Содержание
- 1 Информационная безопасность | Обеспечение информационной безопасности
- 2 Защита информации
- 2.1 Информационная безопасность
- 2.2 Модель информационной безопасности
- 2.3 Составляющие информационной безопасности
- 2.4 Нормативные документы в сфере безопасности информации
- 2.5 Органы (подразделения), которые обеспечивают информационную безопасность
- 2.6 Организационная защита различных объектов информатизации
- 3 Гост р 53114-2008 защита информации. обеспечение информационной…
- 4 Угрозы информационной безопасности
- 5 Информационная безопасность. Виды угроз и защита информации
Информационная безопасность | Обеспечение информационной безопасности
Научно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.
Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.
Определение информационной безопасности
Информационная безопасность (ИБ) – это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.
Безопасность информации, которая обрабатывается в организации, – это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.
Требования к системе защиты ИБ
Защита информационных ресурсов должна быть:
1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.
2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.
3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.
4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.
5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.
6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.
7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.
Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «КИБ СёрчИнформ» можно бесплатно в течение 30 дней. Узнать подробности…
Модель системы безопасности
Информация считается защищенной, если соблюдаются три главных свойства.
Первое – целостность – предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.
Второе – конфиденциальность – означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.
Третье – доступность – подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.
Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным.
Этапы создания и обеспечения системы защиты информации
На практике создание системы защиты информации осуществляется в три этапа.
На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании.
Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц.
Планом работы на начальном этапе являются четыре вопроса:
- Какиеисточники информации следует защитить?
- Какова цельполучения доступа к защищаемой информации?
Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.
- Что являетсяисточником конфиденциальной информации?
Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.
- Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?
Различают следующие способы получения доступа:
- Несанкционированный доступ – незаконное использование данных;
- Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;
- Разглашение – следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.
Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.
Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.
Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.
Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности.
Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.
- физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
- аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
- программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
- математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.
Виды конфиденциальных данных
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно.
- Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
- Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
- Судебные конфиденциальные данные: тайна следствия и судопроизводства.
- Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
- Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону.
Угроза – это возможные или действительные попытки завладеть защищаемыми информационными ресурсами.
Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.
Угрозы бывают внутренними или внешними.
Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).
Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним.
На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.
Поскольку внутренние ИБ-угрозы связаны с человеческим фактором, отслеживать их и управлять ими сложнее.
Предупреждать инциденты можно с помощью деления сотрудников на группы риска.
С этой задачей справится «ProfileCenter СёрчИнформ» – автоматизированный модуль для составления психологических профилей.
Попытка несанкционированного доступа может происходить несколькими путями:
- через сотрудников, которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
- с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.
- с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).
Аппаратная и программная ИБ
Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне.
MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства.
Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.
Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.
Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:
- Уровень идентификации – это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).
- Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.
Правовая защита информации
Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.
Государство также определят меру ответственности за нарушение положений законодательства в сфере ИБ. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
- Статья 272 «Неправомерный доступ к компьютерной информации»;
- Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
- Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
Источник: https://searchinform.ru/informatsionnaya-bezopasnost/
Защита информации
Анетта 01 июня 2015 21:30
Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.
Информационная безопасность
Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.
В сегодняшнем социуме сфера информации имеет две составные части:
- информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
- и информационно-психологическую (естественный мир живой природы, который включает и самого человека).
Модель информационной безопасности
В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:
- конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
- целостность — представляет собой избежание несанкционированных изменений информации;
- доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.
Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:
- апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
- подотчетность – официальная регистрация данных;
- достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
- аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.
Составляющие информационной безопасности
Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:
- Научная, нормативно-правовая и законодательная база.
- Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
- Режимные и организационно-технические методы защиты информации (политика безопасности информации).
- Программные, а также технические средства защиты информации.
Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:
- выявить требования к защите информации, специфические для этого объекта защиты;
- принять во внимание требования международного и национального Законодательства;
- использовать существующие практики (методологии, стандарты) построения подобных систем;
- определить подразделения, которые ответственны за реализацию и поддержку системы;
- распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
- на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
- исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
- реализовать систему управления (менеджмента) безопасности информации (СМИБ);
- применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.
Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.
Нормативные документы в сфере безопасности информации
В России к нормативно-правовым актам в сфере информационной безопасности причисляются:
1) Федеральные законодательные акты:
- Международные договоры России.
- Конституция России.
- Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
- Указы Президента России.
- Правительственные постановления Российской Федерации.
- Правовые нормативные акты федеральных ведомств и министерств.
- Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.
2) К нормативно-методическим документам возможно причислить:
- Методические документы правительственных органов России:
а) Доктрина безопасности информации России.
б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.
в) Приказы Федеральной службы безопасности.
- Стандарты безопасности информации, из которых можно выделить:
а) Международные стандарты.
б) Национальные (государственные) стандарты России.
в) Рекомендации по стандартизации.
г) Указания методические.
Органы (подразделения), которые обеспечивают информационную безопасность
Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:
- Комитет Госдумы по безопасности.
- Совет безопасности России.
- ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
- ФСБ (Федеральная служба безопасности) России.
- ФСО (Федеральная служба охраны) РФ.
- СВР (Служба внешней разведки) России.
- Минобороны (Министерство обороны) РФ.
- МВД (Министерство внутренних дел) России.
- Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).
Организационная защита различных объектов информатизации
Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:
- организацию режима, охраны, работу с документами, с кадрами;
- применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.
К основным мероприятиям защиты информации можно причислить:
- Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
- Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
- Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
- Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
- Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
- Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.
Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.
Источник: https://utmagazine.ru/posts/9798-zaschita-informacii
Гост р 53114-2008 защита информации. обеспечение информационной…
ГОСТ Р 53114-2008
Группа Т00
ОКС 35.020
Дата введения 2009-10-01
Предисловие
1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)
2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации».
Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму.
За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.
Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.
Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.
Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, — светлым, а синонимы — курсивом.
Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.
1 Область применения
Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.
Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.
Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ Р 52069.
0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/ МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1, [1], [2].
Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» [3], Федерального Закона Российской Федерации от 27 июля 2006 г.
N 149-ФЗ «Об информации, информационных технологиях и защите информации» [4], Федерального Закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» [5], Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр-1895 [6].
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы.
Термины и определения
ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения
ГОСТ Р 22.0.02 Безопасность в чрезвычайных ситуациях. Термины и определения
ГОСТ Р ИСО 9000 Системы менеджмента качества.
Основные положения и словарь
ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования
ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению
ГОСТ Р ИСО/МЭК 13335-1 Информационная технология.
Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
Общие положения
ГОСТ Р 51897 Менеджмент риска. Термины и определения
ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты
ГОСТ Р 52069.0 Защита информации. Система стандартов.
Основные положения
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3.1 Общие понятия
3.1.1
безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.[ГОСТ Р 50922-2006, статья 2.4.5] |
3.1.2
безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации.[Р 50.1.056-2005] |
3.1.3
информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.[Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895] |
3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.
3.1.5
объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.[ГОСТ Р 51275-2006, пункт 3.1] |
3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.
Примечание — К активам организации могут относиться:
— информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);
— ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);
— процессы (технологические, информационные и пр.);
3.1.7
ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.Примечание — Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы.[ГОСТ 19781-90, статьят 93] |
3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.
3.1.9
3.1.10
техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.[ГОСТ Р 34.003-90*, статья 2.5] |
_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ 34.003-90. Здесь и далее. — Примечание изготовителя базы данных.
Источник: http://docs.cntd.ru/document/gost-r-53114-2008
Угрозы информационной безопасности
Угрозы информационной (компьютерной) безопасности – это различные действия, которые могут привести к нарушениям информационной безопасности. Другими словами, это потенциально возможные события/процессы или действия, которые могут нанести ущерб информационным и компьютерным системам.
Угрозы ИБ можно разделить на два типа: естественные и искусственные. К естественным относятся природные явления, которые не зависят от человека, например, ураганы, наводнения, пожары и т.д.
Искусственные угрозы зависят непосредственно от человека и могут быть преднамеренные и непреднамеренные. Непреднамеренные угрозы возникают из-за неосторожности, невнимательности и незнания.
Примером таких угроз может быть установка программ, которые не входят в число необходимых для работы, в дальнейшем нарушающих работу системы, что и приводит к потере информации. Преднамеренные угрозы, в отличие от предыдущих, создаются специально.
К ним можно отнести атаки злоумышленников как извне, так и изнутри компании. Результат этого вида угроз – огромные потери компанией денежных средств и интеллектуальной собственности.
Классификация угроз информационной безопасности
В зависимости от различных способов классификации все возможные угрозы информационной безопасности можно разделить на следующие основные подгруппы:
Нежелательный контент включает в себя не только вредоносные программы, потенциально опасные программы и спам, которые непосредственно созданы для того, чтобы уничтожить или украсть информацию, но и сайты, которые запрещены законодательством, или нежелательные сайты, что содержат информацию, не соответствующую возрасту потребителя.
Источник: международное исследование EY в области информационной безопасности «Путь к киберустойчивости: прогноз, сопротивление, ответная реакция», 2016 год
Несанкционированный доступ – просмотр информации сотрудником, который не имеет разрешения пользоваться данной информацией, путем нарушения должностных полномочий. Несанкционированный доступ приводит к утечке информации.
В зависимости от того, какая информация и где она хранится, утечки могут организовываться разными способами, а именно через атаки на сайты, взлом программ, перехват данных по сети, использование несанкционированных программ.
Утечка информации в зависимости от того, чем она была вызвана, может разделяться на умышленную и случайную.
Случайные утечки происходят из-за ошибок оборудования, программного обеспечения и человека.
А умышленные, в отличие от случайных, организовываются преднамеренно, с целью получить доступ к данным, нанести ущерб.
Потерю данных можно считать одной из основных угроз информационной безопасности. Нарушение целостности информации может быть вызвано неисправностью оборудования или умышленными действия пользователей, будь то они сотрудниками или злоумышленниками.
Не менее опасной угрозой является фрод (мошенничество с использованием информационных технологий).
К мошенничеству можно отнести не только манипуляции с кредитными картами (кардинг) и взлом онлайн-банка, но и внутренний фрод.
Целью этих экономических преступлений является обход законодательства, политики, нормативных актов компании, присвоение имущества.
Ежегодно по всему миру возрастает террористическая угроза постепенно перемещаясь в виртуальное пространство. На сегодняшний день никого не удивляет возможность атак на АСУ ТП различных предприятий.
Но подобные атаки не проводятся без предварительной разведки, для чего и нужен кибершпионаж, который поможет собрать необходимые данные.
Существует также такое понятие, как информационная война, которая отличается от обычной войны только тем, что в качестве оружия выступает тщательно подготовленная информация.
Источник угроз информационной безопасности
Нарушение информационной безопасности может быть вызвано как спланированными действиями злоумышленника, так и неопытностью сотрудника.
Пользователь должен иметь хоть какое-то понятие об ИБ, вредоносном программном обеспечении, чтобы своими действиями не нанести ущерб компании и самому себе.
Чтобы пробиться через защиту и получить доступ к нужной информации злоумышленники используют слабые места и ошибки в работе программного обеспечения, веб-приложений, ошибки в конфигурациях файрволов, прав доступа, прибегают к прослушиванию каналов связи и использованию клавиатурных шпионов.
Потеря информации может быть обусловлена не только внешними атаками злоумышленников и неаккуратностью сотрудников, но и работниками компании, которые заинтересованы в получении прибыли в обмен на ценные данные организации, в которой работают или работали.
Источниками угроз выступают киберпреступные группы и государственные спецслужбы (киберподразделения), которые используют весь арсенал доступных киберсредств:
- нежелательный контент;
- несанкционированный доступ;
- утечки информации;
- потеря данных;
- мошенничество;
- кибервойны и кибертерроризм;
То, чем будет производиться атака, зависит от типа информации, ее расположения, способов доступа к ней и уровня защиты. Если атака будет рассчитана на неопытность жертвы, то возможно использование спам рассылок.
Оценивать угрозы информационной безопасности необходимо комплексно, при этом методы оценки будут различаться в каждом конкретном случае.
Например, чтобы исключить потерю данных из-за неисправности оборудования, нужно использовать качественные комплектующие, проводить регулярное техническое обслуживание, устанавливать стабилизаторы напряжения.
Дальше следует устанавливать и регулярно обновлять программное обеспечение. Отдельное внимание нужно уделить защитному ПО, базы которого должны обновляться ежедневно:
- защита от нежелательного контента (антивирус, антиспам, веб-фильтры, анти-шпионы)
- фаерволы и системы обнаружения вторжений IPS
- IDM
- PUM
- защита веб-приложений
- анти-ддос
- WAF
- анализ исходного кода
- антифрод
- защита от таргетированных атак
- SIEM
- системы обнаружения аномального поведения пользователей (UEBA)
- защита АСУ ТП
- защита от утечек данных
- DLP
- шифрование
- защита мобильных устройств
- резервное копирование
- системы отказоустойчивости
Обучение сотрудников компании основным понятиям информационной безопасности и принципам работы различных вредоносных программ поможет избежать случайных утечек данных, исключить случайную установку потенциально опасных программ на компьютер.
Также в качестве меры предосторожности от потери информации следует делать резервные копии. Для того чтобы следить за деятельностью сотрудников на рабочих местах и иметь возможность обнаружить злоумышленника, следует использовать DLP-системы.
Организовать информационную безопасность помогут специализированные программы, разработанные на основе современных технологий.
Примером таких технологий предотвращения утечек конфиденциальных данных являются DLP-системы.
А в борьбе с мошенничеством следует использовать анти-фрод системы, которые предоставляют возможность мониторить, обнаруживать и управлять уровнем фрода.
Источник: https://www.anti-malware.ru/threats/information-security-threats
Информационная безопасность. Виды угроз и защита информации
IT В ЭКОНОМИКЕ
24.04.2014 90 388 0
В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации.
Информация сегодня – ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность.
Угроз безопасности информационных ресурсов предприятия много – это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.
Угрозы информационной безопасности
Основные типы угроз информационной безопасности:
1. Угрозы конфиденциальности – несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).
2. Угрозы целостности – несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).
3. Угрозы доступности – ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).
Источники угроз:
1. Внутренние:
а) ошибки пользователей и сисадминов;
б) ошибки в работе ПО;
в) сбои в работе компьютерного оборудования;
г) нарушение сотрудниками компании регламентов по работе с информацией.
2. Внешние угрозы:
а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);
б) компьютерные вирусы и иные вредоносные программы;
в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).
Методы и средства защиты информации
Методы обеспечения безопасности информации в ИС:
- Препятствие — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
- Управление доступом – регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т.д. (например,когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
- Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).
- Противодействие атакам вредоносных программ (англ. «malware») – предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).
- Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).
- Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью(штрафы, закон «О коммерческой тайне» и т.п.).
- Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).
Средства защиты информации:
- Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.
- Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.
- Смешанные средства – комбинация аппаратных и программных средств.
- Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.
Ссылки и источники
Галяутдинов Р.Р.
© Копирование материала допустимо только при указании прямой гиперссылки на источник: Галяутдинов Р.Р.
Еще можно почитать:
Источник: http://galyautdinov.ru/post/informacionnaya-bezopasnost