Основы информационной безопасности: береги, берегись, пользуйся!

Методы защиты информации

Для обеспечения безопасности информации в ИС используются следующие методы:

  • препятствие;
  • управление доступом;
  • методы криптографии;
  • противодействие атакам вредоносных программ;
  • регламентация;
  • принуждение;
  • побуждение.

Рассмотрим каждый из них более подробно.

Определение 1

Препятствие – физическое преграждение пути к защищаемой информации (к техническому оборудованию, носителям информации и т.д.).

Управление доступом – методы защиты информации через регулирование использования ресурсов информационных технологий и информационной системы. Управление доступом должно препятствовать абсолютно всем возможным путям несанкционированного доступа к защищаемой информации.

Защита информации с помощью управления доступом происходит через:

  • идентификацию пользователей и персонала(присвоение персонального идентификатора);
  • опознание объекта по идентификатору;
  • проверку полномочий доступа к информации или объекту;
  • регистрацию обращений к информации;
  • реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Криптографические методы защиты – шифрование информации. Методы шифрования широко применяются при обработке и хранении информации. Особенно надежным данный метод является при передаче информации по сети.

Защиту от атак вредоносных программ призван обеспечить комплекс различных методов организационного характера и использование антивирусных программ, результатом чего является снижение вероятности заражения ИС, определение фактов инфицирования системы; снижение или предотвращение последствий информационных заражений, уничтожение вирусов; последующее восстановление информации.

Определение 2

Регламентация – ограничение времени работы, ограниченный доступ людей к информации, ограничение доступа по определенным дням, времени суток, часам и т.п. Создание таких условий работы с защищаемой информацией нормы и стандарты по защите будут выполняются в наибольшей степени.

Определение 3

Принуждение – метод защиты информации, при котором пользователи и персонал ИС соблюдают правила работы с защищаемой информацией под угрозой ответственности (материальной, административной или уголовной).

Определение 4

Побуждение – метод, который побуждает (за счет соблюдения уже сложившихся морально-этических норм) субъектов ИС не нарушать установленные порядки.

Технические средства защиты информации делятся на аппаратные и физические.

К аппаратным средствам относятся устройства, которые встраиваются непосредственно в техническое оборудование ИС или связываются с ним по стандартному интерфейсу.

К физическим средствам относят инженерные устройства и сооружения, которые препятствуют физическому проникновению на объекты защиты и осуществляют защиту персонала, материальных, информационных и других ценностей (например, решетки, замки, сейфы, сигнализация и т.п.).

Также широко используются программные средства, предназначенные для защиты информации в ИС. К ним относятся программы паролирования, антивирусные программы, программы ограничения доступа, программы шифрования (криптографии).

Организационные средства обеспечивают мероприятия, которые делают невозможными или затрудняют разглашение, утечку, несанкционированный доступ к информации на нормативно-правовой основе.

Законодательные средства защиты регламентируют правила работы с информацией и устанавливают порядок ответственности за их нарушение. Законодательные средства защиты определяются законодательными актами страны.

Морально-этические средства защиты включают нормы поведения, которые могут быть неписанными (например, честность) или оформленными в виде правил и предписаний. Как правило, они не утверждены законодательством, но считаются обязательными для исполнения. Примером таких правил может быть свод этических правил общения в сети и т.п.

Проблемы информационной безопасности

Информационная безопасность является одним из важнейших аспектов любого уровня безопасности – национального, отраслевого, корпоративного или персонального.

Основная проблема ИБ состоит в том, что она является составной частью информационных технологий.

Технологии программирования не позволяют создавать безошибочные программы, что не может обеспечить информационную безопасность. То есть существует необходимость создавать надежные системы ИБ с использованием ненадежных программ. Такая необходимость требует соблюдения архитектурных принципов и контроля защищенности при использовании ИС.
Также с развитием информационно-коммуникационных технологий, с постоянным использованием сетей значительно выросло количество атак. Но это нельзя назвать самой большой проблемой информационной безопасности, так как гораздо значительнее проблемы, связанные с постоянным обнаружением новых уязвимых мест в программном обеспечении и, как следствие, появления новых видов атак.

Над уничтожением таких уязвимых мест трудятся разработчики абсолютно всех разновидностей операционных систем, поскольку новые ошибки начинают активно использоваться злоумышленниками.

Замечание 2

В таких случаях системы ИБ должны иметь средства противостояния разнообразным атакам. Атаки могут длиться как доли секунды, так и несколько часов, медленно прощупывая уязвимые места (в таком случае вредоносная активность практически незаметна). Действия злоумышленников могут быть нацелены на нарушение как отдельно взятых, так и всех составляющих ИБ – доступности, целостности и конфиденциальности.

