Информационная безопасность: система защиты информации при использовании платформ ТОНК
Сегодня на каждом шагу, можно услышать такие понятия, как «система защиты информации», «кибербезопасность». За этой терминологией скрывается довольно разносторонний подход к информационной безопасности (ИБ). Так например, термин «кибербезопасность» нельзя встретить ни в одном из нормативных документов по ИБ. А ведь именно этими документами (Федеральные законы, приказы ФСТЭК, ФСБ и пр.) руководствуются в своей деятельности те сотрудники, которые безопасность и обеспечивают. Дать же чёткое определение термину «кибербезопасность» вряд ли сможет даже тот, кто активно использует его в своих выступлениях или статьях. Так что, тут мы имеем дело с пусть и красиво звучащим, но всего лишь журналистским штампом. Не более.
То же касается «Систем защиты информации». Их фактически не существует. Есть ИС, в которых с помощью технических и программных средств защиты обеспечивается безопасное использование применяемых информационных технологий, а также обеспечивается необходимый уровень доверия к безопасности.
Разработка таких систем включает в себя проработку всех правовых аспектов, организационные мероприятия, а также работы по программному и техническому оснащению. Главное — все факторы должны быть интегрированы между собой. Сегодняшний уровень технологий исключает игнорирование, хотя бы одной составляющей.
Конечно, все вопросы по защите информации необходимо решать еще на стадии проектирования ваших ИС, так как техническая защита информации включает конструктивные особенности, а программные продукты учитывают все требования по интеграции. Ведь, что греха таить, бывает и так: «Давайте, пока есть финансирование, мы будем систему собирать, а безопасность уже по ходу «прикрутим». Знакомо?
Современные предприятия государственного уровня, а также крупные коммерческие структуры имеют индивидуальные требования по мероприятиям, нацеленным на сохранность данных.
Нельзя говорить об обеспечении защиты информации на должном уровне, если функционал информационной безопасности не был заложен в ИС ещё на стадии проектирования и выбора используемых компонентов.
Общий подход к информационной безопасности
Три основных принципа, которым должна соответствовать ИБ – конфиденциальность, целостность, доступность. Рассмотрим их чуть подробнее.
— Принцип конфиденциальности: обеспечивает возможность получения информации только легитимным пользователям (процессам).
— Принцип целостности: информация в системе должна быть актуальной, правильной и полной.
— Принцип доступности: говорит нам о том, что информация должна быть доступна только для легитимных пользователей (процессов) в установленное время.
Если все условия (принципы) соблюдаются, систему можно считать защищенной. Оговоримся сразу, полностью защищенной информации не существует. Чем ценнее данные, тем больше ресурсов на их защиту расходуется, естественно до тех пор, пока это целесообразно, прежде всего, экономически или с точки зрения сохранности тайны.
Факторы угроз
Так от кого мы ее защищаем? Очевидно, что если есть легитимные (авторизованные) пользователи, то есть и не легитимные (неавторизованные).
Вот они и представляют опасность или угрозу. Угрозы бывают внутренние и внешние.
- Внутренние угрозы – инсайдеры, это люди или процессы, которые находятся внутри предприятия. Одним словом – «не хорошие» или беспечные сотрудники.
- Внешние угрозы – это то, что находится снаружи системы. Кстати, угрозы бывают не только в человеческом обличье, часто это процессы, в том числе техногенного плана. Например, нельзя строить хранилища данных под глиссадой.
Для того, что бы данные защитить, соблюдая основные принципы защиты информации — создаются модели угроз, как внешних, так и внутренних. Отметим, что правильней всего это делать на этапе проектирования. Но для действующих объектов, это тоже крайне полезно.
Исходя из моделей угроз, собственно, выстраивается подход к защите от этих угроз.
Внешние угрозы бывают разных видов: природные, техногенные и, конечно, связанные с «происками» конкурентов. Соответственно, для борьбы с ними используются физические системы защиты (такие как, пропускные пункты, рвы, заборы, системы охранной сигнализации, видеонаблюдения, контроля доступа и т.
д.), аппаратные и программные средства защиты информации (системы защиты кабелей, межсетевые экраны, генераторы шума и многое другое).
Что касается внутренних угроз, то здесь все немного сложнее. По оценкам специалистов компании IBM, основной объем похищенных данных в мире 75%-85%, приходится на внутренние угрозы, а попросту говоря на инсайдеров.
Для борьбы с инсайдерами используется техническая защита информации.
Инсайдер, как правило, сотрудник компании, имеющий доступ к информации, которую он передает неавторизованным пользователям. Как оградить свою компанию, от злоумышленника (помимо традиционных средств – пароли, журналы администратора, контроль доступа, видеонаблюдение и т.д.)?
Решения и обеспечительные меры
По статистике до 60% компьютерных инцидентов так или иначе связаны с компрометацией рабочих мест сотрудников. Оно и понятно, ведь рабочее место – это портал, точка входа в ИС предприятия, поэтому не стоит недооценивать важность защиты рабочего компьютера.
Решение — в ограничении доступа к данным, с одной стороны, и, с другой стороны, в ограничении возможности копирования данных на внешние носители, а также жесткий контроль и системы оповещения о несанкционированных действиях.
Простым языком это означает, что сотрудник должен работать только с той информацией, к которой у него есть доступ. Не иметь на своем компьютере другой информации (вообще-то даже заставки на рабочем столе компьютера должны проходить модерацию). Должно быть жесткое отсечение возможности скачивания данных, с которыми он работает, на флешку или другой носитель. То есть, компьютер не должен иметь возможности подключения внешних устройств.
В идеале, рабочая станция сотрудника должна обладать всеми функциями предотвращающими злоумышленные действия, а предприятие не рассчитывать на человеческие качества. Такая система обеспечивает замкнутую программную среду для каждого пользователя. Это означает, что пользователь видит и может запускать только разрешенные приложения.
Современные отечественные программно-аппаратные комплексы (ПАК) на тонких клиентах ТОНК, успешно реализовали готовые решения, включающие весь необходимый арсенал технических средств и, предлагающие на выбор предустановленные ОС (в том числе, имеющие сертификаты ФСТЭК, ФСБ, Генерального штаба Вооруженных сил РФ, Минобороны), расширенное антивирусное программное обеспечение.
АПК ТОНК рассчитаны на предотвращение практически всех моделей угроз, как внешних, так и внутренних. Удобный функционал позволяет сотрудникам выполнять абсолютно все задачи без риска для информационных систем.
Подтверждение легитимности пользователя достигается средствами двухфакторной аутентификации по смарт-карте или токену. Работа в доверенной среде обеспечивается программными и аппартаными средствами доверенной загрузки ПО, а также контролем физической целостности устройства (датчик вскрытия корпуса).
С помощью этих инструментов формируется доверенная информационная среда, которая надежно обеспечивает безопасность сохранности данных.
Внедряя на предприятии информационные системы на базе АПК ТОНК, решаются задачи не только по информационной безопасности, но и выполняется соответствие программе импортозамещения и требованиям Российского законодательства.
Напишите нам на адрес [email protected] и наши специалисты помогут вам подобрать комплексное решение для ваших рабочих мест, которое обеспечит надёжную работу и защиту информации в соответствии с предъявляемыми требованиями.
Пять ФЗ о защите информации, которые стоит знать
В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.
Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
149-ФЗ — главный закон об информации в России.
Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.
В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.
Ключевые моменты закона об информационной безопасности:
- Нельзя собирать и распространять информацию о жизни человека без его согласия.
- Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
- Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
- Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
- Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
- У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
- Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.
152-ФЗ «О персональных данных»
Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»
Ключевые моменты закона:
- Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
- Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
- Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
- Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
- Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.
При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш.
MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
98-ФЗ «О коммерческой тайне»
Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.
Ключевые моменты закона о защите информации компании:
- Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
- Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
- Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон.
- Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
- Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.
63-ФЗ «Об электронной подписи»
Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.
Ключевые моменты закона:
- Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
- Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
- Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
- Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.
Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.
К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.
Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.
Ключевые моменты закона об информационной безопасности критически важных структур:
- Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
- Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
- Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
- Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
- Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
- При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
- Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.
Например, использовать только сертифицированное ПО.Почему важна защита информации. Данные в UQ
Данные и информация являются ценными активами. Защита информации важна по многим причинам, в том числе:
Защита вашей личной информации (PII)
защита информации и решений UQ
Защита интеллектуальной собственности (ИС) и научных секретов
для обеспечения соответствия законодательству
для защиты репутации UQ и исследователей
и более.
