5112 
В чем заключаются? Цели информационной безопасности просты и понятны: предотвратить утечку конфиденциальных данных, организовать их защиту от непреднамеренных ошибок, постараться минимизировать потери из-за разного рода форс-мажоров вроде природных катаклизмов.
На что обратить внимание? Именно цели информационной безопасности должны определять методы, которые будут использоваться для ее обеспечения. Проще говоря, сначала нужно обдумать, что следует защищать, а потом уже решать, каким именно образом.
Из этого материала вы узнаете:
- Понятие информационной безопасности
- Типы угроз информационной безопасности
- Общедоступная и конфиденциальная информация
- Варианты контроля информационной безопасности
- Средства защиты данных
- Разработка целей информационной безопасности и способы их достижения
- Часто задаваемые вопросы о целях информационной безопасности
Понятие информационной безопасности
Информационная безопасность – мероприятия, направленные на защиту информации от несанкционированного доступа третьих лиц. Раньше для того, чтобы важные документы не попали в чужие руки, их убирали в сейфы, нанимали охрану, отправляли зашифрованные сообщения.
Сейчас в защите чаще нуждаются цифровые данные, однако суть мероприятий остается прежней: специалисты, занимающиеся информационной безопасностью (ИБ), создают защищенные пространства, своего рода виртуальные «сейфы», разрабатывают и устанавливают специальные программы, т. е. «нанимают охрану» и пользуются криптографическими методами для шифрования цифровых данных.
Впрочем, цифровая информация нуждается и в физической защите, поскольку ни одно программное обеспечение не поможет в случае похищения самого сервера с важными сведениями. Поэтому подобные хранилища размещают в охраняемых помещениях.
Типы угроз информационной безопасности
Существует условное деление угроз информационной безопасности на группы:
- Техногенные. Причины их возникновения заключаются в проблемах с техническим обеспечением и средствами защиты. Эту группу угроз информационной безопасности сложнее всего спрогнозировать.
- Антропогенные. Причины их возникновения кроются в человеческом факторе. Ошибки, допускаемые сотрудником, могут быть как намеренными, так и непреднамеренными. К первым относятся преступления в сфере информационных технологий, ко вторым – случайные ошибки, например, отключение по незнанию антивирусной защиты.
- Стихийные. Возникают по неконтролируемым причинам, которые практически невозможно спрогнозировать и предотвратить. К этой группе угроз относятся пожары, землетрясения, наводнения, отключение электроэнергии из-за стихийных бедствий и пр. Таким образом, системы информационной безопасности должны обеспечивать каналы связи, защищать серверы, внешние носители данных, а также рабочие места сотрудников.
В зависимости от расположения источника угрозы могут быть внешними и внутренними. Такая классификация особенно актуальна для масштабных государственных систем. Внешние опасности – атаки хакеров, конкурирующих компаний, враждебно настроенных государств. Внутренние – возникают по причине низкого уровня программно-технического обеспечения, недостаточной компьютерной грамотности пользователей, на уровне государства – низким уровнем развития технологий передачи данных и ИТ-сектора в целом.
Общедоступная и конфиденциальная информация
Информация делится на:
- общую, к которой имеет доступ любой;
- конфиденциальную, предназначенную для отдельных лиц.
На первый взгляд общедоступная информация не нуждается в защите. Однако такое мнение ошибочно. К примеру, в интернет-магазине любой может просматривать контакты продавца, карточки товаров, знакомиться со статьями на сайте. Но и магазин необходимо защищать от несанкционированного доступа третьих лиц, которые могут нарушить его работу, например, изменив данные в карточках, контактах.
Скачивайте и используйте уже сегодня:
10 шагов, которые помогут выбрать добросовестного подрядчика
Поможет сохранить бюджет и уложиться в сроки проекта
Главная цель информационной безопасности как в IT сфере, так и в целом – защита конфиденциальных данных.
Конфиденциальная информация делится на несколько групп:
- Персональные данные включают сведения о конкретном человеке (Ф. И. О., паспортные данные, номер телефона, физиологические особенности, семейное положение и пр.). Эта информация подлежит защите в соответствии с законом № 152-ФЗ. Операторы обязаны защищать известные им сведения, не передавать их третьим лицам. К персональным данным относится информация о клиентах и сотрудниках.
- Коммерческую тайну составляет внутренняя (для служебного пользования) информация о работе компании (об используемых технологиях, методах управления, клиентской базе). Утрата этих данных, их разглашение третьим лицам, грозит компании потерей прибыли. Руководство организации принимает решение о том, что следует отнести к коммерческой тайне, а что оставить общедоступным. В целях реализации информационной безопасности нужно знать, что не любые сведения могут составлять корпоративную тайну: к примеру, запрещено скрывать Ф. И. О. учредителей юридического лица, условия труда и пр.
- Профессиональная тайна – включает сведения, которые становятся известны лицу в связи с осуществлением профессиональной деятельности (врачебная, нотариальная, адвокатская). Цели и задачи информационной безопасности в этой сфере определены отраслевыми законами.
- Служебную тайну составляет информация, которой обладают отдельные (чаще всего государственные) органы (налоговая инспекция, загс). Информационная безопасность таких сведений обеспечивается соответствующими ведомствами, сами данные выдаются только по запросу.
- Государственная тайна включает сведения военных ведомств, разведданные, информацию о состоянии экономики, науки и техники государства, внешнеполитические данные. Это наиболее конфиденциальная информация, ее безопасность должна обеспечиваться максимально строго.
Если деятельность организации связана с хранением тех или иных конфиденциальных сведений (персональных данных, коммерческой или профессиональной тайны), то к этим данным должен быть ограничен доступ третьих лиц, определены уровни доступа, установлены пароли и защитное ПО, настроено шифрование.
Варианты контроля информационной безопасности
Основные цели информационной безопасности, установленные конкретным субъектом, достигаются за счет обеспечения полного контроля создаваемых и применяемых систем кибербезопасности. Сегодня выделяют три основных вида контроля:
Физический
Этот вид контроля предполагает обеспечение мониторинга рабочих мест сотрудников, вычислительной техники, бытового оборудования, дверных замков, пожарных и дымовых сигнализаций, видеонаблюдение.
Административный
На предприятии должен быть разработан комплекс мер, стандартов и процедур, выполнение которых служит достижению целей информационной безопасности и своевременного обнаружения угроз. Эти меры необходимы для формирования определенных границ ведения бизнеса и управления персоналом. В данную группу входят нормативные акты, разработанные также на государственном и отраслевом уровнях.
Логический
Этот вид контроля заключается в применение технических средств, защищающих информационные системы (программное обеспечение, пароли, межсетевые экраны и пр.).
Средства защиты данных
В целях обеспечения информационной безопасности организации используют специальные средства (технические приспособления, устройства, различное оборудование), которые защищают информацию и препятствуют ее утечке.
Существует деление средств защиты на следующие виды:
- Организационные – представляют собой совокупность организационно-технических (наличие компьютерных помещений, кабельной системы) и организационно-правовых (законодательные, нормативные и локальные правовые акты компаний) средств.
- Программные – включают ПО, обеспечивающее сохранность, контроль и защиту информации и доступа к ней.
- Технические или аппаратные – представлены техническим оборудованием, предотвращающим проникновение посторонних лиц в информационные системы и утечку данных.
- Смешанные аппаратно-программные – предполагают одновременное применение аппаратных и программных средств в целях обеспечения информационной безопасности предприятия.
IT-сфера стремительно развивается, учащаются кибератаки, совершенствуются вирусные программы, возникают иные угрозы, поэтому чаще всего для целей информационной безопасности используют программные средства защиты цифровых данных.
Разработка целей информационной безопасности и способы их достижения
Разработка политики защиты данных начинается с определения стратегических целей информационной безопасности, т. е. с конкретных шагов, которые будут реализованы за счет следования разработанным правилам.
Цели и направления информационной безопасности включают в себя обучение сотрудников, разработку и внедрение необходимого программного обеспечения, оборудования, которое позволит соблюдать правила ИБ.
При определении целей в области информационной безопасности необходимо учитывать требования, предъявляемые к защите данных, а также оценку вероятных рисков. Риски нужно проанализировать и разработать план противодействия, который позволит закрыть имеющиеся каналы утечки данных.
Цели системы информационной безопасности относятся к одной или нескольким категориям.
Защита ресурсов
Схема защиты ресурсов должна позволять входить в систему только авторизованным пользователям. Защита всех типов системных ресурсов свидетельствует об обеспечении целей информационной безопасности. В задачи службы безопасности компании входит отнесение пользователей к определенным категориям, имеющим различные уровни доступа к информационным системам.
Аутентификация
Аутентификация – это проверка соответствия человека или оборудования на другом конце сеанса определенным характеристикам. Постоянная проверка подлинности позволяет максимально обеспечить цели информационной безопасности, т. е. защитить систему от вероятности взлома, в процессе которого третье лицо использует ложные данные для идентификации в системе.
Аутентификация выполняется при помощи паролей и имен пользователей, цифровых сертификатов или биометрических параметров человека (отпечатков пальцев, сканов лица).
При привязке системы к общедоступной сети (Интернету) требуются новые, более надежные параметры аутентификации. Если во внутренней сети можно контролировать трафик целиком, то в Сети такой возможности нет. То есть для достижения целей информационной безопасности и защиты системы от проникновения третьих лиц недостаточно традиционных способов, таких как ввод имени пользователя и пароля:
Авторизация
Авторизация означает уверенность в том, что человек или оборудование на другом конце сеанса имеют разрешение на выполнение запроса. Она необходима при существующем риске доступа к цифровым данным со стороны третьих лиц. Чаще всего она проходит вместе с аутентификацией.
Целостность
Это уверенность в том, что отправляемая и получаемая информация идентичны. Целостность данных строится на соблюдении следующих принципов:
- Обеспечение безопасности информации от несанкционированного доступа и изменения.
- Защита от перехвата данных пользователями, не прошедшими авторизацию.
- Проверка источников получения сведений, применение дополнительных средств контроля информации, получаемой из Интернета или из других непроверенных источников.
- Защита данных от изменения и повреждения путем использования алгоритмов шифрования.
Конфиденциальность
В целях обеспечения информационной безопасности важно тщательно охранять секретные данные. Третьим лицам не должно быть известно об их существовании. Конфиденциальность стоит во главе общей безопасности компании и строится на следующих принципах:
- Шифрование с помощью цифровых сертификатов.
- Защищенное соединение Secure Socket Layer (SSL).
- Выход в Интернет через виртуальные частные сети (VPN).
Принимаемые меры способствуют достижению целей информационной безопасности при передаче сведений через ненадежные сети. При разработке политики безопасности компании необходимо детально описывать шаги по обеспечению ИБ и сохранности конфиденциальных данных в локальной и глобальной сетях.
Аудит безопасности
Процесс заключается в мониторинге всех событий, связанных с получением доступа к сети. Специалисты рекомендуют вести два типа записей, указывая правомерные авторизации и подозрительные подключения. Неудачные действия по получению доступа сигнализируют о попытке взлома систем безопасности. Вход одного сотрудника в систему другого должен быть отражен в специальном журнале.
Конфиденциальные сведения должны оставаться на охраняемом объекте. При необходимости передачи копий на бумажных носителей привлекаются специальные курьерские службы, занимающиеся передачей секретных данных.
Компания, разработав цели информационной безопасности, должна оценить их эффективность. Например, при внедрении системы передачи данных между сотрудниками компании через облачное хранилище необходимо убедиться, что сервис надежен, а также создать дополнительные клиентские программы для шифрования данных перед отправкой их на сервер.
Цели и мероприятия по обеспечению информационной безопасности документируются, указываются все выполненные действия, понесенные расходы, рекомендации по дальнейшему усовершенствованию политики ИБ. Также важное значение имеет простота модификации системы в случае подключения нового оборудования.
С течением времени появляются новые угрозы информационной безопасности, каналы утечки данных. Поэтому соответствующая служба компании должна постоянно мониторить состояние и защищенность системы, устранять возникшие угрозы в кратчайшие сроки.
Часто задаваемые вопросы о целях информационной безопасности
Какова правовая основа информационной безопасности в РФ?
5 декабря 2016 года Президент РФ утвердил Доктрину информационной безопасности. В документе дано определение ИБ как состояния защищенности национальных интересов в информационной сфере. Национальные интересы в контексте Доктрины – совокупность интересов общества, личности и государства, которые нужны для стабильного функционирования социума.
Кроме того, правоотношения, связанные с достижением целей информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и пр., а также нормативными, отраслевыми, ведомственными и локальными актами в указанной сфере.
Кто такие субъекты информационной безопасности?
К субъектам ИБ относятся владельцы и пользователи информации. Последние могут быть неизменными, т. е. работающими с данными на постоянной основе, а также запрашивающими их при возникновении необходимости. В банковских стандартах ИБ к таким «собственникам» отнесены акционеры – юридические лица, владеющие определенными сведениями.
От кого в основном поступают внутренние угрозы утечки данных?
Сотрудники, причиняющие ущерб интеллектуальной и коммерческой собственности компании (инсайдеры), условно делятся на преднамеренных и случайных. Первыми зачастую становятся уволенные сотрудники, желающие отомстить компании-работодателю либо заработать на продаже конфиденциальной информации; завербованные лица.
Каковы основные проблемы современной кибербезопасности?
При обеспечении целей информационной безопасности компании сталкиваются с двумя основными проблемами:
- Хакерскими атаками, направленными на цепи поставок, облачные структуры и серверы, инфраструктуру и промышленные предприятия, банки и общественно значимые институты (здравоохранение, образование, правоохранительную деятельность).
- Слабой защитой, поскольку цифровая информация большинства компаний не защищается должным образом, средства обеспечения безопасности данных не обновляются на регулярной основе, специалистов по ИБ мало, а достаточным опытом и квалификацией обладает еще меньшее количество сотрудников.
Большая часть данных на самых разных уровнях (от личного до государственного) сегодня является цифровой и регулярно подвергается кибератакам, перехвату в Интернете, вирусному заражению и т. п. Поэтому так важно разрабатывать и использовать в целях обеспечения информационной безопасности новые, более совершенные системы, способные защитить важные сведения.
.jpg)
