Компьютерная безопасность
- 1 year ago
- 0
- 0
Информационная безопасность ( англ. Information Security , а также — англ. InfoSec ) — практика предотвращения несанкционированного доступа , использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации . Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная или, например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности , целостности и доступности данных , с учётом целесообразности применения и без какого-либо ущерба производительности организации . Это достигается, в основном, посредством многоэтапного процесса управления рисками , который позволяет идентифицировать основные средства и нематериальные активы , источники угроз , уязвимости , потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками .
Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и администраторов . Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура не привита должным образом .
В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо компрометации в критической ситуации . К таким ситуациям относятся природные, техногенные и социальные катастрофы , компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах , требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях , что влечёт за собой привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев — какой-либо разновидности компьютерных систем ). Под компьютером в данном контексте подразумевается не только бытовой персональный компьютер , а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров , объединённых компьютерными сетями . Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак , зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.
Информационная безопасность, как сфера занятости , значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры , защиты программного обеспечения и баз данных , аудит информационных систем , планирование непрерывности бизнеса , выявление электронных записей и ( форензика ). Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Масштабные исследования, проведённые организацией (ISC)² показали, что на 2017 год 66 % руководителей информационной безопасности признали острую нехватку рабочей силы в своих подразделениях, а по прогнозам к 2022 году недостаток специалистов в этой области составит по всему миру 1 800 000 человек .
Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с « » ( англ. Crime-as-a-Service ), Интернетом вещей , цепями поставок и усложнением требований регуляторов . «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим . Это позволяет последним совершать хакерские атаки , ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением . Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются вовне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент защиты персональных данных ( англ. General Data Protection Regulation, GDPR ), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают .
Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами вредоносных программ ( вирусов и червей , троянских программ , программ-вымогателей ) , фишинга или кражи личности . Фишинг ( англ. Phishing ) представляет собой мошенническую попытку завладения конфиденциальной информацией (например, учётной записью , паролем или данными кредитной карты ). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт , неотличимый от оригинального сайта какой-либо организации ( банка , интернет-магазина , социальной сети и т. п.) . Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации , содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере , ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников . Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощью фишинга) используются для мошенничества и совершения иных преступлений . Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия . Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни , определение которой в различных культурах может весьма разниться .
Эксперты отмечают, что хуже всего защищены от кибератак госорганы . Органы государственной власти , вооружённые силы , корпорации , финансовые институты , медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и . Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая описывает математический аппарат для решения этой задачи . Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:
С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и . Например, Юлию Цезарю приписывают изобретение около 50 года до н. э. шифра Цезаря , который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены . Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках .
C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в 1653 году появилась Тайная канцелярия ( англ. Secret Office ) . В России перлюстрация осуществлялась, по крайней мере, со времен Петра I — с 1690 года в Смоленске вскрывались все письма, идущие за границу. Системный характер практика тайного копирования корреспонденции почти всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века — появились так называемые «чёрные кабинеты» . После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Христиан Гольдбах , сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В отдельных случаях после успешного дешифрования письма осуществлялась подмена его содержимого — некоторое подобие атаки « человек посередине » .
В начале XIX века в России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел . С 1803 года на службе этого ведомства находился выдающийся российский ученый Павел Львович Шиллинг . Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны 1812 года . В середине XIX века появились более сложные системы классификации секретной информации , позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией .
Во время Первой мировой войны многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа. Так к концу 1914 года была сформирована одна из секций Британского Адмиралтейства — « комната 40 », — которая стала ведущим криптографическим органом Великобритании. 26 августа 1914 года лёгкий немецкий крейсер « Магдебург » сел на камни у острова Оденсхольм в устье Финского залива , принадлежавшего тогда Российской Империи. Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника. С конца ноября 1914 года «комната 40» начала регулярную дешифровку радиограмм германского флота, которыми передавались практически все приказы и распоряжения . Впервые данные расшифровки попытались использовать во время вылазки германского флота к британским берегам 16 декабря 1914 года .
В межвоенный период системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать специальные машины , из которых наиболее известной является « Энигма », созданная немецкими инженерами в 1920-х годах. Уже в 1932 году Бюро шифров польской разведки удалось взломать шифр «Энигмы» методом обратной разработки .
Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ. Воюющими сторонами были разработаны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам . Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась вермахтом и другими службами нацистской Германии . В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством Алана Тьюринга . Разработанная ими дешифровальная машина « Turing Bombe » (с англ. — «бомба Тьюринга»), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников . В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо , язык которого за пределами США никто не знал . Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации . В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания (в том числе, Ставки Верховного Главнокомандования ) использовалась так называемая ВЧ-связь , основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования . Однако отсутствие криптографической защиты позволяло, используя спектрометр , восстанавливать сообщения в перехваченном сигнале .
Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом , что привело к взрывному росту электронного бизнеса . Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма , вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Возникли научные дисциплины, такие, как, « Компьютерная безопасность » и и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем .
Защищаемая информация — информация, подлежащая защите в соответствии с требованиями нормативных правовых актов или требованиями, устанавливаемыми обладателем информации .
Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателями информации могут быть: государство , юридическое лицо , группа физических лиц, отдельное физическое лицо .
Безопасность информации — такое состояние защищенности информации, при котором обеспечены её конфиденциальность , целостность и доступность .
Организация защиты информации — совокупность действий, направленных на выявление угроз безопасности информации, планирование, реализацию мероприятий по защите информации и контроль состояния защиты информации .
Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации .
Политика безопасности информации в организации — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности .
Ниже приведены определения термина «информационная безопасность» из различных источников:
В 1975 году и Майкл Шрёдер в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации ( англ. unauthorized information release ), неавторизованное изменение информации ( англ. Unauthorized information modification ) и неавторизованный отказ в доступе ( англ. Unauthorized denial of use ) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:
В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA .
В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость , ответственность , противодействие , этика , демократия , оценка риска , разработка и внедрение безопасности , управление безопасностью , пересмотр . В 1996 году на основе публикации ОЭСР 1992 года американский Национальный институт стандартов и технологий (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами», «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированы», а «владельцы систем несут ответственность за безопасность за пределами своей организации» . На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии .
В 1998 году дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль ( англ. Possession or Control ), аутентичность ( англ. Authenticity ) и полезность ( англ. Utility ) . Достоинства этой модели, получившей название (от hexad с англ. — «группа из шести предметов»), являются предметом дискуссий среди специалистов по информационной безопасности .
В 2009 году министерство обороны США опубликовало «Три основополагающих принципа компьютерной безопасности»: подверженность системы [риску] ( англ. System Susceptibility ), доступность уязвимости ( англ. Access to the Flaw ) и способность эксплуатировать уязвимость ( англ. Capability to Exploit the Flaw ) .
В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью , в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения . Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности , относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности (конфиденциальность), долгосрочные цели безопасности (целостность), цели качества информации (целостность), цели контроля доступа (доступность) и технические цели безопасности . .
Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе . Она зафиксирована в национальных и международных стандартах и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP и . Некоторые российские авторы используют кальку с него — «триада КЦД » . В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы , атрибуты безопасности , свойства , фундаментальные аспекты , информационные критерии , важнейшие характеристики или базовые структурные элементы .
Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов . Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):
Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из ( англ. need-to-know ). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной , или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности .
Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и логические бомбы , ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами .
Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип , согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое. Кроме того, любые изменения в ходе жизненного цикла информационных системы должны быть согласованны, протестированы на предмет обеспечения информационной целостности и внесены в систему только корректно сформированными транзакциями . Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированы .
Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки ( аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж . Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программами, уничтожения данных, проникновения извне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей .
Термин «невозможность отказа» ( англ. Non-Repudiation , иногда употребляется слитно — Nonrepudiation ) впервые появился в 1988 году в международном стандарте «Безопасность взаимосвязи открытых систем» (ISO 7498-2). Обычно понимается, как противоположный по смыслу термину англо-саксонского права Repudiation с англ. — «отказ, отрицание», имеющего два основных толкования. С одной стороны, он означает фундаментальное право стороны отказаться от исполнения обязательств по сделке на законных основаниях , если, например, подпись на бумажном документе была подделана, либо оригинальная подпись была полученная незаконным путём (в результате мошенничества). При этом бремя доказательства подлинности подписи лежит на той стороне, которая на неё полагается . Другая интерпретация — неправомерный отказ от обязательств. В контексте компьютерной безопасности это может быть, например, отрицание одной из сторон факта отправки, приёма, авторства, либо содержания электронного сообщения. В контексте информационной безопасности «невозможность отказа» понимается как подтверждение целостности и оригинального происхождения данных, исключающее возможность подделки, которое может быть в любой момент проверено сторонними лицами, либо как установление идентичности (личности, документа, объекта), которое с высокой степенью достоверности может считаться подлинным и не может быть опровергнуто .
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности :
Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.
Целью реализации информационной безопасности какого-либо объекта является построение системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо::
Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.
|
Эта статья
описывает ситуацию применительно лишь к одному региону
(
Россия
), возможно, нарушая при этом
правило о взвешенности изложения
.
|
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся :
Акты федерального законодательства:
Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право .
К нормативно-методическим документам можно отнести
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
Службы, организующие защиту информации на уровне предприятия
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы .
Политика безопасности (информации в организации) ( англ. Organizational security policy ) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий ( англ. ІСТ security policy ) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы :
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Политика информационной безопасности оформляется в виде документированных требований на информационную систему . Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
В литературе предлагается следующая классификация средств защиты информации .
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
К основным организационным мероприятиям можно отнести:
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.
Задачи систем информационной безопасности предприятия различны:
Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично .
Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее .
Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:
С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.
Цели оценки информационной безопасности:
Пять основных видов оценки:
При проведении оценки должны быть исследованы такие документы, как:
Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.
После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.
Необходимо разработать следующие политики и процедуры:
Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.
При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.
Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.
Аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала .
…хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей…
— ч. 6 ст. 159 УК РФ