Безопасность

Страница для печати

Безопасность      В современном конкурентном мире стоимость коммерческой информации сравнима со стоимостью самого предприятия, владеющего ей. Утрата информации может привести к снижению доходов предприятия, банкротству, судебным искам клиентов.

     Одной из приоритетных задач Информационных технологий является защита и сокрытие коммерческих данных от несанкционированного доступа и использования.

     Внедрения корпоративных информационных систем могут быть успешно реализованы только при наличии хорошо организованных средств защиты информации, централизованного управления информационными ресурсами и разграничения доступа к ним. Это особенно важно при обеспечении доступа пользователей из внешних сетей к локальным корпоративным ресурсам.

!     Аутентификация пользователей — это краеугольный камень информационной безопасности. Если пользователи пишут пароли на бумажках и приклеивают их к мониторам, ни о какой информационной защите не может быть и речи.

 

Задачи информационной безопасности

     Основные задачи, решаемые в рамках информационной безопасности по отношению к работоспособности ИТ систем, должны обеспечивать защиту от:

  • воздействий нарушающих штатную доступность данных, функционирование информационных каналов, коммутационного оборудования, каналов управления, системного и прикладного программного обеспечения;
  • несанкционированного доступа к информационным ресурсам и от попыток использования ресурсов сети, приводящих к утечке данных, нарушению целостности сети, информации;
  • разрушения встраиваемых и внешних средств защиты;
  • непреднамеренных вредоносных воздействий пользователей и персонала на инфраструктуру сети;
  • неправомочных действий пользователей и обслуживающего персонала сети.


Для решения задач обеспечения безопасности в информационно-телекоммуникационных сетях необходимо:

  • разграничить права пользователей на доступ только к необходимой им для работы информации;
  • подтвердить подлинность пользователей и объектов данных (аутентификация сторон, устанавливающих связь);
  • проводить аудит действий пользователей в информационных системах;
  • защитить от несанкционированного доступа к информационным ресурсам;
  • производить мониторинг попыток несанкционированного доступа;
  • защитить программные продукты от внедрения вирусов и программных закладок, а также техническое оборудование от внедрения электронных устройств съема информации;
  • защитить информацию при ее хранении, обработке и передаче по сети;
  • обнаружить и предупредить нарушение целостности объектов данных;
  • ограничить физический доступ в помещения к средствам управления и техническому оборудованию;
  • организовать мероприятия, направленные на обеспечение сохранности конфиденциальных данных, такие как:
    • регулярные принудительные изменения паролей пользователей;
    • диагностика и замена изношенного, аварийного и устаревшего оборудования;
    • непрерывный мониторинг нештатной работы оборудования и программных средств.

 

Шифрование

Шифрование данных     Применение криптографических методов защиты обеспечивает решение основных задач информационной безопасности. Этого можно добиться путем реализации следующих криптографических методов защиты как пользовательской и служебной информации, так и информационных ресурсов в целом:

  • шифрование всего информационного трафика, передающегося через открытые сети передачи данных, и отдельных сообщений;
  • криптографическая аутентификация устанавливающих связь объектов (шифрование паролей методом открытого публичного ключа, например RSA);
  • защита несущего данные трафика средствами имитозащиты (защиты от навязывания ложных сообщений) и электронно-цифровой подписи с целью обеспечения целостности и достоверности передаваемой информации;
  • шифрование  файлов и баз данных;
  • контроль целостности программного обеспечения путем применения криптографически стойких контрольных сумм;

     Согласно постановлению Правительства Российской Федерации от 29.12.2007 г. № 957, следующие виды деятельности, связанные с предоставлением услуг шифрования (криптографии),  требуют лицензирования:

  • деятельность по распространению шифровальных (криптографических) средств;
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
  • предоставление услуг в области шифрования информации;
  • разработка, производство программных и аппаратных шифровальных (криптографических) средств.

     Постановлением Правительства Российской Федерации от 26 января 2006 года № 45 органом, осуществляющим лицензирование деятельности с шифровальными средствами, утверждена ФСБ России. За деятельность без лицензии или с нарушением условий лицензии существует уголовная и административная ответственность, которая подразумевает наказание для физических и юридических лиц в виде штрафов, конфискаций, временного приостановления деятельности и ареста (УК РФ статья 171, КоАП РФ статьи 13.12, 13.13 и 14.1).

     Однако, не существует законодательных требований по обязательному использованию сертифицированных шифровальных средств для защиты информации, которая не входит в перечни сведений конфиденциального характера и сведений, отнесенных к государственной тайне.
     В случаях защиты личной информации и собственной информации компаний, использовать шифровальные средства, не имеющие сертификаты ФСБ России не запрещено. Меры по защите таких данных определяют обладатели информации, т.е., собственники информации, компании, организации или частные лица.
     Таким образом, владелец информации свободен в выборе средств и реализаций защиты собственных данных.

     Ввиду отсутствия соответствующих лицензий, мы не можем предоставить Вам услуги шифрования данных. Тем не менее, Вы собственными силами можете обезопасить свои данные с помощью Свободного Программного Обеспечения.
 

Свободное программное обеспечение для шифрования данных:

Свободное ПО для шифрования данных     Список и сравнение программ шифрования данных.

     Программное обеспечение, которое позволит Вам безопасно хранить [на шифрованных дисках или отдельными файлами] и передавать [зашифрованные письма] по электронной почте: