Информационная безопасность
Информационная безопасность
Информационная безопасность (Information Security), иногда сокращаемая до InfoSec, — это практика защиты информации путем снижения информационных рисков. Это часть управления информационными рисками.
Обычно это включает в себя предотвращение или снижение вероятности несанкционированного/ненадлежащего доступа к данным или незаконного использования, раскрытия, нарушения, удаления, повреждения, модификации, проверки, записи или обесценивания информации.
Основное внимание в информационной безопасности уделяется сбалансированной защите конфиденциальности данных, целостности данных и доступности данных при сохранении акцента на эффективной реализации политики, и все это без ущерба для производительности организации. Это в значительной степени достигается за счет структурированного процесса управления рисками, который включает:
- идентификацию информации и связанных с ней активов, а также потенциальных угроз, уязвимостей и воздействий;
- оценку рисков;
- принятие решения о том, как устранять риски или относиться к ним, т.е. избегать, смягчать, разделять или принимать их;
- там, где требуется снижение риска, выбор или разработку соответствующих средств контроля безопасности и их внедрение ;
- мониторинг деятельности, внесение необходимых корректив для решения любых проблем, изменений и возможностей улучшения.
Функции и стандарты по обеспечению информационной безопасности
В основе информационной безопасности лежит обеспечение достоверности информации, акт поддержания конфиденциальности, целостности и доступности (ЦРУ) информации, гарантирующий, что информация никоим образом не будет скомпрометирована при возникновении критических проблем. Эти проблемы включают, помимо прочего, стихийные бедствия, неисправность компьютера/сервера и физическую кражу. В то время как бумажные бизнес-операции по-прежнему распространены, требуя собственного набора методов информационной безопасности, все чаще подчеркиваются корпоративные цифровые инициативы, при этом обеспечением информации в настоящее время обычно занимаются специалисты по безопасности информационных технологий (ИТ). Эти специалисты применяют информационную безопасность к технологиям (чаще всего к какой-либо форме компьютерной системы).
Сфера информационной безопасности за последние годы значительно выросла и эволюционировала. Он предлагает множество областей для специализации, включая обеспечение безопасности сетей и смежной инфраструктуры, защиту приложений и баз данных, тестирование безопасности, аудит информационных систем, планирование непрерывности бизнеса, обнаружение электронных записей и цифровую криминалистику.
Специалисты по ИТ-безопасности почти всегда встречаются на любом крупном предприятии / учреждении из-за характера и ценности данных в крупных компаниях. Они несут ответственность за защиту всех технологий в компании от злонамеренных кибератак, которые часто пытаются получить важную личную информацию или получить контроль над внутренними системами.
Стандарты для информационной безопасности
Международная организация по стандартизации (ИСО) является международной организацией по стандартизации, организованной как консорциум национальных учреждений по стандартизации из 167 стран, координируемой через секретариат в Женеве, Швейцария. ИСО является крупнейшим в мире разработчиком международных стандартов. Международная электротехническая комиссия (МЭК) является международной организацией по стандартизации, которая занимается электротехнологиями и тесно сотрудничает с ИСО. Особый интерес для информационной безопасности представляют ИСО/МЭК 15443: «Информационные технологии – Методы обеспечения безопасности – Основа обеспечения ИТ-безопасности», ИСО/МЭК 27002: «Информационные технологии – Методы обеспечения безопасности – Свод правил управления информационной безопасностью», ИСО/МЭК 20000: «Информационные технологии – Управление услугами» и ИСО/МЭК 27001: «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» Профессионалов.
Информационная безопасность предприятия
Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.
Задачи систем информационной безопасности предприятия различны:
- обеспечение защищённого хранения информации на носителях;
- защита данных, передаваемых по каналам связи;
- создание резервных копий, послеаварийное восстановление и т. д.
Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:
- оценка стоимости;
- разработка политики безопасности;
- реализация политики;
- квалифицированная подготовка специалистов;
- аудит.
С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.
Цели оценки информационной безопасности:
- определить ценность информационных активов;
- определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
- определить существующие уязвимые места в практической деятельности организации;
- установить риски организации в отношении информационных активов;
- предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
- обеспечить базу для создания проекта обеспечения безопасности.
Пять основных видов оценки:
- Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
- Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
- Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
- Аудит. Исследована существующая политика и соответствие организации этой политике.
- Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.
При проведении оценки должны быть исследованы такие документы, как:
- политика безопасности;
- информационная политика;
- политика и процедуры резервного копирования;
- справочное руководство работника или инструкции;
- процедуры найма-увольнения работников;
- методология разработки программного обеспечения;
- методология смены программного обеспечения;
- телекоммуникационные политики;
- диаграммы сети.
После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.
Необходимо разработать следующие политики и процедуры:
- Информационная политика. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
- Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
- Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
- Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
- Процедуры управления учётными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
- План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.
Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.
Рекомендуемая литература
Карри, Майкл; Маршалл, Байрон; Кросслер, Роберт Э.; Коррейя, Джон (2018-04-25). «Модель действий процесса информационной безопасности (IPAM): систематическое рассмотрение индивидуального поведения безопасности». База данных ACM SIGMIS: база данных для достижений в области информационных систем. 49 (СИ): 49–66.
ГОСТ Р ИСО/МЭК 27000-2012 : Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология : [PDF] // Росстандарт.