Масштаб последствий нарушения работоспособности программного и технического обеспечения ИС можно представить по затратам на решение «Проблемы–2000». По одним оценкам экспертов общий объём мировых инвестиций, который был потрачен на подготовку к 2000 году, составил 300 млрд. долларов, по другим данным эта сумма завышена на порядок.

4 стадии взлома автоматизированной системы

Любая уязвимость АС может быть использована злоумышленниками, пытающимися получить контроль над информационными ресурсами, например, конкретного предприятия, что несет угрозу самой организации, ее сотрудникам и третьим лицам. С этой целью осуществляются 4 стадии взлома:

  • Сбор данных о платформе, которую планируется взломать. На данном этапе хакер занимается поиском всей информации о средствах и уровне защиты площадки, а также получает дополнительную информацию о ее работе и особенностях.
  • Атака на систему. Этап, который позволяет получить доступ к системе и контроль над ней.
  • Реализация цели атаки. Преступник похищает, уничтожает, подменяет данные либо открывает доступ к конфиденциальной информации для сторонних лиц.
  • Распространение атаки. Цель хакера – получить максимальную информацию за короткое время. Поэтому, взломав и получив контроль над одной частью системы, он переходит к другим.

Только до 26.12

Как за 3 часа разбираться в IT лучше, чем 90% новичков и выйти надоход в 200 000 ₽?

Приглашаем вас на бесплатный онлайн-интенсив «Путь в IT»! За несколько часов эксперты
GeekBrains разберутся, как устроена сфера информационных технологий, как в нее попасть и
развиваться.

Интенсив «Путь в IT» поможет:

  • За 3 часа разбираться в IT лучше, чем 90% новичков.
  • Понять, что действительно ждет IT-индустрию в ближайшие 10 лет.
  • Узнать как по шагам c нуля выйти на доход в 200 000 ₽ в IT.

При регистрации вы получите в подарок:

«Колесо компетенций»

Тест, в котором вы оцениваете свои качества и узнаете, какая профессия в IT подходит именно вам

«Критические ошибки, которые могут разрушить карьеру»

Собрали 7 типичных ошибок, четвертую должен знать каждый!

Тест «Есть ли у вас синдром самозванца?»

Мини-тест из 11 вопросов поможет вам увидеть своего внутреннего критика

Хотите сделать первый шаг и погрузиться в мир информационных технологий? Регистрируйтесь и
смотрите интенсив:

Только до 26 декабря

Получить подборку бесплатно

pdf 4,8mb
doc 688kb

Осталось 17 мест

3 главных требования к информационной безопасности

Специалисты по защите данных в своей работе опираются на три важнейших свойства информации, которые являются основой безопасности. В английском языке для них введено отдельное определение CIA Triad. Обеспечение этих свойств входит в число требований информационной безопасности к автоматизированным системам. Рассмотрим каждое свойство отдельно:

  • Целостность. Свойство, обозначающее существование данных в неискаженном виде при хранении и совершении какой-либо операции над ними.
  • Доступность. Свойство позволяет обеспечивать участникам информационных отношений своевременный и полноценный доступ к необходимой информации.
  • Конфиденциальность. Это свойство позволяет предоставлять доступ к какой-либо информации определенному кругу лиц, при этом ограничивая доступ тем лицам, от которых эта информация держится в тайне. Обеспечить соблюдение этого параметра удается не во всех случаях.

Для чего нужна информационная безопасность

Информационная безопасность защищает системы от проникновения и от атак. Сюда входит не только взлом: это и DDoS-атаки, в результате которых может «лечь» сервер сайта, и утечка данных, и многое другое. Злоумышленников намного больше, чем кажется. И никто не хочет, чтобы их сервис потерял работоспособность, а данные оказались доступны всем вокруг. Для этого и нужна информационная безопасность.

У компаний есть еще одна причина: за утечку конфиденциальных данных пользователей они несут ответственность по закону. Так что для них меры по безопасности — это еще и способ избежать проблем с законодательством и потери доверия клиентов.

Без мер по информационной безопасности кто угодно мог бы получить доступ к конфиденциальным сведениям или взломать любой сайт или систему. Компьютерным пространством стало бы фактически невозможно пользоваться.

Доктрина информационной безопасности

Помимо 149-ФЗ есть второй основополагающий документ это «Доктрина информационной безопасности Российской Федерации». Доктрина утверждена Указом Президента РФ от 05.12.2016 года №646.

