С понятием безопасности информации можно ознакомиться в

Обновлено: 07.07.2024

Вторая статья первого цикла информационной безопасности будет посвящена краткому обзору основных понятий, касающихся безопасности АСУ. Постараюсь сделать её краткой и изложить весь представленный материал максимально лаконично. Первоначальных вопросов будет 6, в дальнейшем их количество может измениться. Погнали!

Навигация по статье:

Начиная работать в области защиты информации, вам как специалисту в этой области необходимо ориентироваться в руководящей документации, а этой в основном различные стандарты, которые помогут вам уяснять все тонкости вашей профессии. Да, порой это не так интересно, да, хочется не обращать на это внимание, но без ГОСТ’ов, к сожалению, никуда. В них содержится почти вся информация, необходимая для организации безопасности, а также при расследовании инцидентов, связанных с нарушением политики безопасности организации.

Первый стандарт с которым нам придется столкнуться расположен по данной ссылке (Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.). В данном документе представлены основные понятия безопасности и их взаимосвязь. Приступим к рассмотрению наших вопросов.

1. Определение безопасности

Безопасность. Как часто вам приходится слышать данное слово? Самым простым определением безопасности можно предположить как отсутствие опасностей. Однако, такое определение не совсем корректно отображает текущую реальность. Более точно определение безопасности можно дать следующим образом.

Безопасность - защищенность от опасностей, а вернее защищенность от возможного ущерба, наносимого при возможной реализации любых угроз.

Причём субъектом ущерба в конечном счёте всё равно станет человек. Даже если вред был нанесен непосредственно не человеку, то косвенный ущерб прилетит сотруднику организации.

2. Понятия автоматизированной системы и безопасности автоматизированной системы

С самого начала мы оперируем понятием автоматизированная система. При этом мы ни разу не раскрывали данное понятие. Дадим наконец определение данному термину.

Автоматизированная система - организационно-техническая система, которая представляет собой совокупность определенных компонентов, способная выполнять автоматизированную обработку информации с целью удовлетворения информационных потребностей субъектов информационных отношений.

  1. Технические средства обработки и передачи данных - (всеразличное техническое оборудование, сервера, персональные компьютеры, сетевое оборудование и др.)
  2. Программное обеспечение
  3. Информация, хранящаяся на различных носителях
  4. Персонал - конечные пользователи и обслуживающие организации

Раскрыв понятие автоматизированной системы можно дать понятие безопасности автоматизированной системы.

Безопасность автоматизированной системы - защищенность всех её компонентов от различного рода нежелательного воздействия.

3. Определение информации и информационных ресурсов

При выполнении мероприятий по защите автоматизированной системы мы сталкиваемся с таким понятием как информация, которая является одним из главных компонентов автоматизированной системы. Дадим определение понятию информация и информационные ресурсы

Информация - всевозможные сведения о фактах, событиях, процессах и явлениях, о состояниях объектов в какой-либой определенной предметной области.

На основе информации принимаются те или иные решения, которые помогают оптимизировать процесс управления автоматизированной системой. Информация может иметь различные свойства (о некоторых из них мы поговорим позже), при этом этими свойствами можно управлять для того чтобы получить необходимый нам результат в принятии решений.

Информационные ресурсы - различные отдельные документы, а также наборы (массивы) документов в информационных системах.

4. Категории субъектов информационных отношений

В момент когда происходит взаимодействие с информационными ресурсами, субъекты находятся в разного рода отношениях (касающиеся именно вопросов взаимодействия с информацией). Такие отношения, как некоторые уже догодались, называются информационными отношениями, а субъекты, которые в них участвуют - субъектами информационных отношений.

  1. Государство - сюда включается как государство в целом, так все его ответвления в виде различных ведомств, органов и организаций.
  2. Юридические лица и объединения.
  3. Физические лица.

Каждый из субъектов информационного взаимодействия по отношению к определенной информации может выступать как источником информации, так и потребителем информации, а в некоторых моментах одновременно принимать обе стороны.

5. Три свойства информационной безопасности - конфиденциальность, целостность, доступность

При рассмотрении свойств информации каждый уважающий себя специалист по защите информации должен помнить 3 главных кита на которых держится безопасность. В английском языке данной тройке даже выделено специальное определение CIA Triad.

railroad

  • Конфиденциальность. Свойство информации, позволяющее ограничить круг субъектов, имеющих доступ к информации, а также сохранить данную информацию в тайне от субъектов, не имеющих прав на доступ к таковой информации.

