6K подписчиков

Информационная безопасность от А до Я

392 прочитали
Информационная безопасность (на английском Information Security или InfoSec) – это практика предотвращения несанкционированного доступа, использования, искажения, корректирования, исследования,...

Информационная безопасность (на английском Information Security или InfoSec) – это практика предотвращения несанкционированного доступа, использования, искажения, корректирования, исследования, уничтожения, записи и раскрытия той или иной информации. Понятие является универсальным. Оно используется вне зависимости от формы, которые принимают данные (физическая, электронная и так далее).

Ключевая задача информационной безопасности – это сбалансированная защита:

  • конфиденциальности;
  • целостности;
  • доступности данных.

Производительность организации при применении «защитных средств» не должна снижаться, а методы организации предварительно изучаются на предмет целесообразности.

В данной статье информационная безопасность данных будет рассмотрена более подробно. Предстоит рассмотреть ее аспекты, а также основы и особенности. А еще – как стать специалистом по ИБ.

Ключевые понятия

Основы информационной безопасности можно изучать после того, как человек четко понимает некоторые моменты в IT. Сначала нужно разобраться, что относят к понятию «информация». Это весьма расплывчатый термин. Его понятие меняется в зависимости от сферы применения.

Информация (в области обработки информации) – это любые данные, представленные в электронной форме, а также произнесенные и написанные на материальном носителе. Они используются для принятия решений, перемещения денег, предоставления в суд, считывания и проведения операций и иных манипуляций. Сюда также относят компоненты программного обеспечения обработки.

Для разработки концепции обеспечения информационной безопасности систем (ИБ) под информацией понимаются сведения, которые доступны для:

  • сбора;
  • хранения;
  • обработки (преобразования и редактирования);
  • использования;
  • передачи.

Соответствующие материалы могут быть доступны в иных ИС и даже компьютерных сетях. Они имеют высокую ценность. Именно поэтому необходимо обеспечивать надежную защиту информации – злоумышленники могут использовать ее в собственных целях. Последствия подобного поведения непредсказуемы.

Определение информационной безопасности

Перед разработкой концепций защиты данных, нужно разобраться с базовым определением ИБ. Безопасность информационной системы – это стабильное состояние защищенности информации, ее носителей, а также инфраструктуры, обеспечивающей целостность и устойчивость процессов, связанных с информацией, к намеренным/преднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые способны наносить вред информационным объектам.

Под защитой информации понимают комплекс мер, направленных на предотвращение реальных/предполагаемых угроз ИБ:

  • технических;
  • организационных;
  • правовых;
  • административных.

Сюда также относят манипуляции, направленные на устранение последствий разнообразных инцидентов. Процессы должны осуществляться на постоянной основе, гарантировать борьбу с реальными/потенциальными угрозами на всех этапах информационного цикла.

Рассматриваемое понятие можно отнести к одной из характеристик работоспособности системы. Последняя в каждый момент времени должна иметь определенный и измеряемый уровень защищенности. Обеспечение БС должно быть непрерывным. Соответствующий комплекс мер осуществляется на всех временных отрезках жизни системы.

Субъекты

В темах, посвященных рассматриваемому понятию, можно увидеть информацию о том, что такое субъект ИБ. Это – владельцы данных и их непосредственные пользователи. К последним относятся не только постоянные клиенты (сотрудники), но и те, кто разово обращаются к базам данных. Пример – государственные органы.

Поддерживающая структура

Рассматривая аспекты информационной безопасности, стоит обратить внимание на некоторые понятия. Поддерживающая структура – это:

  • компьютеры;
  • помещения;
  • телекоммуникационное оборудование;
  • персонал;
  • системы жизнеобеспечения;
  • сети.

Сюда относятся все те элементы, за счет которых происходит функционирование всей системы защиты данных. При анализе безопасности нужно изучить все компоненты, сделав акцент на персонале. Это связано с тем, что работники (как и иные люди) выступают носителями большинства угроз.

Угроза

К информационной угрозе принадлежат объективные возможности воздействия на защищаемый объект. Они могут привести к утечке, разглашению, распространению, а также хищению и удалению информации. Это – узкое понимание термина.

Более широкое понятие – направленные действия информационного характера. Их целью является нанесение ущерба потенциальной жертве. Пример – диффамация. Под этим термином понимают намеренное введение в заблуждение. Еще один вариант – некорректная реклама.

Система безопасности

Под системой информационной безопасности понимают юридические лица, а также специализированных работников IT-сферы. В первом случае речь идет о компании, во втором – о программном обеспечении.

В состав системы включены такие понятия как:

  • целостность;
  • доступность;
  • конфиденциальность.

Каждый компонент скрывает собственные аспекты и характеристики. Эта информация будет рассмотрена далее более подробно.

Целостность

Свойства целостности информации – это устойчивость баз данных и иных информационных материалов к случайным или намеренным нарушениям, внесению несанкционированных корректировок.

Соответствующее понятие может рассматриваться в нескольких видах:

  1. Статический тип. Он выражается в неизменности и аутентичности информационных объектов (ИО), которые были созданы по определенному, заданному заблаговременно техническому заданию. Включают себя информацию, достаточную для ведения основной деятельности.
  2. Динамический тип. Выражается корректным выполнением сложных операций и действий. В данном случае информация не должна повреждаться. Она остается в целости и сохранности.

Для контроля динамической целостности используются специальные технические средства и технологии. Они анализируют поток поступающих материалов. Соответствующие свойства в виде основной характеристики используются тогда, когда при наличии или поступлении тех или иных сведений принимаются решения относительно дальнейший действий. Нарушение последовательности команд или действий способно нанести огромный вред. Особенно тогда, когда речь заходит об описании технологических процессов и различных программных кодов.

Доступность

К доступности относят свойства, позволяющие осуществлять доступ авторизованных субъектов (клиентов) к данным, а также обмена ими.

Ключевое требование авторизации или легитимации позволяет обеспечить разные уровни доступа. Отказ системы предоставлять запрашиваемые сведения – проблема для любой организации или пользовательской группы.

Пример – недоступность сервисов государственных услуг при системном сбое. Это приводит к тому, что пользователи не смогут просмотреть интересующие их материалы на соответствующих страничках, а также у них не получится заказать то или иное обслуживание.

Конфиденциальность

Свойство быть доступным пользователям и процессам, которым доступ был разрешен изначально. Большинство предприятий выдвигают этот параметр в качестве основы ИБ. На практике полная его реализация оказывается весьма проблематичной.

Доступ к информации может осуществляться по различным каналам. И не всегда специалисты по ИБ о них знают. А некоторые средства защиты приобрести беспрепятственно вовсе не получится: доступ к ним ограничен.

Объекты защиты

К основным группам объектов защиты относятся:

  • любые информационные ресурсы;
  • права граждан, государственных служб и организаций на доступ к тем или иным сведениям;
  • системы создания, распространения и непосредственного применения данных (технологии и системы, архивы, нормативные документы, библиотеки и так далее);
  • системы формирования общественного создания (веб-ресурсы, социальные институты и учреждения, СМИ).

Каждый вариант предусматривает собственные средства и концепции защиты. Ее обеспечение базируется на системном подходе с учетом имеющейся специфики конкретного объекта.

Носители информации

В России можно классифицировать информацию по критериям доступности. Точно так же ситуация обстоит и в IT. Это помогает уточнять меры обеспечения ИБ:

  • сведения с ограничениями доступа на основании законов;
  • информация в открытом доступе – ее с легкостью узнает любой желающий;
  • общедоступные материалы, предоставляемые на конкретных условиях;
  • вредные, недостоверные и опасные сведения.

Первый вариант делится на две группы: государственная тайна и конфиденциальные сведения. Второй тип встречается в IT чаще всего, поэтому стоит обратить внимание именно на него.

К конфиденциальной информации относят:

  • персональные данные;
  • служебные тайны;
  • тайны судопроизводств и следствия;
  • профессиональные и коммерческие тайны;
  • материалы об изобретениях и полезных элементах;
  • сведения из дел осужденных;
  • материалы о принудительном исполнении судебных актов.

Персональные сведения могут существовать как в открытом, так и в конфиденциальном режимах. При создании программного обеспечения для работы с соответствующими материалами, а также работе с ними, нужно соблюдать «Закон о защите персональных данных».

Основными носителями различных полезных сведений относят:

  • печатные/электронные средства массовой информации;
  • веб-ресурсы;
  • социальные сети;
  • сотрудников компаний, у которых есть доступ к тем или иным материалам;
  • средства связи, передающие или сохраняющие сведения: телефоны, планшеты, компьютеры, АСТ и так далее;
  • любые документы и ценные бумаги;
  • электронные носители с поддержкой автоматической обработки материалов.

Рассматривая обеспечение целостности и доступности информации, нужно обратить внимание на средства защиты. Они бывают нескольких типов, каждый из которых предусматривает свои ключевые особенности.