Информация UQ, которая просочилась, подверглась манипулированию или стала недоступной, может привести к репутации, соблюдению требований, здоровью и безопасности или финансовому ущербу.
Защита вашей информации, позволяющей установить личность
Университет собирает конфиденциальную информацию и персональные данные, которые могут относиться к нынешним сотрудникам и их партнерам или ближайшим родственникам; деловые партнеры и клиенты; клиентов и других представителей общественности. Эта информация должна быть защищена, чтобы предотвратить неправомерное использование этих данных третьими лицами для мошенничества, такого как фишинг и кража личных данных.
Защита данных также имеет решающее значение для предотвращения киберпреступлений, обеспечивая защиту данных (особенно банковских) и контактной информации для предотвращения мошенничества.
Конфиденциальные деловые решения
Утечка данных может привести к несанкционированному раскрытию любой информации UQ, которая классифицируется выше, чем «ОФИЦИАЛЬНО — ОБЩЕСТВЕННО».
Это может причинить вред, серьезный вред или деформацию UQ, другой организации или физическому лицу.
Примеры могут включать информацию о бизнес-решениях, которые могут повлиять на доход, предложения по организационной реструктуризации, решения комитета по академическим нарушениям, бизнес-кейсы, бюджеты и т. д.
Законодательство
Существует множество законов о защите данных, которые университет должен соблюдать. К важным относятся:
Регламент о конфиденциальности информации 2009 г.
Закон о конфиденциальности 1988 г.
Закон об университете Квинсленда 1998 г.
Политика информационной безопасности (IS18:2018)
Политика управления информацией.
Кроме того, существует множество дополнительных федеральных законов, законов Квинсленда, федеральных политик, политик Квинсленда, глобальных правил (таких как GDPR), и даже соглашения о партнерстве в исследованиях могут включать дополнительные положения о конфиденциальности.
Кроме того, в соответствии со схемой нарушения данных, подлежащей уведомлению, правительство Австралии налагает финансовые санкции за утечку данных.
Защита данных исследований и интеллектуальной собственности
UQ — научно-исследовательское учреждение, приверженное «стремлению к совершенству» и находящееся в авангарде многих исследовательских начинаний. Таким образом, исследовательские данные, которые собирают исследователи UQ, ценны.
Интеллектуальная собственность (ИС) относится к творениям или знаниям, являющимся результатом интеллектуальных усилий. IP дает владельцу право решать, как другие могут использовать его творения.
Во многих случаях данные исследований или ИС могут быть конфиденциальными, содержать исследовательские секреты или даже собираться в партнерстве с промышленностью.
UQ обычно проводит конфиденциальные исследования. Например: медицина, дизайн, коммерческая тайна, культура аборигенов или исчезающие виды.
UQ имеет множество соглашений с финансирующими органами, больницами, промышленностью, правительством и другими партнерами; эти соглашения содержат обязательства в отношении конфиденциальности и ИС.
На самом деле субъекты киберугроз на уровне государства обычно нацеливаются на университеты и исследовательские институты для получения конфиденциальных данных исследований. Утечка данных исследований, собранных для исследовательского партнерства с Силами обороны Австралии (ADF), может передать сверхсекретную информацию ADF в руки вражеского государства.
Дополнительную информацию об интеллектуальной собственности см. в разделе «Интеллектуальная собственность для сотрудников, студентов и посетителей — Политика» или в модуле библиотеки «Интеллектуальная собственность и авторское право».
Защита репутации
Организации несут ущерб своему бренду и репутации в результате утечки данных. Сообщество может потерять веру и доверие к организации и ее приверженности конфиденциальности.
Кроме того, утечка конфиденциальных данных исследований может повлиять на репутацию исследователя или исследовательского учреждения.
Что такое Azure Information Protection (AIP)?
Редактировать Твиттер LinkedIn Фейсбук Электронная почта- Статья
Примечание
Вы ищете Microsoft Purview Information Protection , ранее Microsoft Information Protection (MIP)?
Надстройка Azure Information Protection для Office сейчас находится в режиме обслуживания и будет прекращена в апреле 2024 года. Вместо этого мы рекомендуем вам использовать метки, встроенные в ваши приложения и службы Office 365. Узнайте больше о статусе поддержки других компонентов Azure Information Protection.
Azure Information Protection (AIP) является частью Microsoft Purview Information Protection (ранее Microsoft Information Protection или MIP). Microsoft Purview Information Protection помогает обнаруживать, классифицировать, защищать и управлять конфиденциальной информацией, где бы она ни находилась или перемещалась.
AIP расширяет функциональные возможности маркировки и классификации, предоставляемые Microsoft Purview, со следующими возможностями:
- Унифицированный клиент маркировки
- Локальный сканер
- SDK
AIP также предоставляет службу шифрования Azure Rights Management, которая используется Microsoft Purview Information Protection.
Полный список возможностей Microsoft Purview Information Protection см. в статье Защита конфиденциальных данных с помощью Microsoft Purview.
Клиент унифицированной маркировки AIP
Клиент унифицированной маркировки Azure Information Protection расширяет возможности маркировки, классификации и защиты для дополнительных типов файлов, а также для проводника и PowerShell.
Например, в проводнике щелкните правой кнопкой мыши один или несколько файлов и выберите Классифицировать и защитить , чтобы управлять функциями AIP для выбранных файлов.
Загрузите клиент со страницы загрузки Microsoft Azure Information Protection.
Локальный сканер
Локальный сканер позволяет администраторам сканировать свои локальные репозитории файлов на наличие конфиденциального содержимого, которое должно быть помечено, классифицировано и/или защищено.
Локальный сканер устанавливается с помощью командлетов PowerShell, предоставляемых как часть унифицированного клиента маркировки, и им можно управлять с помощью PowerShell и области сканера защиты информации на портале соответствия Microsoft Purview.
Например, настройте параметр задания сканирования содержимого для локального сканера на портале соответствия Microsoft Purview:
Подробнее см.:
- Узнать о сканере защиты информации
- Сканер разделов клиента унифицированной маркировки AIP — История выпусков версий
Загрузите установку сканера вместе с клиентом со страницы загрузки Microsoft Azure Information Protection.
Microsoft Information Protection SDK расширяет метки конфиденциальности для сторонних приложений и служб. Разработчики могут использовать SDK для создания встроенной поддержки применения меток и защиты к файлам.
Например, вы можете использовать MIP SDK для:
- Бизнес-приложение, применяющее метки чувствительности к файлам при экспорте.
- Приложение для проектирования CAD/CAM, поддерживающее встроенную маркировку.
- Посредник безопасности облачного доступа или решение для предотвращения потери данных, которое использует данные, зашифрованные с помощью Azure Information Protection.
Дополнительные сведения см. в обзоре Microsoft Information Protection SDK.
Следующие шаги
Начало работы с AIP , загрузите и установите унифицированный клиент и сканер этикетирования.
- Подпишитесь на бесплатную пробную версию (Enterprise Mobility + Security E5)
- Скачать клиент
- Краткое руководство: развертывание унифицированного клиента этикетирования
Ознакомьтесь с AIP с помощью наших начальных руководств:
- Учебник. Установка единого сканера меток Azure Information Protection (AIP) Учебник
- . Поиск конфиденциального содержимого с помощью сканера Azure Information Protection (AIP)
Установка единого сканера меток Azure Information Protection (AIP)Когда вы будете готовы к дальнейшей настройке AIP , см. Руководство администратора: Пользовательские конфигурации для клиента унифицированных меток Azure Information Protection.
Чтобы начать работу с MIP SDK , см. раздел Установка и настройка Microsoft Information Protection (MIP) SDK.
Дополнительные ресурсы
| Ресурс | Ссылки и описание |
|---|---|
| Варианты подписки и руководство по лицензированию | Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям |
| Часто задаваемые вопросы и известные проблемы | Часто задаваемые вопросы об известных проблемах Azure Information Protection — Azure Information Protection |
| Варианты поддержки | Варианты поддержки для Azure Information Protection |
| Яммер | Группа защиты информации |
| Управление выпусками и возможность поддержки | Клиент унифицированной маркировки AIP — Управление выпусками и поддержка См. Оставить комментарий
|