если говорить кратко, то это сохранение в тайне определенной части информации

Целостность. Свойство информации, позволяющее существовать данной информации в неискаженном виде (по отношению к некоторому фиксированную состоянию).

при этом субъекты как вы понимаете должны удовлетворять свойству конфиденциальности, т.е. иметь право на доступ к требуемой информации

6. Цели защиты автоматизированной системы и информации, циркулирующей в АС

Крайний вопрос, который сегодня рассмотрим, касается целей защиты АС и информации, которая находится в АС.

Цель обеспечения безопасности АС - защита субъектов данной АС, которые непосредственно участвуют в процессах информационного взаимодействия, от нанесения им различного рода ущерба (смотри здесь) в результате какого-либо воздействия на информацию и системы АС.

Цель защиты информации, находящейся в АС - предотвращение утечки, искажения, утраты, блокирования или незаконного распространения информации.

Статья получилась небольшой, да и затрагивает в основном теоретические сведения, касающиеся защиты информации в автоматизированной системе. Для себя уже выделил данный материал и понял, что практику придется рассмотривать иным способом. В скором времени буду выкладывать наработки того, что прохожу сам и как отрабатываю практические навыки в этом.


Информационная безопасность РФ– состояниезащищенностиее национальных интересовв информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина Информационной Безопасности Российской Федерации)

Безопасность информации [данных]– состояние защищенностиинформации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность (ГОСТ Р 50922-2006 "Информационные технологии. Основные термины и определения в области технической защиты информации", Р 50.1.053-2005 "Техническая защита информации. Основные термины и определения" ).

Безопасность информации– состояние защищенностиинформации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами (СТР-К).

Безопасность информации– состояние защищенностиинформации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз (РД ГТК).


Информационная безопасность– защитаконфиденциальности, целостности и доступности информации (ГОСТ 17799:2005 "Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности").

Информационная безопасность– все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ 13335-1:2006 "Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий").


Безопасность– состояние защищенности интересов (целей) организации банковской системы РФ в условиях угроз (СТО БР ИББС-1.0).

Информационная безопасность– безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы РФ (СТО БР ИББС-1.0).

Информационная безопасность– защищенность интересов (целей) организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений (Положение БР № 242-П).

  • Направленность на защиту интересов и достижение целей бизнеса (организации/предприятия)
  • Необходимость достижения и поддержания конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
  • Комплексность и полнота подхода.

Защита информации


  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации (ФЗ № 149 "Об информации, информационных технологиях и защите информации")


Защита информации (ЗИ)– деятельность, направленная на предотвращение утечки защищаемой информации , несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006 "Информационные технологии. Основные термины и определения в области технической защиты информации").

Защита информации от несанкционированного доступа или воздействия– деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил (СТР-К).

Техническая защита информации– обеспечение защитынекриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (ГОСТ Р 50.1.053-2005 "Техническая защита информации. Основные термины и определения").

  • Необходимость противодействовать угрозам (несанкционированным воздействиям и т.д.), нарушающим различные свойства информации (конфиденциальность, целостность и т.д.).
  • Процессы реализации комплексов мер (правовые, организационные и технические) направленных на предотвращение различных угроз (несанкционированных воздействий) защищаемым объектам.

Система защиты информации

Система защиты информации– совокупностьорганов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (ГОСТ Р 50922-2006 "Информационные технологии. Основные термины и определения в области технической защиты информации").

Система защиты информации от несанкционированного доступа– комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах (РД ГТК).

Система информационной безопасности– совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение (СТО БР ИББС-1.0).

  • Комплексы мер (правовые, организационные и технические) направленных на предотвращение различных угроз (несанкционированных воздействий) защищаемым объектам
  • Необходимость противодействия угрозам
  • Ресурсы, необходимые для реализации используемых мер защиты

Соотношение рассмотренных понятий


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Технологии защиты информации включают способы противодействия направленным атакам, профилактику внутрикорпоративной безопасности. Правильный выбор, применение, администрирование СЗИ (средств защиты информации) гарантирует, что важные сведения компании не попадут в чужие руки.