Средства защиты

Безопасно работать с различными полезными сведениями помогают разнообразные средства их защиты. Их можно разделить на:

  • нормативные (или неформальные);
  • технические (формальные).

Первая категория – это правила, документы и мероприятия. Вторая – специальные технические средства в той или иной среде, программное обеспечение. Такое разграничение помогает определять зоны ответственности при формировании информационной безопасности.

Формальный тип

Сюда относят такие средства:

  1. Физические. Это разнообразные механизмы, функционирующие независимо от ИС. Они создают препятствия для пользователей при получении доступа к интересующим их материалам. Обычно дополняется средствами систем безопасности: камерами, регистраторами, датчиками и так далее.
  2. Аппаратные. Устройства, которые встраиваются в телекоммуникационные и информационные системы. Перед их внедрением необходимо убедиться в совместимости компонентов.
  3. Программные. Приложения, которые необходимые для решения не только комплексных, но и частных задач, связанных с ИБ. Пример – DLP-системы или SIEM-системы. Первые помогают предотвратить утечку материалов, переформатирование, перенаправление потоков. Вторые предотвращают инциденты в сфере ИБ.

Также есть специфические средства. Сюда относят криптографические алгоритмы. Они позволяют шифровать сведения на диске, которая перенаправляется по внешним связным каналам. Преобразование осуществляется посредством программных и аппаратных методов.

Неформальный тип

Эти процессы информационной безопасности действуют на уровне организации. Сюда относят не устройства и программное обеспечение, а документы и законы, акты. В мировой практике принято ориентироваться на стандарты защиты ISO/IEC 27000.

Неформальный тип защиты делится на:

  1. Организационные и административные меры. Сюда относят архитектурно-планировочные решения, которые позволяют защищать комнаты переговоров, кабинеты руководства от прослушивания и проникновения.
  2. Морально-этические меры. Отвечают за определение личного отношения человека к конфиденциальной или важной ограниченной информации. Для обеспечения безопасности необходимо просвещать сотрудников компании о потенциальных источниках угроз и их распространении, делая упор на сознательность подчиненных.

Чтобы защитить сведения от злоумышленников, рекомендуется использовать все перечисленные средства.

Советы по защите личных данных

Каждый ПК-пользователь должен позаботиться о защите информации, хранящейся на домашнем компьютере. В этом помогут следующие советы:

  1. Установить антивирус и своевременно обновлять его. Не отключать данное ПО при работе в интернете.
  2. Не переходить по сомнительным сайтам. Сюда же относят отказ от пиратских приложений и программ, загруженных из ненадежных источников.
  3. Пользоваться только лицензионным программным обеспечением.
  4. Нигде не указывать личные данные, а также конфиденциальные сведения.
  5. Использовать пароли везде, где это можно. Придумывать их нужно так, чтобы потенциальный злоумышленник не мог подобрать «комбинацию предоставления доступа».
  6. По мере возможности для авторизации в системе использовать двухфакторный метод, а также биометрические данные.

Пользователю рекомендуется отказаться от автоматического запоминания паролей в браузерах, а также от передачи третьим лицам авторизационных данных от своих учетных записей.

Как стать специалистом

Чтобы СОИБ и ключевые аспекты защиты данных не доставляли хлопот, можно выучиться на специалиста по информационной безопасности. Сделать это удается несколькими способами:

  1. Поступить в техникум на направление «Информатика» или «Безопасность». Отличный вариант для новичков.
  2. Отдать предпочтение поступлению в ВУЗ. Долгий и дорогой подход, но в конце удастся стать настоящим профессионалом в выбранном направлении. При обучении в техникуме на соответствующую специальность длительность учебы можно сократить на 2-3 года.
  3. Заняться самообразованием. Не самое лучшее решение, если хочется заниматься процессом в глобальных масштабах, а не в размерах «личного компьютера». Все материалы нужно искать самостоятельно, подтвердить познания и навыки документально не получится.

Идеальное решение – прохождение дистанционных онлайн-курсов. Пользователь может находиться в Москве, Калининграде или любой другой точке мира. Обучение рассчитано на срок до 12 месяцев и организовано полностью через интернет. В процессе будет много практики, интересных домашних заданий. Гарантировано постоянное кураторство опытными специалистами, а в конце обучения пользователю выдадут электронный сертификат для подтверждения приобретенного спектра навыков и знаний.

Хотите освоить современную IT-специальность? Огромный выбор курсов по востребованным IT-направлениям есть в Otus!