Что, если бы ваши персональные данные (ПДн) были бы доступны каждому человеку на земле? Если для авторизации не требовалось бы логина и пароля, а соответственно каждый человек мог зайти на ваш аккаунт? На границе хаоса и раздора стоят специалисты, которые занимаются защитой наших данных, каждый день совершенствуя новые методы и возможности.
Основные понятия информационной безопасности
Как и изучение любой специальности, в первую очередь необходимо ознакомиться с базовыми понятиями выбранной сферы.
Информационная безопасность (ИБ) - комплекс организационных и технических мер по защите информации, IT-инфраструктуры и бизнес процессов компании. Безопасность является таким же свойством системы, как надежность или производительность, и в последнее время ей уделяется все большее внимание.
Цели ИБ:
- обеспечение непрерывной защиты информации, IT-инфраструктуры и бизнес-процессов предприятия;
- минимизация ущерба от инцидентов ИБ;
- приведение бизнес-процессов предприятия в соответствие требованиям применимого законодательства, отечественных и иностранных регуляторов в области ИБ.
Информация - сведения (сообщения, данные) независимо от формы их представления;
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственниками информации;
Система обработки информации - совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, необходимых для выполнения автоматизированной обработки информации;
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией (более подробно - ГОСТ Р 51275-2006);
Бизнес-процесс - совокупность взаимосвязанных мероприятий или работ, направленных на создание определённого продукта или услуги для потребителей;
IT-инфраструктура - комплекс телекоммуникационных, вычислительных и программных средств, на основе которых предоставляются различные IT-сервисы;
IT-сервис - IT-услуга, которую IT-подразделение предоставляет бизнес-подразделениям предприятия для поддержки их бизнес-процессов.
Инцидент - нежелательное событие, которое может привести к негативным последствиям;
Угроза - потенциальная причина нежелательного инцидента. Угроза считается реализованной, если злоумышленником в ходе нелегального исследования системы определены все ее уязвимости. Данную угрозу относят к разряду опосредованных: последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность для реализации первичных (непосредственных) угроз.;
Риск - вероятность реализации угрозы;
Уязвимость - слабость или не защищённость от определённых угроз информационной системы, операционной системы или ПО;
Защищённость - способность противостоять определённым угрозам.
Основные угрозы ИБ:
- угроза конфиденциальности - угроза, в результате реализации которой конфиденциальная или секретная информация становится доступной лицу, группе лиц или какой-либо организации, которой она не предназначалась;
- угроза целостности - угроза, в результате реализации которой информация становится измененной или уничтоженной;
- угроза отказа в обслуживании (угроза доступности) - угроза, реализация которой приведет к отказу в обслуживании клиентов автоматизированной системы (АС), несанкционированному использованию ресурсов злоумышленниками по своему усмотрению.
Регулирующие органы власти в ИБ
Каждому, что хочет начать свой пусть в ИБ, стоит знать о стражах порядка и ясности защиты информации.
Федеральная служба по техническому и экспортному контролю (ФСТЭК). Занимаются технической защитой ИСПДн (кроме криптографии), сертификации СЗИ и аттестации ИСПДн, а также лицензированию по ТЗКИ.
Федеральная служба безопасности (ФСБ). Занимаются технической защитой ИСПДн (и криптографией), сертификацией СКЗИ и лицензированием организаций по криптографии.
Роскомнадзор. Занимаются защитой прав субъектов ПДн, ведением реестра операторов ПДн, а также являются основным проверяющим регулятором.
Но что такое ИСПДн, СКЗИ, ТЗКИ, СЗИ? Отнюдь не ругательства, а самая настоящая база для входа в профессию специалиста по ИБ.
ПДн - любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его идентифицировать;
Субъект ПДн - физическое лицо, человек, которому принадлежат ПДн и которого можно по ним идентифицировать;
Информационная система (ИС) ПДн - ИС, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн;
Оператор ПДн - государственный или муниципальный орган, юридическое или физическое лицо, осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, действия (операции), совершаемые с ПДн;
СЗИ - специализированные программные, программно-аппаратные средства, предназначенные для защиты от угроз ИБ. Отдельно выделяют:
- средства контроля эффективности защиты информации;
- средства физической защиты информации;
- криптографические средства защиты информации.
Средство криптографической защиты информации (СКЗИ) - специальные устройства или программы, обеспечивающие шифрование и расшифрование информации, с целью её защиты от несанкционированной обработки, доступа и хранения при обмене ею по каналам связи, а также отвечающие за генерацию электронной подписи;
Техническая защита конфиденциальной информации (ТЗКИ) - комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях её уничтожения, искажения или блокирования доступа;
Криптография - наука о защите информации с помощью математических методов и алгоритмов.
Чем занимаются специалисты ИБ
Направления защиты информации:
- правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением;
- техническая защита информации. Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств;
- криптографическая защита информации. Защита информации с помощью ее криптографического преобразования;
- физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
По итогам можно сформулировать вопрос "Что защищают специалисты ИБ?"
Ответом на него будет защита информации от удаления, кражи и не легитимного изменения. Защита от дезинформации.
Ссылки на основные регуляторы в области ИБ:
