Информационная безопасность — это комплекс мер, которые нужны, чтобы защитить от утечки или взлома программы, компьютерные системы и данные.

Средства информационной безопасности защищают данные от утечки, программы, системы и сети — от взлома, несанкционированного доступа, порчи файлов или других видов атак. Если речь о коммерческих или государственных структурах, сведения также защищают от шпионов или возможных злоумышленников внутри самого коллектива.

От каких угроз защищает информационная безопасность

Угрозы безопасности разделяют на две категории: внутренние и внешние.

Внутренние. Это угрозы, которые идут изнутри системы. Чаще всего в таких случаях речь идет об утечке данных или об их повреждении. Например, кто-то подкупил сотрудника, и тот похитил данные, составляющие коммерческую тайну. Второй вариант — злоумышленником оказался авторизованный пользователь.

Еще одна внутренняя угроза — риск банальной ошибки, в результате которой конфиденциальные сведения окажутся в открытом доступе или повредятся.

Внешние. Сюда относятся угрозы, которые приходят извне, и они могут быть куда разнообразнее. Это, например, попытка взлома системы через найденную уязвимость: злоумышленник проникает в сеть, чтобы украсть или повредить информацию. Или DDoS-атака, когда на веб-адрес приходит огромное количество запросов с разных адресов, и сервер не выдерживает, а сайт перестает работать.

Сюда же можно отнести деятельность компьютерных вирусов: они способны серьезно навредить работе системы. Действия таких вредоносных программ могут быть очень разнообразными: от рассылки спама от имени взломанного адреса до полной блокировки системы и повреждения файлов.

Еще к внешним угрозам безопасности относятся форс-мажоры и несчастные случаи. Например, хранилище данных оказалось повреждено в результате аварии или пожара. Такие риски тоже нужно предусмотреть.

Три принципа информационной безопасности

Информационная безопасность отвечает за три вещи: доступность, конфиденциальность и целостность данных.

Доступность. Это значит, что к информации могут получить доступ те, у кого есть на это право. Например, пользователь может зайти в свой аккаунт и увидеть все, что в нем есть. Клиент может перейти в каталог и посмотреть на товары. Сотрудник может зайти во внутреннюю базу данных для его уровня доступа. А если на систему производится атака и она перестает работать, доступность падает порой до полного отказа.

Конфиденциальность. Второй принцип — конфиденциальность. Он означает, что информация должна быть защищена от людей, не имеющих права ее просматривать. То есть в тот же аккаунт пользователя не сможет войти чужой человек. Без регистрации нельзя комментировать что-то на сайте, без личного кабинета — оплатить заказ. Человек, который не работает в компании, не может зайти в ее внутреннюю сеть и посмотреть там на конфиденциальные данные. Если систему взламывают, конфиденциальность оказывается нарушенной.

Целостность. Целостность означает, что информация, о которой идет речь, не повреждена, существует в полном объеме и не изменяется без ведома ее владельцев. Комментарий не сможет отредактировать посторонний человек — только автор или иногда модератор. Сведения в базе данных меняются только по запросу тех, у кого есть доступ. А в вашем аккаунте не появятся письма, написанные от вашего лица без вашего ведома. При взломе системы целостность опять же может нарушиться: информацию могут модифицировать, повредить или стереть.

Какие данные охраняет информационная безопасность

Персональные. Персональные данные — информация, которая связана с какими-то людьми. Это ФИО, телефон, адрес жительства, электронная почта и многое другое. По российским законам эти данные нужно охранять от несанкционированного доступа.

Документы по защите персональных данных

Федеральный закон от 29.12.2010 N 436-ФЗ (ред. от 29.07.2018) «О защите детей от информации, причиняющей вред их здоровью и развитию»

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

Федеральный закон от 24.07.1998 N 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации»

Распоряжение Правительства РФ от 02.12.2015 N 2471-р «Об утверждении Концепции информационной безопасности детей»

Положение о защите персональных данных воспитанником МБДОУ ДС №31 «Журавлик»

Положение о защите персональных данных работников МБДОУ ДС №31 «Журавлик»

Приказ «О назначении ответственного за организацию обработки персональных данных»

Приказ «Об утверждении  Политики оператора в отношении обработки персональных данных МБДОУ ДС №31 «Журавлик»»

Приказ «Об утверждении мест хранения материальных носителей персональных данных»

Приказ «Об утверждении Правил оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных»

Приказ «Об утверждении Правил рассмотрения запросов субъектов персональных данных или их законных представителей в МБДОУ ДС №31 «Журавлик»»

Приказ «Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами МБДОУ ДС №31 «Журавлик»»

Бланк согласия на обработку персональных данных для сотрудников МБДОУ ДС №31 «Журавлик»

Бланк согласия на обработку персональных данных для родителей (законных представителей) воспитанников МБДОУ ДС №31 «Журавлик»

Бланк запроса на прекращение обработки персональных данных в связи с отзывом согласия на обработку персональных данных

Запрос субъекта персональных данных на уточнение его персональных данных

Запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных