Что такое способ защиты информации
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Как защитить свои данные
В статье расскажем, какие способы защиты информации используют в 2020 году, какие работают на 100%, а какие не эффективны, а также как защититься при подключении к незапароленному Wi-Fi.
Способы защиты информации
Начнём с того, как защитить информацию как таковую. О способах защиты рассказал эксперт RTM Group Евгений Царёв.
Физические средства защиты информации
Это сейфы, в случае с компанией – системы контроля доступа, запираемые шкафы и прочее. Подходят для безопасности тех носителей, которые не используются, но хранятся продолжительное время. Важно отметить, что металлические шкафы не подходят для хранения магнитных носителей (жёсткие диски), т.к. могут размагничивать носитель. Для жёстких дисков следует применять специальные сейфы.
Аппаратные средства защиты информации
Электрические, электронные, оптические, лазерные и другие устройства. Многие пользуются токенами. Например, для доступа в интернет-банк это самое популярное аппаратное средство защиты информации. Это надёжные средства, если используются правильно, но с удобством есть проблемы. Аппаратные средства можно потерять, сломать и прочее, нужно поддерживать систему управления, причём с элементами логистики.
Программные средства защиты информации
Это простые и комплексные программы. Пример – антивирусы, установленные на большинстве компьютеров.
DLP-система (от англ. Data Leak Prevention)
Это специализированное ПО, которое блокирует передачу конфиденциальной информации и даёт возможность наблюдать за ежедневной работой сотрудников, чтобы найти слабые места в безопасности и предотвратить утечки. Система анализирует циркулирующую внутри компании информацию. Если появляется угроза опасности, информация блокируется, о чём автоматически уведомляют ответственного сотрудника. DLP и SIEM – решения высокого класса, требуют наличия качественной системы обеспечения информационной безопасности. Используются средними и крупными компаниями. Важна правильная настройка. Это основной инструментарий в работе служб информационной безопасности.
Криптографические средства
Кодирование, шифрование, сюда же относится электронная подпись. Как говорил Эдвард Сноуден: «Криптография работает!». Но её использование часто недооценивают. Даже банальное шифрование флешек используют единицы, хотя на них хранится подчас ценная информация.
Храните данные удалённо
Удалённое хранение информации – часто залог сохранности, уверен Луис Корронс, ИБ-евангелист компании Avast: «Лучший способ защитить информацию – хранить непосредственно на устройствах, не загружая на внешние хранилища. Тогда, чтобы украсть данные, злоумышленникам придётся получить доступ к конкретному физическому устройству.
Но такой способ хранения информации трудно применим на практике, а потому не 100% эффективен. Пользователи обмениваются информацией, личными сведениями, часто требуется удалённый доступ.
Второй вариант противоположен первому – использование только облачных хранилищ. Провайдеры с широкими возможностями, например Google, Microsoft, отвечают потребностям большинства людей: предлагают надёжную защиту, пользователь получает доступ к информации из любого места, может обмениваться, совместно работать».
Итак, подведём итог. Обычному человеку достаточно установить на компьютер антивирус. Если информация хранится на флешке (что лучше всего), носитель можно зашифровать или убрать в сейф. Что касается компаний, лучшее решение – нанять эксперта по информационной безопасности. Не стоит экономить на таких сотрудниках. Ценную информацию следует хранить на флешках и жёстких дисках в сейфе, а на рабочие компьютеры установить ПО, отслеживающее угрозы безопасности.
Как защитить информацию при денежных переводах
Как для рядовых граждан, так и для предпринимателей актуальным остаётся вопрос защиты платёжных данных. Ведь в случае кражи будет нанесён прямой финансовый ущерб. Не всегда для защиты средств достаточно 3D-Secure. О правилах сохранности информации рассказал директор по внешним связям в Восточной Европе и Средней Азии координационного центра RIPE NCC Максим Буртиков: «Одних только фишинговых сайтов уже тысячи в одном только Рунете. Копируют сайты банков, авиакомпаний, развлекательных мероприятий. Если не хотите потерять часть сбережений, будьте внимательны, когда собираетесь отправить личную финансовую информацию в интернет, обращайте внимание на названия и ссылки. Создатели фишинговых сайтов используют доменные имена с изменениями, при этом дизайн и функциональность сайта не будет отличаться от оригинала. Эта схема рассчитана на невнимательность увлечённого пользователя.
Прежде чем воспользоваться переводом денег через онлайн-банк, закройте остальные приложения. Это нужно, чтобы исключить использование программы сканера. Её можно подцепить с недобросовестным скаченным приложением и не заметить. Выглядит сканер как прозрачный экран и ничем себя не выдаёт. До тех пор, пока не открываются банковские программы. Тогда пароли копируются в этом прозрачном экране и сохраняются. Через какое-то время приложение банка может начать жить своей жизнью уже без помощи пользователя и неприятно удивлять».
Отдельно стоит упомянуть о передаче данных при подключении к бесплатному незапароленному Wi-Fi. Если подключились к такой сети, лучше не передавайте конфиденциальную информацию (например, номер карты), не совершайте и не оплачивайте покупки – информация о карте не защищена и доступна мошенникам.
Несмотря на то, что банки блокируют подозрительные операции, лучше перестраховаться. Чтобы не переживать за сохранность информации, пользуйтесь специальным программным обеспечением. Например, бесплатным сервисом Hotspot Shield, который создан для организации виртуальной частной сети, гарантирующей безопасную передачу данных по зашифрованному соединению.
Как защитить информацию в почте и соцсетях
Гиганты, такие как Google, Яндекс, придумывают новые способы защитить данные, хранящиеся в почтовых ящиках пользователей. Например, в гугл-почту пользователи теперь заходят через разблокировку смартфона (при попытке зайти в почту на экране мобильного выскочит просьба подтвердить личность), используется двухфакторная аутентификация (такая же опция доступна, к примеру, в Инстаграм) и т.д.
Ещё недавно защита аккаунтов посредством введения кода из СМС (двухфакторная аутентификация) считалась надёжным методом. Однако эксперты говорят, что время этого способа защиты информации ушло.
Комментирует владелец компании Интернет-Розыск Игорь Бедеров: «Двухфакторная идентификация пользователей посредством СМС-сообщения постепенно становится ненадёжной. СМС-сообщения перехватываются, сим-карты пользователей копируются или перевыпускаются злоумышленниками. Сегодня к контрольному сообщению привязаны почты, соцсети, мессенджеры, онлайн-сервисы, банки. Перевыпустить же сим-карту стоит не больше 200 долларов США. Значит, пора искать более эффективный способ защиты аккаунтов. И он существует.
Это шифроблокнот – система кодов, которую невозможно взломать, если только не добраться до самого шифроблокнота. Какими способами такой шифроблокнот технически реализуется сегодня? Это токены для доступа к тем или иным ресурсам, аутентификаторы, которые стали внедрять в почтовые сервисы и соцсети. Принцип работы тут одинаков: у пользователя в непосредственном доступе некий предмет (токен) или запись (аутентификатор), или список кодов. Удалённо такой код не подобрать и не перехватить».
Такую опцию запустил и Инстаграм. На практике это выглядит так. Пользователь скачивает приложение, которое генерирует уникальные коды. Коды нужно записать или сделать скриншот. По ним, а не по коду из СМС, пользователь попадёт в аккаунт, если возникнут проблемы с доступом.
Способы защиты информации
ИБ-аутсорсинг
на базе DLP-системы
Д анные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.
Способы неправомерного доступа к информации
Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.
Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.
Методы защиты
На практике используют несколько групп методов защиты, в том числе:
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.
Организационные средства защиты информации
Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.
Чаще всего специалисты по безопасности:
Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.
Что такое ИБ-аутсорсинг и как он работает? Читать.
Технические средства защиты информации
Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:
В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.
Аутентификация и идентификация
Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.
Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Средства обеспечения информационной безопасности
Защита данных
на базе системы
Р азвитие информационных технологий и компьютеризация экономической отрасли стали неотъемлемой частью жизни современного общества. И поскольку информация является одним из наиболее ценных и важных ресурсов любого бизнеса, важнейшим аспектом в функционировании предприятия стало обеспечение информационной безопасности.
Понятие «информационная безопасность» включает комплекс мер, направленных на предупреждение и устранение несанкционированного доступа, обработки, искажения, форматирования, анализа, несогласованного обновления, корректирования и уничтожения данных. Проще говоря, это комплекс действий, стандартов и технологий, необходимых для защиты конфиденциальных данных.
Крупные корпорации и предприятия малого бизнеса, в силу необходимости сохранения важной и ценной деловой информации, нанимают в штат профессионалов в сфере защиты конфиденциальных данных. Их задачей является защита всех электронных устройств от хакерских атак, чаще всего направленных на кражу конфиденциальной информации или перехват управления IT-системой организации.
Госорганы, оборонный комплекс, бизнес-корпорации, финансовые структуры, медучреждения и представители малого бизнеса регулярно собирают большие объемы конфиденциальных данных о персонале, клиентах, конкурентах, продукции и финансовых оборотах. Утечка ценной информации к конкурентам или мошенникам сулит компании, ее руководству и клиентам значительные финансовые потери и бьет по престижу организации.
Создание надежной системы сохранения конфиденциальной информации – трудоемкий процесс, которому нужно уделять пристальное внимание. При этом важно владеть знаниями и оперировать методиками, обеспечивающими информационную безопасность.
Цель защиты информации – сохранить данные и целостность системы, минимизировать потери в случае искажения информационных сведений. Сотрудники отделов информационной безопасности компании с помощью специального ПО могут отследить любое действие в корпоративной системе – создание, изменение, удаление, копирование и распространение важных файлов.
Для правильного внедрения средств обеспечения защиты конфиденциальной информации компании требуется соблюдать три основных принципа:
Без соблюдения этих принципов защита информации невозможна.
Какими бывают средства информационной безопасности?
На практике обеспечение информационной безопасности фирмы осуществляется с помощью следующих средств:
Моральные средства защиты
Под моральными средствами подразумевают нормы поведения и правила работы с информационными активами, сложившиеся по мере распространения и внедрения электронной техники в различных отраслях государства и общества в целом. По факту это необязательные требования в отличие от законодательно утвержденных. Однако их нарушение приведет к потере репутации человека и организации.
К морально-этическим средствам защиты информации в первую очередь стоит отнести честность и порядочность сотрудников. В каждой организации есть свой свод правил и предписаний, направленный на создание здорового морального климата в коллективе. Механизмом обеспечения безопасности служит внутренний документ компании, учитывающий особенности деловых процессов и информационной структуры, а также устройство IT-системы.
Правовые средства защиты
Они основываются на действующих в Российской Федерации законах, решениях и нормативных актах, устанавливающих правила обработки персональных данных, гарантирующих права и обязанности участникам при работе с информационными ресурсами в период их обработки и использования, а также возлагающих ответственность за нарушение этих постановлений, тем самым устраняя угрозу несогласованного использования конфиденциальной информации. Такие правовые методики используются в качестве профилактических и предупреждающих действий. В основном это организованные пояснительные беседы с персоналом предприятия, пользующимся корпоративными электронными устройствами.
Организационные средства
Это часть администрирования организации. Они регулируют функционирование системы обработки информации, работу штата организации и процесс взаимодействия работников с системой так, чтобы в большей степени устранить или предупредить угрозу информационной атаки либо уменьшить потери в случае их возникновения. Основной целью организационных мер является формирование внутренней политики в области сохранения в секрете конфиденциальных данных, включающей использование необходимых ресурсов и контроль за ними.
Внедрение политики конфиденциальности включает реализацию средств контроля и технических устройств, а также подбор персонала службы внутренней безопасности. Возможны изменения в устройстве IT-системы, поэтому в реализации политики конфиденциальности должны участвовать системные администраторы и программисты. Персонал должен знать, почему проблемы сохранения коммерческой тайны столь важны. Все работники предприятия должны пройти обучение правилам работы с конфиденциальной информацией.
Физические средства защиты
Это различные типы механических и электронно-механических устройств для создания физических препятствий при попытках нарушителей воздействовать на компоненты автоматизированной системы защиты информации. Это также технические устройства охранной сигнализации, связи и внешнего наблюдения. Средства физической безопасности направлены на защиту от стихийных бедствий, пандемий, военных действий и других внезапных происшествий.
Аппаратные средства защиты
Это электронные устройства, интегрированные в блоки автоматизированной системы или спроектированных как независимые устройства, контактирующие с этими блоками. Их задачей является внутренняя защита структурных компонентов ИТ-систем – процессоров, терминалов обслуживания, второстепенных устройств. Реализуется это с помощью метода управления доступом к ресурсам (идентификация, аутентификация, проверка полномочий субъектов системы, регистрация).
Программные методы защиты
Обеспечение сетевой безопасности осуществляется за счет специальных программ, которые защищают информационные ресурсы от несанкционированных действий. Благодаря универсальности, простоте пользования, способности к модифицированию программные способы защиты конфиденциальных данных являются наиболее популярными. Но это делает их уязвимыми элементами информационной системы предприятия. Сегодня создано большое количество антивирусных программ, брандмауэров, средств защиты от атак.
Наиболее распространенные антивирусные ПО, брандмауэры и средства обнаружения атак на современном рынке представлены следующими продуктами:
Путем использования перечисленных категорий программ, подходящим к используемым на предприятии информационным системам, создается комплексное обеспечение сетевой безопасности.
Технические способы защиты информационных данных
Различные электронные устройства и специализированное оборудование, входящие в единый автоматизированный комплекс организации и выполняющие, как самостоятельные, так и комплексные функции сохранения персональных данных. К ним относятся персонализация, авторизация, верификация, ограничение доступа к активам пользователей, шифрование.
Криптографические методы защиты информации
Этот метод основывается на способах кодировки и обеспечивает защиту конфиденциальной информации как с помощью программного обеспечения, так и аппаратными средствами защиты информации. Криптографический способ обеспечивает высокую степень эффективности СИЗ. Ее можно выразить в цифровом эквиваленте: среднее количество операций и время для разгадки ключей и расшифровки данных. Для защиты текстов при передаче используются аппаратные методы кодировки, для обмена информацией между ПК локальной сети используются также программные методики. При сохранении информации на магнитных носителях используются программные методы шифровки. Однако у них есть некоторые недостатки: затраты времени и мощности процессоров для шифрования информации, трудности с расшифровкой, высокие требования к обеспечению секретности ключей (угроза открытых ключей от подмены).
Информация – это важнейшая часть современной действительности. Именно сейчас цифровые данные подвергаются растущему количеству угроз и нежелательных вторжений. DDoS-атаки, сетевой перехват данных, действие вирусного программного обеспечения и другие киберпреступления становятся более изощренными и набирают обороты.
Поэтому следует как можно быстрее реализовать систему защиты информации, которая надежно защитит конфиденциальную корпоративную информацию. Вопрос безопасности информации полностью лежит на плечах руководства организацией. При выборе соответствующих средств для защиты информации следует принять во внимание область деятельности компании, ее размеры, техническое оснащение, а также компетенции персонала в сфере соблюдения режима конфиденциальности.
Основы ИБ
Защита данных
с помощью DLP-системы
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного исследования «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Система ИБ
Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
Средства защиты информации
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз «СёрчИнформ ProfileCenter». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.