Всем привет! Мир сейчас переживаем период цифровой трансформации. Все переходит в онлайн: покупки в магазинах, поход к врачам, доставка еды и многое другое. Представить жизнь без интернета просто невозможно. Да и телефон с компьютером сейчас есть просто у всех.
Но как и в офлайн мире в онлайна полно угроз, мошенников, хакеров и злоумышленников. Новости об утечке данных мы слышим каждый год. Поэтому тема сегодняшней статьи - информационная безопасность. Начнем с азов и поговорим об ее уровнях.
Основы
Информационная безопасность – это многоуровневый продукт, который состоит из множества компонентов: от профильных законов до технических средств. Общие принципы ИБ имеют теоретическое обоснование и подразделение на уровни.
Все выделяют несколько уровней информационной безопасности:
- законодательный;
- административный;
- процедурный;
- программно-технический.
Законодательный
Ответственный: государство.
Данный уровень включает в себя совокупность мер, которые направлены на формирование и поддержку в обществе отрицательного отношения к киберпреступникам и нарушителям информационной безопасности (далее ИБ).
Сейчас существует такой механизм, при котором государство при создании законопроектов согласовывает с развитием сферы ИТ. Ведь как мы знаем в мире все сейчас меняется просто невероятно быстро и актуальность является крайне важным процессом. Законодательный уровень также включает в себя подготовку отечественных норм и стандартов в соответствие с международными регламентами в сфере ИТ и ИБ.
Недостаток: в законодательстве РФ, по мнению ИБ-экспертов, не достает положительной направленности. Государство должно, в первую очередь, давать разъяснения, помогать, учить, а не выставлять запреты и наказывать. Государственная власть должна взять на себя роль координатора.
Административный
Ответственный: руководство конкретной компании и ее профильные департаменты.
Самым главным регламентирующим документом здесь является – политика безопасности. Данный документ включает в себя решения по управлению, которые необходимы для защиты данных и техсредств.
С помощью подобной документации происходит:
- установление стратегии в сфере кибербезопасности,
- количества техсредств,
- количество программных продуктов,
- финансирование, которое необходимо выделять в этом направлении единовременно и систематически.
Построение политики безопасности ведется на базе проведенного анализа рисков, признанными специалистами актуальными для ИС конкретной компании. Проанализировав риски и разработав стратегию защиты, разрабатывается программа, позволяющая организовать систему информбезопасности в компании. При разработке политики безопасности нельзя использовать стандартизированные подходы – для каждой компании она должна быть уникальной.
Процедурный
Ответственный: ИБ-специалисты, руководство, сотрудники
Принято выделять несколько категорий процедурных мер:
- обеспечение физической защиты техсредств, программ, документации;
- управление персоналом;
- поддержка работоспособности;
- реагирование на негативные события в режиме безопасности;
- стратегия восстановительных работ.
Для каждой категории обязательно разрабатываются регламенты, которые определяют действия работников. Обязательна отработка разработанных регламентов на практике.
Программно-технический
Включает три подуровня: физический, технический (аппаратный) и программный.
Физический
Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно, к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т.д.).
Аппаратный
Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т.д.
Программный
К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например, антивирусный пакет. Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows ХР) или специальной программой шифрования.
Цифровая гигиена
Один из глобальных факторов, который влияет на уровень информационной безопасности как в масштабах компании, так и государства в целом – это невысокий уровень «цифровой гигиены».
В цифровом мире существуют свои правила гигиены, которые необходимо выполнять регулярно. Только в этом случае они помогут защитить ваше киберпространство, а если проявить небрежность, то можно угодить в ловушку финансовых мошенников.
Хотим поделиться несколькими правилами, которые стоит соблюдать, чтобы обезопасить себя и свои данные.
1. Устанавливайте сложные пароли и регулярно меняйте их;
2. Делайте резервное копирование данных;
3. Не делитесь слишком личной информацией в соцсетях;
4. Регулярно проверяйте историю финансовых операций;
5. Периодически отписывайтесь от лишнего;
6. Регулярно обновляйте программное обеспечение;
7. Следите за тем, какой цифровой отпечаток вы оставляете.
Оставайтесь с нами! И узнавайте еще больше про информационную безопасность.