Наряду с несанкционированными действиями третьих лиц зачастую периметр безопасности информации прорывается изнутри. Даже не по злому умыслу, просто человеческий фактор – та же невнимательность. Из нашего материала вы узнаете об основных средствах и технологиях защиты информации от злоумышленников.

Суть информационной безопасности

Информационной безопасностью называют определенные условия, при которых ценные сведения защищены от любых внешних воздействий (естественных и искусственных). Взлом таких данных и поддерживающей их инфраструктуры, как правило, может навредить владельцу.

Выделяют три составляющих информационной безопасности:

  • Целостность – один из важнейших компонентов, когда данные являются руководством к действию. Например, к таким относится защита рецептов фармацевтических препаратов, дорожных карт, технологические процессы. В случае получения их не в полном объеме, под угрозой могут оказаться жизни людей. Искажение информации из официальных источников, сайтов государственных структур или законодательных актов может также нанести значительных ущерб.
  • Доступность – возможность получить необходимые данные в короткие сроки. Сведения должны быть актуальными, полными и не противоречить друг другу. А также быть защищенными от любых несанкционированных воздействий.
  • Конфиденциальность – своевременное принятие мер для ограничения несанкционированного доступа к данным.

Решение проблем, связанных с защитой информации, должно основываться на научном подходе и быть методологически верным. Первым шагом в этом случае станет выявление субъектов информационных отношений и использования систем сбора данных, сопряженных с ними. Методы поиска, сбор и хранения сведений также могут являться угрозой для их сохранности.

К технологиям физической защиты информации относится также вся поддерживающая инфраструктура, которая обеспечивает сохранность данных. Это системы тепло-, электро- и водоснабжения, кондиционеры, коммуникации и каждый человек, который занимается обслуживанием предприятия и оборудования.

Ущерб от нарушения информационной безопасности можно выразить в денежном эквиваленте, но невозможно застраховать себя абсолютно от всех рисков. С экономической точки зрения использование некоторых видов технологии защиты информации и профилактических мероприятий обойдутся дороже потенциальной угрозы. То есть некоторые виды воздействия допускаются, а другие нет.

Ваш Путь в IT начинается здесь

Подробнее

Существует также неприемлемый ущерб, к которому относится нанесение вреда здоровью людей или окружающей среде. Тогда финансовая составляющая уходит на второй план. В любом случае первоочередная задача информационной безопасности — снижение любых убытков до приемлемого значения.

Виды угроз информационной безопасности

Угроза — любое действие, потенциально способное нанести урон информационной безопасности. Атака — ситуация, которая предполагает такую угрозу, а планирующий её человек — это злоумышленник. Потенциальными злоумышленниками являются все лица, способные нанести вред.

Самая распространенный случай здесь — ошибки специалистов, которые работают с информационной системой. Это могут быть непредумышленные действия, вроде ввода некорректных данных и системного сбоя. Такие случайности являются потенциальной угрозой, из-за них в системе появляются уязвимые места, которые используют злоумышленники. В качестве технологии защиты информации в сети здесь могут выступать автоматизация (минимизация человеческого фактора) и административный контроль.

Что является источником угрозы доступности?

  • Отсутствие у специалиста должной подготовки в работе с информационными системами.
  • Низкая мотивация обучаться.
  • Нарушение правил и алгоритмов работы (умышленное или нет).
  • Отказ программного обеспечения.
  • Отсутствие технической поддержки.
  • Ошибки при переконфигурировании.
  • Внештатная ситуация, которая приводит к выходу поддерживающей инфраструктуры из обычного режима (увеличение числа запросов или повышение температуры).
  • Физическое нанесение вреда поддерживающей инфраструктуре (проводам, компьютерам и так далее).

Чаще всего потенциальная опасность угрожает самим данным. Но как мы видим из списка выше, под угрозой находится и инфраструктура, которая обеспечивает их работу. Это могут быть сбои на линии, поломка систем снабжения, нанесение физического вреда оборудованию.

Основная угроза целостности – это кража и подделка, которые также чаще всего осуществляются работниками компании.

Известная американская газета USA Today опубликовала любопытные данные по этому вопросу. Еще в 1992 году, когда компьютеры играли не такую большую роль, общий нанесенный ущерб от такой угрозы составил 882 000 000 долларов. Сейчас эти суммы значительно выше.

Давайте рассмотрим, что может стать источником угрозы целостности?

  • Изменение данных.
  • Ввод некорректных сведений.
  • Подделка части информации (например, заголовка).
  • Подделка всего файла.
  • Внесение дополнительной информации.
  • Дублирование.
  • Отказ от исполненных действий.

Стоит обратить внимание, что угроза нарушения целостности касается не только данных, но и самих программ.

  • Базовые угрозы конфиденциальности

Сюда относится использование паролей для несанкцинированного доступа злоумышленниками. Благодаря использованию этих данных они могут получить доступ к частной информации и конфиденциальным сведениям.

Запутались в разнообразии профессий и не знаете, куда двигаться? Хотите больше зарабатывать или работать удалённо? Уже повзрослели, но так и не поняли, кем хотите стать? Мечтаете наконец найти любимую работу и уйти с нелюбимой?

Александр Сагун

Мы в GeekBrains каждый день обучаем людей новым профессиям и точно знаем, с какими трудностями они сталкиваются. Вместе с экспертами по построению карьеры поможем определиться с новой профессией, узнать, с чего начать, и преодолеть страх изменений.

Карьерная мастерская это:

  • Список из 30 востребованных современных профессий.
  • Долгосрочный план по развитию в той профессии, которая вам подходит.
  • Список каналов для поиска работы.
  • 3 теста на определение своих способностей и склонностей.
  • Практику в разных профессиях на реальных задачах.

Уже 50 000 человек прошли мастерскую и сделали шаг к новой профессии!

Зарегистрироваться и получить подарки

Что служит источником угрозы конфиденциальности?

  • Применение одинаковых паролей на всех системах.
  • Использование многоразовых паролей и сохранение их в ненадежных источниках, к которым могут получить доступ посторонние люди.
  • Размещение данных в месте, которое не гарантирует конфиденциальность.
  • Презентация оборудования с конфиденциальными данными на выставках.
  • Применение технических средств злоумышленниками (программы, считывающие введенный пароль, подслушивающие устройства и так далее).
  • Оставление оборудования без присмотра.
  • Размещение данных на резервных копиях.
  • Использование информации в множестве источников, что значительно снижает её безопасность и приводит к перехвату.
  • Злоупотребление полномочиями и нарушение рабочей этики сотрудниками.

Основная суть угрозы конфиденциальности — данные становятся уязвимыми и из-за этого злоумышленник получает к ним доступ.

Цели кибератак

Для начала приведем любопытную статистику. Согласно мировым исследованиям, только за прошлый год 91% компаний подвергались кибератакам хотя бы раз. Если взять Россию отдельно, то статистика не лучше — 98% фирм сталкивались с внешними атаками. Еще 87% получили урон из-за внутренних угроз (утечке сведений, некорректных действий сотрудников, заражение программами и так далее).

Цели кибератак

Цели кибератак

Новые вирусы создаются постоянно, автоматические системы фиксируют более 300 тысяч образцов вредоносных программ ежедневно. Они способны нанести значительный урон пользователям и фирмам, таких случаев в истории предостаточно. Например, в США злоумышленники взломали систему магазина Target и получили данные о 70 миллионах кредитных карт их клиентов.

С какой целью совершаются кибератаки?

Компании хотят получить доступ к коммерческой тайне конкурентов, к персональным данным клиентов и сотрудников. Участились случаи атак, которые получили название MiniDuke. Они направлены на государственные и дипломатические структуры, военные учреждения, энергетические компании, операторов связи.

Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.

Что такое информационная безопасность

Информационная безопасность — это различные меры по защите информации от посторонних лиц.

Однако цифровую информацию тоже нужно защищать не только виртуально, но и физически. Антивирус не поможет, если посторонний похитит сам сервер с важными данными. Поэтому их ставят в охраняемые помещения.

За что отвечает информационная безопасность

Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.

Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.

Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

Какая бывает информация и как ее защищают

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

"Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса."

Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.

Основные виды конфиденциальной информации

Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.

Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, поставить защитное ПО, настроить шифрование.

Читайте также: