Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — предотвращение несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками.
Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и администраторов. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура непрерывного совершенствования не привита должным образом.
В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо компрометации в критической ситуации. К таким ситуациям относятся природные, техногенные и социальные катастрофы, компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах, требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях, что влечёт за собой привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев — какой-либо разновидности компьютерных систем). Следует отметить, что под компьютером в данном контексте подразумевается не только бытовой персональный компьютер, а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров, объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак, зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.
Информационная безопасность, как сфера занятости, значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры, защиты программного обеспечения и баз данных, аудит информационных систем, планирование непрерывности бизнеса, выявление электронных записей и компьютерная криминалистика
Угрозы информационной безопасности и меры противодействия
Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с «преступлением как услугой» (англ. Crime-as-a-Service), Интернетом вещей, цепями поставок и усложнением требований регуляторов. «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим киберпреступникам. Это позволяет последним совершать хакерские атаки, ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением. Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются во вне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают.
Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей), фишинга или кражи личности. Фишинг (англ. Phishing) представляет собой мошенническую попытку завладения конфиденциальной информацией (например, учётной записью, паролём или данными кредитной карты). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт, неотличимый от оригинального сайта какой-либо организации (банка, интернет-магазина, социальной сети и т. п.) Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации, содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников. Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощью фишинга) используются для мошенничества и совершения иных преступлений. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия. Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни, определение которой в различных культурах может весьма разниться.
Органы государственной власти, вооружённые силы, корпорации, финансовые институты, медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая модель Гордона-Лоба описывает математический аппарат для решения этой задачи. Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:
снижение — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз;
передача — перенос затрат, связанных с реализацией угроз на третьих лиц: страховые или аутсорсинговые компании;
принятие — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы;
отказ — отказ от чрезмерно рисковой деятельности.
Организационные, технические и режимные меры и методы защиты информации
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
Защита объектов информационной системы;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
Подавление побочных электромагнитных излучений;
Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
Программно-технические способы и средства обеспечения информационной безопасности
В литературе предлагается следующая классификация средств защиты информации:
Средства защиты от несанкционированного доступа
Средства авторизации;
Мандатное управление доступом;
Избирательное управление доступом;
Управление доступом на основе ролей;
Журналирование (так же называется Аудит).
Системы анализа и моделирования информационных потоков (CASE-системы).
Системы мониторинга сетей:
Системы обнаружения и предотвращения вторжений (IDS/IPS).
Системы предотвращения утечек конфиденциальной информации (DLP-системы).
Анализаторы протоколов.
Антивирусные средства.
Межсетевые экраны.
Криптографические средства:
Шифрование;
Цифровая подпись.
Системы резервного копирования.
Системы бесперебойного питания:
Источники бесперебойного питания;
Резервирование нагрузки;
Генераторы напряжения.
Системы аутентификации:
Пароль;
Ключ доступа (физический или электронный);
Сертификат;
Биометрия.
Средства предотвращения взлома корпусов и краж оборудования.
Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты:
Антивирус.
Организационная защита объектов информатизации
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
организацию охраны, режима, работу с кадрами, с документами;
использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Информационная безопасность предприятия
Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.
Задачи систем информационной безопасности предприятия различны:
Обеспечение защищённого хранения информации на носителях;
защита данных, передаваемых по каналам связи;
создание резервных копий, послеаварийное восстановление и т. д.
Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично.
Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее.
Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:
Оценка стоимости
Разработка политики безопасности
Реализация политики
Квалифицированная подготовка специалистов
Аудит
С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.
Цели оценки информационной безопасности:
определить ценность информационных активов;
определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
определить существующие уязвимые места в практической деятельности организации;
установить риски организации в отношении информационных активов;
предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
обеспечить базу для создания проекта обеспечения безопасности.
Пять основных видов оценки:
Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
Аудит. Исследована существующая политика и соответствие организации этой политике.
Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.
При проведении оценки должны быть исследованы такие документы, как:
политика безопасности;
информационная политика;
политика и процедуры резервного копирования;
справочное руководство работника или инструкции;
процедуры найма-увольнения работников;
методология разработки программного обеспечения;
методология смены программного обеспечения;
телекоммуникационные политики;
диаграммы сети.
Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.
После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.
Необходимо разработать следующие политики и процедуры:
Информационная политика. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
Процедуры управления учётными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.
Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.
При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.
Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.
Аудит информационной безопасности — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала.