасности
  • Организовать мероприятия по тестированию системы
  • Выполнить требования применимого законодательства по защите информации
  • Разработать систему взаимодействия с регулирующими органами и субъектами
  • Реализовать программу повышения осведомленности и обучения сотрудников

Что будет, если система защиты отсутствует/не защищает?

Реализация следующих рисков ИБ:

  • Репутационный, финансовый или иной ущерб
  • Нарушение нормальной деятельности организации
  • Нарушение законодательных, нормативных или договорных требований

Наши услуги

  • Аудит соответствия системы информационной безопасности современным практикам и требованиям законодательства
  • Построение и сопровождение системы менеджмента информационной безопасности
  • Разработка документации по информационной безопасности
  • Реализация технических мер защиты информации
  • Тестирование на проникновение
  • Аудит защищенности
  • Оценка уязвимостей ПО

Обратитесь к нам

Вы можете распечатать эту страницу и использовать её в качестве справочного материала.

Наши специалисты готовы проконсультировать вас по всем имеющимся вопросам.