Информационная безопасность
Информационная безопасность — это комплекс мер, которые нужны, чтобы защитить от утечки или взлома программы, компьютерные системы и данные.
Средства информационной безопасности защищают данные от утечки, программы, системы и сети — от взлома, несанкционированного доступа, порчи файлов или других видов атак. Если речь о коммерческих или государственных структурах, сведения также защищают от шпионов или возможных злоумышленников внутри самого коллектива.
От каких угроз защищает информационная безопасность
Угрозы безопасности разделяют на две категории: внутренние и внешние.
Внутренние. Это угрозы, которые идут изнутри системы. Чаще всего в таких случаях речь идет об утечке данных или об их повреждении. Например, кто-то подкупил сотрудника, и тот похитил данные, составляющие коммерческую тайну. Второй вариант — злоумышленником оказался авторизованный пользователь.
Еще одна внутренняя угроза — риск банальной ошибки, в результате которой конфиденциальные сведения окажутся в открытом доступе или повредятся.
Внешние. Сюда относятся угрозы, которые приходят извне, и они могут быть куда разнообразнее. Это, например, попытка взлома системы через найденную уязвимость: злоумышленник проникает в сеть, чтобы украсть или повредить информацию. Или DDoS-атака, когда на веб-адрес приходит огромное количество запросов с разных адресов, и сервер не выдерживает, а сайт перестает работать.
Сюда же можно отнести деятельность компьютерных вирусов: они способны серьезно навредить работе системы. Действия таких вредоносных программ могут быть очень разнообразными: от рассылки спама от имени взломанного адреса до полной блокировки системы и повреждения файлов.
Еще к внешним угрозам безопасности относятся форс-мажоры и несчастные случаи. Например, хранилище данных оказалось повреждено в результате аварии или пожара. Такие риски тоже нужно предусмотреть.
Три принципа информационной безопасности
Информационная безопасность отвечает за три вещи: доступность, конфиденциальность и целостность данных.
Доступность. Это значит, что к информации могут получить доступ те, у кого есть на это право. Например, пользователь может зайти в свой аккаунт и увидеть все, что в нем есть. Клиент может перейти в каталог и посмотреть на товары. Сотрудник может зайти во внутреннюю базу данных для его уровня доступа. А если на систему производится атака и она перестает работать, доступность падает порой до полного отказа.
Конфиденциальность. Второй принцип — конфиденциальность. Он означает, что информация должна быть защищена от людей, не имеющих права ее просматривать. То есть в тот же аккаунт пользователя не сможет войти чужой человек. Без регистрации нельзя комментировать что-то на сайте, без личного кабинета — оплатить заказ. Человек, который не работает в компании, не может зайти в ее внутреннюю сеть и посмотреть там на конфиденциальные данные. Если систему взламывают, конфиденциальность оказывается нарушенной.
Целостность. Целостность означает, что информация, о которой идет речь, не повреждена, существует в полном объеме и не изменяется без ведома ее владельцев. Комментарий не сможет отредактировать посторонний человек — только автор или иногда модератор. Сведения в базе данных меняются только по запросу тех, у кого есть доступ. А в вашем аккаунте не появятся письма, написанные от вашего лица без вашего ведома. При взломе системы целостность опять же может нарушиться: информацию могут модифицировать, повредить или стереть.
Какие данные охраняет информационная безопасность
Персональные. Персональные данные — информация, которая связана с какими-то людьми. Это ФИО, телефон, адрес жительства, электронная почта и многое другое. По российским законам эти данные нужно охранять от несанкционированного доступа.
Документы по защите персональных данных
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
Федеральный закон от 24.07.1998 N 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации»
Положение о защите персональных данных воспитанником МБДОУ ДС №31 «Журавлик»
Положение о защите персональных данных работников МБДОУ ДС №31 «Журавлик»
Приказ «О назначении ответственного за организацию обработки персональных данных»
Приказ «Об утверждении мест хранения материальных носителей персональных данных»
Бланк согласия на обработку персональных данных для сотрудников МБДОУ ДС №31 «Журавлик»
Запрос субъекта персональных данных на уточнение его персональных данных