Порядок розробки технічного завдання на розробку системи захисту інформації інформаційної системи
Введення
Розвиток нових інформаційних технологій і загальна комп'ютеризація призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик ІВ. Існує досить великий клас систем обробки інформації, при розробці яких фактор безпеки відіграє першорядну роль (наприклад, банківські інформаційні системи).
Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціонування, від спроб розкрадання (несанкціонованого отримання) інформації, модифікації або фізичного руйнування її компонентів. Інакше кажучи, це здатність протидіяти різним впливи на ІВ.
Під загрозою безпеки інформації розуміються події або дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.
Якщо виходити з класичного розгляду кібернетичної моделі будь керованої системи, впливи на неї можуть носити випадковий характер. Тому серед загроз безпеці інформації слід виділяти як один з видів загрози випадкові, чи ненавмисні. Їх джерелом можуть бути вихід з ладу апаратних засобів, неправильні дії працівників ІС або її користувачів, ненавмисні помилки в програмному забезпеченні і т.д. Такі погрози теж слід тримати в увазі, так як збиток від них може бути значним. Однак у даній чолі найбільша увага приділяється загрозам умисним, які, на відміну від випадкових, переслідують мету нанесення шкоди керованій системі або користувачам. Це робиться нерідко заради отримання особистої вигоди.
Людини, що намагається порушити роботу інформаційної системи або дістати несанкціонований доступ до інформації, зазвичай називають зломщиком, а іноді «комп'ютерним піратом» (хакером).
У своїх протиправних діях, спрямованих на оволодіння чужими секретами, зломщики прагнуть знайти такі джерела конфіденційної інформації, які б давали їм найбільш достовірну інформацію в максимальних обсягах з мінімальними витратами на її отримання. За допомогою різного роду вивертів і безлічі прийомів і засобів підбираються шляхи й підходи до таких джерел. У даному випадку під джерелом інформації мається на увазі матеріальний об'єкт, що володіє певними відомостями, що представляють конкретний інтерес для зловмисників або конкурентів.
Численні публікації останніх років показують, що зловживання інформацією, що циркулює в ІС або передається по каналах зв'язку, удосконалювалися не менше інтенсивно, ніж заходи захисту від них. В даний час для забезпечення захисту інформації потрібно не просто розробка приватних механізмів захисту, а реалізація системного підходу, що включає комплекс взаємопов'язаних заходів (використання спеціальних технічних і програмних засобів, організаційних заходів, нормативно-правових актів, морально-етичних заходів протидії і т.д. ). Комплексний характер захисту виникає з комплексних дій зловмисників, що прагнуть будь-якими засобами добути важливу для них інформацію.
Сьогодні можна стверджувати, що народжується нова сучасна технологія - технологія захисту інформації в комп'ютерних інформаційних системах і в мережах передачі даних. Реалізація цієї технології вимагає зростаючих витрат і зусиль. Однак все це дозволяє уникнути значно переважаючих втрат і збитків, які можуть виникнути при реальному здійсненні погроз ІС та ІТ.
Відповідно до 152-Федеральним Законам, кожне підприємство повинно забезпечити захист персональних даних своїх співробітників, клієнтів і партнерів і вжити всіх необхідних заходів, щоб уникнути таких правопорушень:
крадіжка персональних даних;
зміна;
блокування;
копіювання;
розголошення інформації та інші незаконні дії, зазначені в 152-ФЗ.
Оскільки під поняття «Персональні дані» потрапляють такі дані про людину, як прізвище, ім'я, по батькові, дата і місце народження, адреса, сімейний, соціальне і майнове становище, освіта, професія, інформація про доходи та багато іншого - система захисту персональних даних потрібна фактично будь-якої організації. У разі порушення положень закону № 152-ФЗ про захист персональних даних компанія може бути залучена до судового розгляду (аж до призупинення дій, анулювання відповідних ліцензій), а винні особи - до цивільної, кримінальної, адміністративної, дисциплінарної відповідальності.
1. Нормативно-правові акти Російської Феде...