Что изучает информационная безопасность
Для руководителей – что такое информационная безопасность
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Также к информационной безопасности относится защита информации от непреднамеренного уничтожения (технические сбои).
Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).
Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.
Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.
Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Официальная часть (процедура копировать-вставить с Интернетов) закончена. Теперь неофициальная. Из практики.
Статья эта написана для руководителей компаний, для которых правила НБ РК (регулятора) неприменимы.
Как большая часть руководителей (и не очень) понимают «информационную безопасность»?
Что имеют ввиду работодатели (компании), когда размещают вакансии с упоминанием словосочетания «Информационная безопасность»?
Из практики большая часть ассоциируют информационную безопасность с какими-то техническими средствами, например устройство защиты сети (firewall) или программным обеспечением по слежке за сотрудниками (так называемые DLP — data loss prevention) или антивирусом.
Вышеупомянутые средства относятся к информационной безопасности, но никак не гарантируют сохранность объекта защиты (информации), ее целостность и доступность. Почему?
По очень простой причине — обеспечение информационной безопасности — это процесс, а не какое-либо устройство, программное обеспечение, которые, как большая часть руководителей (и не только) думают, что являются панацеей и защитой.
Возьмем для примера небольшую торговую компанию, с количеством пользователей 50 штук. Под пользователями подразумеваются все сотрудники, имеющие доступ в информационную систему (ИС) компании посредством какого-либо устройства (компьютер, ноутбук, планшет, мобильный телефон). Под доступом в ИС подразумевается любой доступ — к электронной почте, в сеть Интернет, к базам данных, файлам и т.д.
Менталитет руководителей в наших компаниях (в том числе и нашем примере) в корне отличаются от западных — я босс, мне все можно. В том числе и неограниченный ничем доступ в сеть Интернет или возможность устанавливать любое ПО на компьютере. С точки зрения информационной безопасности — такой руководитель и есть основная угроза той самой информационной безопасности. Почему? Потому что он некомпетентен в вопросе информационной безопасности, и думает, как было сказано выше — что если есть системный администратор, либо какое-то дорогое устройство, которое он недавно купил по рекомендации того же системного администратора — все это ДОЛЖНO обеспечить ту самую информационную безопасность. Могу сказать, что ни один специалист и ни одно дорогое устройство вас не спасет от того, если преднамеренно на вашу почту (например mail.ru — так любимую всеми) злоумышленник отправит какое-либо вредоносное ПО, которое не будет вирусом, а например будет каким-то скриптом, который через ваш компьютер позволит получить доступ в вашу ИС. Вы скачиваете файл со своего почтового ящика mail.ru (например он называется «Требования к поставщику.doc» — скрипт запускается (без вашего ведома естественно).
Злоумышленник таким образом получает доступ в вашу сеть, впоследствии тихо разворачивает свою деятельность и вуаля! В один «прекрасный» день вы вдруг обнаруживаете (нужное подчеркнуть):
Многие возмутятся — все это страшилки. Аргументы обычно следующие:
Резервные копии
Резервное копирование — это один из самых основных способов защиты информации — ее целостности, доступности и сохранности.
Устройство безопасности (firewall)
Антивирус
Сколько людей — столько и антивирусов. Антивирус, как было сказано выше, не панацея. Это лишь одно из средств обеспечения безопасности информации, которое не исключает и не отменяет соответствующую настройку операционных систем, групповых политик, прав доступа, регламентированные процедуры резервного копирования, обучение и информирование пользователей основам информационной безопасности и прочие меры, которые могут укрепить бастион информационной безопасности.
Нужно ли вам нанимать сотрудника, специально занимающего информационной безопасностью, либо срочно бежать и закупать маски устройства безопасности (firewall) и антивирусы, чтобы обеспечить информационную безопасность?
Нет. На первом этапе ничего покупать, никого нанимать и делать прочие необдуманные действия — не надо.
Далее приведем упрощенный алгоритм действий, которые необходимо предпринять для построения системы информационной безопасности.
Если ответ на вопрос 0 — «как обычно», можете дальше не терять свое драгоценное время и не читать.
1. Определитесь, что и зачем защищать. Документ, который это описывает обычно называется «Политика информационной безопасности». Документ не описывает каких-то конкретных мер, технических устройств, настроек и прочих действий, требуемых для обеспечения защиты информации.
2. Составьте список ресурсов (технических средств и программного обеспечения) которые имеются в компании. Часто в требованиях к соискателям упоминается перечень ПО и оборудования «Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense» и т.д. Вы что, серьезно думаете, что все это имеющееся у вас в наличии, вас защитит? Скорее наоборот.
3. Создайте и обсудите матрицы доступа пользователей (клиентов, партнеров и т.п.) к информационной системе. Что такое матрица доступа: это когда есть четкий документ кто, куда и какого уровня имеет доступ к ИС системе.
4. Создайте документ, регламентирующий процедуру резервного копирования.
5. Создайте документ, где описываются все средства обеспечения ИБ — физические, технические, программные, административные.
6. Подготовьте и проведите обучающие занятия по информационной безопасности для сотрудников предприятия. Проводите их ежеквартально.
7. Поинтересуйтесь у ответственного сотрудника, сможет ли он обеспечить весь процесс самостоятельно или это требует привлечения третьей стороны (либо найма дополнительного сотрудника)
8. Протестируйте свою ИС на проникновение (так называемый penetration test).
9. Создайте, либо внесите корректировки в следующие документы:
11. Улыбнитесь. Не так страшен черт, как его малюют, если у вас есть хорошо структурированная, прозрачная, понятная и управляемая информационная система. Понятная как для вас (руководителя), для ваших пользователей (сотрудников) ну и надеемся для вашего системного администратора.
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.
Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.
Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Наиболее важные специальности в ИБ
Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:
Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.
Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.
Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.
Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
А какие инструменты используют «безопасники»?
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:
Вот несколько примеров — реальные вакансии на сервисе «Мой круг».
Сколько получает эксперт по ИБ?
Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.
Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».
Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.
Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.
Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.
В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.
Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.
Что такое информационная безопасность и какие данные она охраняет
Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.
Что такое информационная безопасность
Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.
Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.
За что отвечает информационная безопасность
Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.
Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.
Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.
Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.
Какая бывает информация и как ее защищают
Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.
Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.
Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.
Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса.
Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»
Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.
Основные виды конфиденциальной информации
Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию. Мы подробно рассказывали об этом в статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать».
Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.
Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.
Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ.
Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.
Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.
Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.
Основы ИБ
Защита данных
с помощью DLP-системы
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного исследования «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Система ИБ
Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
Средства защиты информации
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз «СёрчИнформ ProfileCenter». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.