Объекты критической инфраструктуры организации и обеспечение их безопасности

Обеспечение информационной безопасности (ИБ) — одна из ключевых мер по поддержанию стабильной работы компаний и промышленных предприятий, государственных органов и общественных организаций, функционирования экономики и государства в целом. Учитывая ее все возрастающее значение, ИБ регламентируется на уровне федерального законодательства и по праву считается одним из элементов национальной безопасности. Основным законодательным актом в этой сфере является федеральный закон № 187-ФЗ.

Критические объекты ИБ: что это?

В законе, помимо прочего, дается определение критической информационной инфраструктуре. К информационной инфраструктуре в целом относятся информационные системы и сети телекоммуникации, АСУ и линии связи, которые обеспечивают их взаимодействие.

Для отнесения объекта информационной безопасности к «критической инфраструктуре» он должен использоваться государственным органом или учреждением, российской компанией или организацией в следующих отраслях:

• наука и здравоохранение;
• транспорт и связь;
• энергетическая сфера (в том числе атомная энергетика и ТЭК);
• банковский сектор;
• металлургия;
• химическая, горнодобывающая промышленность;
• ракетно-космическая отрасль;
• оборонная промышленность.

Также к критическим объектам защиты в области информационной безопасности причисляют системы, которые обеспечивают взаимодействие вышеперечисленных организаций и компаний. Важно, что они тоже должны принадлежать российским компаниям или предпринимателям.

Основные объекты защиты при обеспечении информационной безопасности

Информационная безопасность направлена на обеспечение защиты от внешних и внутренних угроз целого комплекса объектов. От их типа зависит подбор методов и средств защиты.

Существует множество объектов защиты. Их можно разбить на следующие основные категории:

• информация;
• ресурсные объекты;
• физические объекты;
• пользовательские объекты.

Рассмотрим подробнее, что относится к каждой из этих категорий основных объектов защиты при обеспечении информационной безопасности.

Информация

К числу основных объектов, нуждающихся в защите, относится непосредственно информация, которая хранится, обрабатывается и передается в информационных и телекоммуникационных системах. В зависимости от формы представления она может быть таких видов:

• в форме аналоговых сигналов;
• в форме цифровых сигналов;
• в виртуальной форме и т. д.

Защите подлежит информация с ограниченным доступом, которая делится на сведения, составляющие государственную тайну и конфиденциальная информация. Отнесение информации к гостайне и порядок использование таких сведений регламентируются законодательством. К конфиденциальной информации относят персональные данные, коммерческую и профессиональную тайну, сведения об изобретениях и т. д.

Ресурсные объекты

К ресурсным объектам защиты в области информационной безопасности относятся технические, программные средства, организационные процедуры, которые применяются для обработки, хранения и передачи информации.

В том числе к таким объектам относятся:

• аппаратное обеспечение информационных и телекоммуникационных систем;
• программное обеспечение;
• процедуры и процессы обработки данных и т. д.

Физические объекты

К этой категории относится широкий перечень объектов, составляющих основные фонды предприятий, организаций и учреждений, в том числе:

• здания и сооружения;
• помещения;
• территории;
• технологическое оборудование;
• средства и каналы связи.

Главным критерием отнесения этих объектов к числу подлежащих информационной защите является задействованность в процессах хранения, передачи, обработки данных. Например, сюда относятся здания и помещения, в которых физически размещены информационные системы, помещения для ведения конфиденциальных переговоров и т. д.

Пользовательские объекты

К пользовательским объектам защиты от угроз информационной безопасности относятся:

• непосредственно пользователи сведений, подлежащих защите;
• субъекты информации, например, лица, чьи персональные данные обрабатываются системой;
• владельцы информации;
• персонал, обслуживающий информационные системы.

В качестве объектов защиты выступают граждане, организации и предприятия, государственные учреждения и органы, а также непосредственно государство.

Сферы защиты

В соответствии с действующей в России Доктриной информационной безопасности выделяются следующие сферы защиты:

• Экономическая. Деятельность предприятий и компаний, рынок ценных бумаг, финансовый и кредитный сектор.
• Сфера технологии, науки, образования.
• Внутриполитическая. Охватывает вопросы, нацеленные на предотвращение экстремизма, сепаратизма, национальной розни.
• Внешнеполитическая. Сфера, которая охватывает интересы России в международных отношениях и имидж страны на международном уровне.
• Правоохранительная и судебная сферы.
• Духовная. Охватывает вопросы деятельности религиозных организаций на территории РФ.

Обеспечение эффективной информационной безопасности в этих сферах направлено на поддержание полноценной деятельности государства и государственных органов, нацелено на защиту интересов системообразующих организаций и предприятий, а также других компаний. Кроме того, информационная безопасность во включенных в доктрину сферах защиты, предотвращает внешнее и внутреннее деструктивное воздействие на сознание граждан.

Средства защиты информации

Средства защиты информации обычно делят на нормативные и технические. Обе группы — сборные, в них входит множество конкретных инструментов, методик, подходов, применяемых для защиты данных.

Нормативные средства защиты

В категорию нормативных включают законодательные, административно-организационные и морально-этические средства (документы, правила, мероприятия и т. п.).

• Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
• Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации, поскольку несанкционированное использование конфиденциальных часто осуществляется людьми и никак не зависит от техники. Причем не всегда по злому умыслу — часто ценные данные попадают в общий доступ по неосторожности и небрежности. Чтобы исключить или хотя бы свести к минимуму вероятность подобных ситуаций нужны понятные правила работы с данными внутри организации. Нужно регламентировать работу персонала с интернетом, электронной почтой и другими необходимыми ресурсам. Отдельный пункт — получение электронной цифровой подписи и правила работы с ней.
• К морально-этическим средствам можно отнести сложившиеся в обществе или конкретном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Технические средства защиты

Технические средства защиты можно разделить на физические, аппаратные, программные и криптографические.

• Физические средства защиты информации функционируют независимо от информационных систем и создают препятствия для доступа к ним. Электронные экраны, жалюзи, видеокамерами, видеорегистраторами, датчиками.
• Аппаратные средства защиты — устройства, которые встраиваются в информационные и телекоммуникационные системы. Специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. К аппаратным средствам относятся генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств.
• Программные средства защиты информации — здесь речь идет о разнообразном ПО. Имейте ввиду, что программные средства требовательны к мощности аппаратных устройств — проще говоря под них стоит выделить отдельный и хороший компьютер.
• Математический (криптографический) — внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети. Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, формирования и проверки ключей, электронной цифровой подписи.

Обеспечение информационной безопасности — это всегда комплекс мер, включающий все аспекты защиты информации, от внутреннего регламента по аутентификации до шлюзов безопасности. К созданию и обеспечению работоспособности таких комплексов нужно подходить серьезно и кропотливо. И главное — соблюдайте «золотое правило» — это комплексный подход.

Вместо заключения

Нужно признать, что мы уже живем в цифровом мире и будущее, каким его видели фантасты, действительно наступило. Производство стремительно автоматизируется, компьютеры управляют электростанциями и заводскими конвейерами, личные данные миллионов людей курсируют по сети, камеры научились распознавать лица в толпе, а на улицах вот-вот появятся автомобили без водителей.

Современная цифровая инфраструктура, огромная и невероятно сложная, связывающая самые разные стороны жизни, требует особенно тщательной защиты. Хакер в нашем мире перестал быть хулиганом, который рисует на стенах в подъезде — ему вполне по силам обрушить весь дом и оставить жильцов без крыши над головой. Информационная безопасность теперь не менее (а возможно и более) важна, чем экономическая, военная или любая другая.