В доктрине указано что:

При этом нужно понимать что организационно – технические меры принимаются в едином комплексе. Они основываются на основании каких-то документах (правовых нормах) которые разрабатываются для каждой организации отдельно.

Экономические методы защиты информации это крайне размытое понятие. Тут все зависит от бюджета, который организация может (или не может) выделить на защиту информации. Ведь бывает так, что защищать информацию нужно, а денег нет.

Возникают вопросы, какими методами, как и что (самое главное) мы можем защитить? Соответственно перед любыми начинаниями нужно понимать четкие ответы на эти вопросы.

Иная нормативная документация

В своей деятельности специалист по информационной безопасности руководствуется правовыми нормами. Все утвержденные нормативно-правовые документы в области информационной безопасности подлежат обязательной публикации (за исключением секретных документов, естественно). Не опубликованные законы не применяются (согласно статье 15 части 3 Конституции РФ).

Поэтому я привожу список сайтов, на которых вы можете найти такие документы:

http://kremlin.ru – Президент России.

http://government.ru – Правительство России.

http://council.gov.ru – Совет Федерации.

http://duma.gov.ru – государственная Дума.

https://fstec.ru – ФСЭК России.

На самом деле их очень много.

Так же вы можете (и должны) использовать справочно-правовые информационные системы. На этом моменте я не останавливаюсь, так как с Гарантом и Консультантом обычно все умеют работать.

Основная ценность этих систем это аналитика нормативно правовых актов, а так же их актуальность.

При этом стоит вспомнить о Конституции РФ. Конституция является основным законом, которому не должны противоречить все остальные законы.

То есть сначала идет Конституция, затем идут  Федеральные конституционные законы, далее Федеральные законы (самый большой пласт с которым приходится работать).

Далее по уровню идут акты Президента и Правительства РФ, нормативная документация Министерств, затем Региональная документация, Муниципальная документация и в конце внутренняя документация.

Это я к чему вспомнил? К тому, что любая документация, которую разрабатывает специалист по защите информации, не должна противоречить всем вышестоящим нормативно-правовым документам. Поэтому тут не все так просто.

Три принципа информационной безопасности

Информационная безопасность отвечает за три вещи: доступность, конфиденциальность и целостность данных. Сейчас расскажем, что это означает.

Доступность. Это значит, что к информации могут получить доступ те, у кого есть на это право. Например, пользователь может зайти в свой аккаунт и увидеть все, что в нем есть. Клиент может перейти в каталог и посмотреть на товары. Сотрудник может зайти во внутреннюю базу данных для его уровня доступа. А если на систему производится атака и она перестает работать, доступность падает порой до полного отказа.

Конфиденциальность. Второй принцип — конфиденциальность. Он означает, что информация должна быть защищена от людей, не имеющих права ее просматривать. То есть в тот же аккаунт пользователя не сможет войти чужой человек. Без регистрации нельзя комментировать что-то на сайте, без личного кабинета — оплатить заказ. Человек, который не работает в компании, не может зайти в ее внутреннюю сеть и посмотреть там на конфиденциальные данные. Если систему взламывают, конфиденциальность оказывается нарушенной.

Целостность. Целостность означает, что информация, о которой идет речь, не повреждена, существует в полном объеме и не изменяется без ведома ее владельцев. Комментарий не сможет отредактировать посторонний человек — только автор или иногда модератор. Сведения в базе данных меняются только по запросу тех, у кого есть доступ. А в вашем аккаунте не появятся письма, написанные от вашего лица без вашего ведома. При взломе системы целостность опять же может нарушиться: информацию могут модифицировать, повредить или стереть.

Какими методами пользуются специалисты по ИБ

Какую информацию нужно защищать и зачем — разобрались. Теперь поговорим о том, как именно это делают. Информационная безопасность — это не одно действие, а целый набор разнообразных мер:

  • поиск технических уязвимостей и защита от них;
  • «защита от дурака», чтобы никто не смог навредить данным по ошибке;
  • создание инфраструктуры, которая устойчива к частым способам атаки;
  • шифрование информации внутри сети или системы;
  • защита паролей и других конфиденциальных сведений;
  • защита базы данных от несанкционированного вмешательства;
  • контроль доступа людей к критичной информации;
  • предоставление доступа по защищенным каналам;
  • отслеживание поведения пользователей, чтобы вовремя пресечь возможную угрозу;
  • построение системы оповещений об уязвимостях и взломах;
  • регулярное проведение аудитов, которые описывают состояние системы.

