На что направлена информационная безопасность
На что направлена информационная безопасность
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Технологии защиты информации: как не стать целью кибератаки
Технологии защиты информации включают способы противодействия направленным атакам, профилактику внутрикорпоративной безопасности. Правильный выбор, применение, администрирование СЗИ (средств защиты информации) гарантирует, что важные сведения компании не попадут в чужие руки.
Наряду с несанкционированными действиями третьих лиц зачастую периметр безопасности информации прорывается изнутри. Даже не по злому умыслу, просто человеческий фактор – та же невнимательность. Из нашего материала вы узнаете об основных средствах и технологиях защиты информации от злоумышленников.
Суть информационной безопасности
Информационной безопасностью называют определенные условия, при которых ценные сведения защищены от любых внешних воздействий (естественных и искусственных). Взлом таких данных и поддерживающей их инфраструктуры, как правило, может навредить владельцу.
Выделяют три составляющих информационной безопасности:
Решение проблем, связанных с защитой информации, должно основываться на научном подходе и быть методологически верным. Первым шагом в этом случае станет выявление субъектов информационных отношений и использования систем сбора данных, сопряженных с ними. Методы поиска, сбор и хранения сведений также могут являться угрозой для их сохранности.
Ущерб от нарушения информационной безопасности можно выразить в денежном эквиваленте, но невозможно застраховать себя абсолютно от всех рисков. С экономической точки зрения использование некоторых видов технологии защиты информации и профилактических мероприятий обойдутся дороже потенциальной угрозы. То есть некоторые виды воздействия допускаются, а другие нет.
Ваш Путь в IT начинается здесь
Существует также неприемлемый ущерб, к которому относится нанесение вреда здоровью людей или окружающей среде. Тогда финансовая составляющая уходит на второй план. В любом случае первоочередная задача информационной безопасности — снижение любых убытков до приемлемого значения.
Виды угроз информационной безопасности
Угроза — любое действие, потенциально способное нанести урон информационной безопасности. Атака — ситуация, которая предполагает такую угрозу, а планирующий её человек — это злоумышленник. Потенциальными злоумышленниками являются все лица, способные нанести вред.
Самая распространенный случай здесь — ошибки специалистов, которые работают с информационной системой. Это могут быть непредумышленные действия, вроде ввода некорректных данных и системного сбоя. Такие случайности являются потенциальной угрозой, из-за них в системе появляются уязвимые места, которые используют злоумышленники. В качестве технологии защиты информации в сети здесь могут выступать автоматизация (минимизация человеческого фактора) и административный контроль.
Что является источником угрозы доступности?
Основная угроза целостности – это кража и подделка, которые также чаще всего осуществляются работниками компании.
Известная американская газета USA Today опубликовала любопытные данные по этому вопросу. Еще в 1992 году, когда компьютеры играли не такую большую роль, общий нанесенный ущерб от такой угрозы составил 882 000 000 долларов. Сейчас эти суммы значительно выше.
Давайте рассмотрим, что может стать источником угрозы целостности?
Сюда относится использование паролей для несанкцинированного доступа злоумышленниками. Благодаря использованию этих данных они могут получить доступ к частной информации и конфиденциальным сведениям.
Мы в GeekBrains каждый день обучаем людей новым профессиям и точно знаем, с какими трудностями они сталкиваются. Вместе с экспертами по построению карьеры поможем определиться с новой профессией, узнать, с чего начать, и преодолеть страх изменений.
Карьерная мастерская это:
Уже 50 000 человек прошли мастерскую и сделали шаг к новой профессии!
Запишитесь на бесплатный курс и станьте ближе к новой карьере:
Зарегистрироваться и получить подарки
Что служит источником угрозы конфиденциальности?
Основная суть угрозы конфиденциальности — данные становятся уязвимыми и из-за этого злоумышленник получает к ним доступ.
Цели кибератак
Для начала приведем любопытную статистику. Согласно мировым исследованиям, только за прошлый год 91% компаний подвергались кибератакам хотя бы раз. Если взять Россию отдельно, то статистика не лучше — 98% фирм сталкивались с внешними атаками. Еще 87% получили урон из-за внутренних угроз (утечке сведений, некорректных действий сотрудников, заражение программами и так далее).
Ущерб только от одного «нападения» злоумышленников может составить 800 тысяч рублей. Несмотря на все это, четверть российских компаний не используют никакие технологии защиты информации в сети интернет и телекоммуникационных сетях. Даже стандартные методы, вроде антивирусных программ.
Цели кибератак
Новые вирусы создаются постоянно, автоматические системы фиксируют более 300 тысяч образцов вредоносных программ ежедневно. Они способны нанести значительный урон пользователям и фирмам, таких случаев в истории предостаточно. Например, в США злоумышленники взломали систему магазина Target и получили данные о 70 миллионах кредитных карт их клиентов.
С какой целью совершаются кибератаки?
Компании хотят получить доступ к коммерческой тайне конкурентов, к персональным данным клиентов и сотрудников. Участились случаи атак, которые получили название MiniDuke. Они направлены на государственные и дипломатические структуры, военные учреждения, энергетические компании, операторов связи.
Чтобы работа приносила удовольствие, нужно сначала найти правильную профессию.
Мы подготовили документы, которые помогут не ошибиться с выбором и определить, какая профессия в IT подходит именно тебе.
Благодаря этим гайдам 76% наших студентов смогли найти востребованную профессию своей мечты.
Обычно эти документы доступны только нашим студентам, мы какое-то время будем раздавать их бесплатно, но очень скоро уберем их из открытого доступа.
Скачивай и используй уже сегодня:
Гайд по профессиям в IT
5 профессий с данными о навыках и средней заработной плате
Чек-лист эффективного обучения от Geekbrains
6 правил, которым необходимо следовать для облегчения обучения
Все профессии, которые есть в IT-сфере
63 профессии и необходимые для них навыки
Рекомендации по книгам для востребованных специалистов
6 направлений деятельности и полезная литература по каждому из них
Доступ к ним — это доступ к огромным ресурсам. Вредоносные ПО действуют хитро, они подменяют популярные сайты и приложения. В точности копируют логотипы, описания файлов и даже их размеры. Программа крадет пароли, списки контактов, историю браузера и другие конфиденциальные данные
Существуют программы, которые полностью стирают данные на серверах без какой-либо возможности их восстановления (например, Shamoon и Wiper). Пару лет назад таким атакам подверглась нефтяная компания Saudi Arabian Oil Company. Тогда с 30 тысяч компьютеров исчезли сведения, оборудование просто перестало включаться.
Сюда относятся троянские ПО, которые крадут деньги с помощью систем дистанционного банковского обслуживания.
Использование DDOS-атак, которые парализуют внешние веб-ресурсы компаний на несколько дней и мешают работе.
Для этих целей взламываются корпоративные сайты, куда внедряются посторонние ссылки или баннера. Если пользователь перейдет по ним, то попадет на вредоносный ресурс. Также на сайте фирмы могут быть размещены любые дискредитирующие сведения, изображения, высказывания и так далее. Таким атакам подверглись пару лет назад две известные компании, которые занимаются защитой данных.
Для компании это будет означать снижения доверия пользователей, поскольку документ потеряет свой статус и клиенты не будут уверены в безопасности данных. Такие потери могут привести даже к закрытию бизнеса.
Основные принципы защиты информации
Внедрение технологий защиты информации в интернете и в организациях подчиняется некоторым базовым принципам, о которых мы расскажем ниже.
Задачи специалистов информационной безопасности
Что входит в должностные обязанности сотрудников, которые занимаются организацией системы защиты данных в компании? Они:
Средства защиты информации
К наиболее популярным современным технологиям защиты информации относят антивирусные программы, которые используют более 60% предприятий. Четверть организаций не применяет никакие средства охраны данных. Прослеживается тенденция: чем меньше компания, тем ниже у нее уровень безопасности. Маленькие фирмы пренебрегают любыми мерами и не уделяют этому вопросу должного внимания.
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. 
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».
Для руководителей – что такое информационная безопасность
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Также к информационной безопасности относится защита информации от непреднамеренного уничтожения (технические сбои).
Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).
Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.
Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.
Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Официальная часть (процедура копировать-вставить с Интернетов) закончена. Теперь неофициальная. Из практики.
Статья эта написана для руководителей компаний, для которых правила НБ РК (регулятора) неприменимы.
Как большая часть руководителей (и не очень) понимают «информационную безопасность»?
Что имеют ввиду работодатели (компании), когда размещают вакансии с упоминанием словосочетания «Информационная безопасность»?
Из практики большая часть ассоциируют информационную безопасность с какими-то техническими средствами, например устройство защиты сети (firewall) или программным обеспечением по слежке за сотрудниками (так называемые DLP — data loss prevention) или антивирусом.
Вышеупомянутые средства относятся к информационной безопасности, но никак не гарантируют сохранность объекта защиты (информации), ее целостность и доступность. Почему?
По очень простой причине — обеспечение информационной безопасности — это процесс, а не какое-либо устройство, программное обеспечение, которые, как большая часть руководителей (и не только) думают, что являются панацеей и защитой.
Возьмем для примера небольшую торговую компанию, с количеством пользователей 50 штук. Под пользователями подразумеваются все сотрудники, имеющие доступ в информационную систему (ИС) компании посредством какого-либо устройства (компьютер, ноутбук, планшет, мобильный телефон). Под доступом в ИС подразумевается любой доступ — к электронной почте, в сеть Интернет, к базам данных, файлам и т.д.
Менталитет руководителей в наших компаниях (в том числе и нашем примере) в корне отличаются от западных — я босс, мне все можно. В том числе и неограниченный ничем доступ в сеть Интернет или возможность устанавливать любое ПО на компьютере. С точки зрения информационной безопасности — такой руководитель и есть основная угроза той самой информационной безопасности. Почему? Потому что он некомпетентен в вопросе информационной безопасности, и думает, как было сказано выше — что если есть системный администратор, либо какое-то дорогое устройство, которое он недавно купил по рекомендации того же системного администратора — все это ДОЛЖНO обеспечить ту самую информационную безопасность. Могу сказать, что ни один специалист и ни одно дорогое устройство вас не спасет от того, если преднамеренно на вашу почту (например mail.ru — так любимую всеми) злоумышленник отправит какое-либо вредоносное ПО, которое не будет вирусом, а например будет каким-то скриптом, который через ваш компьютер позволит получить доступ в вашу ИС. Вы скачиваете файл со своего почтового ящика mail.ru (например он называется «Требования к поставщику.doc» — скрипт запускается (без вашего ведома естественно).
Злоумышленник таким образом получает доступ в вашу сеть, впоследствии тихо разворачивает свою деятельность и вуаля! В один «прекрасный» день вы вдруг обнаруживаете (нужное подчеркнуть):
Многие возмутятся — все это страшилки. Аргументы обычно следующие:
Резервные копии
Резервное копирование — это один из самых основных способов защиты информации — ее целостности, доступности и сохранности.
Устройство безопасности (firewall)
Антивирус
Сколько людей — столько и антивирусов. Антивирус, как было сказано выше, не панацея. Это лишь одно из средств обеспечения безопасности информации, которое не исключает и не отменяет соответствующую настройку операционных систем, групповых политик, прав доступа, регламентированные процедуры резервного копирования, обучение и информирование пользователей основам информационной безопасности и прочие меры, которые могут укрепить бастион информационной безопасности.
Нужно ли вам нанимать сотрудника, специально занимающего информационной безопасностью, либо срочно бежать и закупать маски устройства безопасности (firewall) и антивирусы, чтобы обеспечить информационную безопасность?
Нет. На первом этапе ничего покупать, никого нанимать и делать прочие необдуманные действия — не надо.
Далее приведем упрощенный алгоритм действий, которые необходимо предпринять для построения системы информационной безопасности.
Если ответ на вопрос 0 — «как обычно», можете дальше не терять свое драгоценное время и не читать.
1. Определитесь, что и зачем защищать. Документ, который это описывает обычно называется «Политика информационной безопасности». Документ не описывает каких-то конкретных мер, технических устройств, настроек и прочих действий, требуемых для обеспечения защиты информации.
2. Составьте список ресурсов (технических средств и программного обеспечения) которые имеются в компании. Часто в требованиях к соискателям упоминается перечень ПО и оборудования «Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense» и т.д. Вы что, серьезно думаете, что все это имеющееся у вас в наличии, вас защитит? Скорее наоборот.
3. Создайте и обсудите матрицы доступа пользователей (клиентов, партнеров и т.п.) к информационной системе. Что такое матрица доступа: это когда есть четкий документ кто, куда и какого уровня имеет доступ к ИС системе.
4. Создайте документ, регламентирующий процедуру резервного копирования.
5. Создайте документ, где описываются все средства обеспечения ИБ — физические, технические, программные, административные.
6. Подготовьте и проведите обучающие занятия по информационной безопасности для сотрудников предприятия. Проводите их ежеквартально.
7. Поинтересуйтесь у ответственного сотрудника, сможет ли он обеспечить весь процесс самостоятельно или это требует привлечения третьей стороны (либо найма дополнительного сотрудника)
8. Протестируйте свою ИС на проникновение (так называемый penetration test).
9. Создайте, либо внесите корректировки в следующие документы:
11. Улыбнитесь. Не так страшен черт, как его малюют, если у вас есть хорошо структурированная, прозрачная, понятная и управляемая информационная система. Понятная как для вас (руководителя), для ваших пользователей (сотрудников) ну и надеемся для вашего системного администратора.