Доступность возможность уполномоченных лиц обрабатывать информацию.
Таким образом, основываясь на данных базовых признаках видно, что информационная безопасность должна быть направлена не только на предотвращение рисков утечки защищаемой информации, но и на нормальное функционирование и динамичное развитие информационной инфраструктуры.
При реализации политики информационной безопасности на предприятии должны четко соблюдаться следующие принципы обеспечения информационной безопасности:
Строгое выполнение правил, предписанных политикой информационной безопасности четкое соблюдение всех предписаний, содержащихся в документированных инструкциях и регламентах для сотрудников. Все действия согласной данным требованиям должны исполняться и фиксироваться;
Реализация отчетности и идентификации все субъекты информационной системы и пользователи информации, имеющие права доступа для работы с защищаемой информацией должны быть однозначно идентифицированы, а действия, совершаемые ими по отношению к защищаемой информации регистрироваться;
Достижение достоверности путем подтверждения соответствия совершаемых операций регламентированным действиям и результатам;
Обеспечение идентичности информационных ресурсов заявленным параметрам, которые должны оставаться неизменными для правильного функционирования системы информационной защиты.
Основные сферы обеспечения информационной безопасности аппаратное и программное обеспечение, а также каналы связи. Процедуры и механизмы защиты информации подразделяются на средства для физического уровня, обеспечение персональной и организационной защиты.
1.2.2 Основные определения о персональных данных
В настоящее время невозможно представить деятельность организации, работающей с клиентами без работы с информацией о них. Компании обрабатывают информацию о сотрудниках, клиентах, партнерах и других лицах. Безусловно, любая утечка или потеря персональных данных способна привести к невосполнимому ущербу для бизнеса и репутации. Наряду с этим защита персональных данных это требование законодательства.
Согласно ФЗ от 27.07.2006 г. 152-ФЗ «О персональных данных» (п. 1 ст. 3): персональные данные любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. Такое определение позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность.
Оператор государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).
Обработка персональных данных любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).
Тип информационной системы обработки персональных данных и средств защиты персональных данных определяется в соответствии с Федеральным законом «О персональных данных».
Типы угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».
Уровень защищенности персональных данных при их обработке в информационной системе определяется в соответствии с ПП РФ от 01.11.2012 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». [6]
1.2.3 Регуляторы РФ в сфере обработки персональных данных
1.2.3 Регуляторы РФ в сфере обработки персональных данных
Контроль и надзор за выполнением требований федерального законодательства о защите ПДн, в соответствии с п. 3 ст. 19 Федерального закона «О персональных данных», осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в информационных системах персональных данных. [5]
Выполнение требований закона «О персональных данных» контролируют 3 государственных органа:
главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным;
ФСТЭК России, проверяющий выполнение требований по технической защите;
ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных. [7]
1.3 Угрозы информационной безопасности
Возникновение понятия информационной безопасности сопряжено с существованием угроз нанесения материального или морального ущерба путем воздействия на информацию или средства коммуникации, по которым она передается. В наше время совершенствуются не только средства, обрабатывающие информацию, но и технологии злоумышленников для хищения защищаемой информации с целью извлечения выгоды. Применение средств защиты информации должно свести к минимуму потенциальные и существующие угрозы защищаемой информации.
Угроза информационной безопасности возможность реализации уязвимости объекта защиты, которая характеризуется в изменении, хищении или уничтожении информации.
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Стоит отметить, что источники угроз безопасности информации могут быть внешними или внутренними. Такое деление объясняется различными методами противодействия для внешних и внутренних источников угроз.
Рассмотрим основные группы источников угроз информационной безопасности:
Антропогенные обусловленные действиями субъектов: субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
Техногенные обусловленные техническими средствами: наименее прогнозируемые источники угроз, зависящие от свойств техники и требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
Стихийные данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить, или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы. [1]
1.3.1 Антропогенные источники угроз
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
Криминальные структуры;
Потенциальные преступники и хакеры;
Недобросовестные партнеры;
Технический персонал поставщиков телекоммуникационных услуг;