И это только малая часть возможных действий, причем за каждым из них скрывается огромная и разнообразная работа.

Этап 3: Подготовь свою организацию

  • Знаете ли вы, когда последний раз была создана резервная копия ваших ценных файлов?
  • Регулярно ли вы проверяете правильность резервных копий?
  • Знаете ли вы, с кем из коллег связаться, если произошел инцидент?

Управление резервными копиями

Действия:

  • Автоматически выполнять еженедельные резервные копии всех компьютеров, содержащих важную информацию;
  • Периодически проверяйте свои резервные копии, восстанавливая систему с использованием резервной копии;
  • Убедитесь, что, хотя бы одна резервная копия недоступна по сети. Это поможет защитить от атак программ-вымогателей, поскольку данная резервная копия не будет доступна для вредоносного ПО.

Инструменты:

  • Microsoft «Резервное копирование и восстановление»: утилита резервного копирования, встроенная в операционную систему Microsoft
  • Apple Time Machine: инструмент резервного копирования, установленный в операционных системах Apple
  • Amanda Network Backup: бесплатный инструмент резервного копирования с открытым исходным кодом
  • Bacula: сетевое решение для резервного копирования и восстановления информации с открытым исходным кодом

Действия:

  • Определите сотрудников вашей организации, которые будут принимать решения и давать указания в случае инцидента.
  • Предоставьте контактную информацию для ИТ-персонала и / или сторонних организаций.
  • Присоединяйтесь к ассоциациям, которые сосредоточены на обмене информацией и продвижении информационной безопасности.
  • Храните список внешних контактов как часть вашего плана. К ним могут относиться юрисконсульты, страховые агенты, если вы застраховали риски по информационной безопасности, консультанты по вопросам безопасности.
  • Ознакомьтесь с законами, связанными с нарушениями в сфере информационной безопасности в вашей стране.

Что делать, если произошел инцидент:

  • Рассмотрите возможность обращения к консультанту по информационной безопасности, если характер и масштаб инцидента вам непонятен.
  • Рассмотрите возможность обращения к юристу, если окажется, что в инциденте была скомпрометирована конфиденциальная информация третьей стороны.
  • Подготовьтесь к уведомлению всех затронутых лиц, чья информация была раскрыта в результате нарушения.
  • По мере необходимости информируйте сотрудников правоохранительных органов.

История возникновения и развития информационной безопасности

С развитием средств информационных коммуникаций, а следовательно и возможности нанесения ущерба информации, которая хранится и передается с их помощью, возникла информационная безопасность (ИБ).

Основной задачей ИБ до 1816 года была защита разного рода информации, которая имеет для субъекта (организации или конкретного человека) особое значение.

Внедрение и использование возможностей радиосвязи выявило необходимость обеспечения защищенности радиосвязи от помех с помощью применения помехоустойчивого кодирования и декодирования сигнала. Позже появились радиолокационные и гидроакустические средства (1935 год), ИБ которых обеспечивалась через повышение защищенности радиолокационных средств от воздействия радиоэлектронных помех.

Начиная с 1946 года, с широким использованием в практической деятельности электронно-вычислительных машин (ЭВМ), ИБ достигалась, в основном, с помощью ограничения физического доступа к оборудованию, которое содержало или обрабатывало защищаемую информацию.

С 1965 года развивались локальные сети, информационная безопасность которых в основном достигалась путём администрирования и управления доступом к сетевым ресурсам.

С началом использования мобильных коммуникационных устройств угрозы информационной безопасности стали гораздо серьёзнее и сложнее. Потребовалась разработка новых методов безопасности, так как для передачи и хранения информации широко использовались беспроводные сети передачи данных. Появились хакеры – сообщества людей, целью которых было нанесение ущерба ИБ разного объема (от отдельных пользователей до целых стран). С тех пор обеспечение информационной безопасности становится важнейшей и обязательной составляющей безопасности страны.

Замечание 1

Таким образом, задачи информационной безопасности состоят в защите информации методами обнаружения, предотвращения и реагирования на атаки.

149-ФЗ об информации, информационных технологиях и о защите информации

Основным законом в сфере защиты информации является Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Ранее он назывался «Об информации, информатизации и защиты информации». Если на просторах интернета вы встретите такое название, знайте, что он устарел и нужно руководствоваться законом от 27.07.2006 года.

Я рекомендую использовать 149-ФЗ как справочник, желательно его знать. Но не обязательно заучивать, если что к нему всегда можно вернуться.

Так вот, в 149-ФЗ определены следующие моменты.

Эти меры в комплексе направлены на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения,

модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  1. соблюдение конфиденциальности информации ограниченного доступа;
  2. реализацию права на доступ к информации.

Когда мы работаем в сфере защиты информации, мы должны знать следующее.

Во-первых, мы должны, знать какое есть правовое обеспечение нашей деятельности.

Во-вторых, какие есть требования к нам и нашей деятельности.

В-третьих, мы должны знать, какие организационно-технические меры мы должны применять в своей деятельности (они, чаще всего, идут в комплексе).

Основы информационной безопасности автоматизированных систем

Вышеупомянутая система представляет собой организационно-техническую структуру, которая состоит из определенных элементов и обеспечивает автоматическую обработку данных. Она удовлетворяет потребности участников информационных отношений в получении определенных сведений.

  • Комплекс технических средств, обеспечивающих ввод, обработку, преобразование, хранение и передачу данных (различное техническое оборудование).
  • Программное обеспечение (программы и программная документация).
  • Специалисты, обслуживающие автоматизированные системы.
  • Информация, размещенная на носителях.

Перейдем к понятию безопасности автоматизированной системы. Под ней понимают защиту системы и всех ее составляющих от преднамеренного или непреднамеренного нежелательного воздействия.

Основы информационной безопасности автоматизированных систем

Информационная безопасность автоматизированных систем – область науки и техники, которая активно развивается в последние десятилетия. Ее обеспечивают математические, программно-аппаратные, криптографические, правовые и организационные способы защиты

Важно сделать это на всех этапах работы с информацией: при ее приеме, обработке, хранении, отображении и передаче в системах

Основной целью обеспечения безопасности автоматизированной системы является защита участников информационного взаимодействия от ущерба, который они могут понести в результате вмешательства в работу системы, а также воздействия на саму информацию или отдельные компоненты АС.

Процесс обеспечения безопасности АС неотделим от понятия информации. Она является одним из важнейших компонентов автоматизированной системы. Рассмотрим, что такое информация и информационные ресурсы, и дадим определение этим понятиям.

Под информацией понимают сведения об окружающем мире, а также происходящих в нем процессах и явлениях. Информация лежит в основе решений, которые принимаются с целью оптимизации управления автоматизированной системой. Она может иметь различные формы и обладать теми или иными свойствами. Управление свойствами информации позволяет получить оптимальное решение.

Информационные ресурсы – это документы и массивы документов в информационных системах.

Взаимодействие субъектов с информационными ресурсами ведет к возникновению отношений, которые и называются информационными. В свою очередь участвующие в этих отношениях субъекты определяются как субъекты информационных отношений.

Выделяют 3 категории субъектов информационных отношений: государство (в целом, а также различные органы государственной власти, ведомства и государственные организации), юридические лица и объединения, граждане (физические лица).

Только до25 декабря

Пройди опрос иполучи обновленный курс от Geekbrains

Дарим курс по digital-профессиям
и быстрому вхождения в IT-сферу

Чтобы получить подарок, заполните информацию в открывшемся окне

Перейти

Скачать файл

Любой субъект в зависимости от того, в какие отношения он вступает и по отношению к различной информации, может являться источником информации или ее потребителем. Возможны случаи, когда он является одновременно и тем, и другим.

Административные методы обеспечения информационной безопасности автоматизированных систем

Разработка и внедрение административных методов защиты АС, применяемых на предприятии – прямая ответственность руководства компании, вышестоящих ведомств, службы безопасности и управления персоналом. Основными административными методами обеспечения информационной безопасности АС являются:

  • утверждение на предприятии локальных нормативных актов, регламентирующих доступ к АС, защиту и обработку данных;
  • обучение и мотивация сотрудников;
  • введение режима коммерческой тайны и ответственности за ее разглашение, внесение соответствующих положений в трудовые договоры или дополнительные соглашения с работниками;
  • формирование у работников заинтересованности в защите данных;
  • создание комфортных условий труда, которые исключат сбои и потери, связанные со снижением концентрации внимания и усталостью персонала.

Организационные методы защиты внедряются параллельно с проверкой и анализом их эффективности, что позволяет при необходимости править и дорабатывать систему.

Следует учитывать, что высокий темп научно-технического прогресса сопровождается таким же быстрым развитием средств и методов, угрожающих безопасности автоматизированных систем. Повышается уязвимость АС, растет количество хакерских атак. Поэтому сегодня вопросы защиты автоматизированных систем выходят на первый план.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: