Система защиты информации. Основные средства обеспечения
Содержание:
Защита информации — что это
Любой важной информации необходимо обеспечить достаточную защиту. Для этого проводят различные мероприятия по сохранению базовых элементов — целостности, доступности, конфиденциальности. Чтобы система защиты информации работала, необходимо организовать доступ к важным сведениям только ограниченной категории лиц, подтверждать истинность данных, а также исключить возможность их перехвата и искажения. Из нашей статьи вы узнаете, какие существуют угрозы безопасности и какие способы применяют специалисты для защиты информации.
Угрозы безопасности
Когда говорят об угрозах безопасности данных, подразумевают реальные или потенциальные риски, способные пробить брешь в ИБ и привести к утечке важных сведений. Действия пользователей, атакующих систему информационной безопасности, могут быть случайными либо умышленными.
Угрозы доступности
Ключевое правило — доступ к важным данным только определенному кругу лиц.
Часто доступности информации случайными действиями угрожают сотрудники организации, выступая потенциальными злоумышленниками. Они вводят неверные сведения, допускают системные ошибки. Таким образом они намечают брешь в ИБ, создавая хакерам благоприятные условия. Способами защиты выступают введение административного контроля и автоматизация процессов. Но вместе с этим необходимо ликвидировать слабые места:
- Обучить сотрудников правилам обращения с информсистемой и корректному ведению рабочих процессов.
- Организовать качественную техподдержку.
- Ввести контроль за соблюдением правил работы в организации и ответственность за порчу оборудования.
- Создать грамотный ИТ-отдел или обратиться к аутсорсинговой компании.
Угрозы целостности
Ключевое правило — невозможность порчи сведений.
Главным образом целостности информации угрожают подлог и кража. Обычно этим занимаются сами недобросовестные сотрудники компании. Они вводят некорректные данные и изменяют их, дублируют, дополняют, не выполняют необходимые действия и т. д.
Угрозы конфиденциальности
Ключевое правило — защита данных от несанкционированного доступа.
Злоумышленники разными способами узнают пароли и проникают в хранилища информации в момент, когда пользователь уверен, что сведения надежно защищены. Что может быть источником угрозы:
- Хранение многоразовых паролей в источниках, к которым могут подобраться злоумышленники.
- Применение идентичных паролей в разных системах.
- Использование хакерами технических инструментов — прослушек и особого софта.
- Презентации оборудования с секретными данными.
- Размещение информации в резервных хранилищах.
- Распространение сведений по большому количеству каналов, что облегчает перехват.
- Оставление оборудования без присмотра (злоумышленник может подсмотреть пароль или похитить физическое хранилище информации).
- Злоупотребление сотрудниками своими полномочиями.
Система защиты информации
Сегодня систему защиты информации принято составлять из трех элементов: объекта, угрозы, защиты.
Объект
Объект — то, что нужно защищать (сами данные, их носитель или процесс передачи).
В качестве основного признака выделяют наличие конфиденциальной информации. В рамках закона защищают как саму информацию, так и помещения, территории, здания, информресурсы. К носителям конфиденциальных сведений относят:
- людей, т. к. пользователи в своей памяти могут хранить, накапливать и анализировать секретную информацию;
- документацию, т. к. она представляет собой зафиксированные на физических носителях достоверные сведения в переработанном и компактном виде (особенно подписанные и утвержденные материалы);
- публикации специалистов с новой и особо ценной информацией;
- технические носители — диски, электронные хранилища, распечатанные сведения, фото- и видеоматериалы;
- системы обеспечения функционирования организаций — громкоговорители, пожарные и охранные механизмы, телевизоры, автоматизированные системы обработки сведений, радиоприемники, усилительные инструменты, телефоны и т. д.;
- отходы производства, которые содержат информацию о примененных материалах, их составе, технологиях использования.
Угроза
Угроза — это факторы и условия, которые ведут к реальным либо потенциальным опасностям нарушения ИБ.
К ним относят различные действия, явления либо процессы, способные повлечь за собой утечку, потерю либо искажение данных. Источником угрозы выступает субъект — человек, физическое явление либо материальный предмет, спровоцировавший возникновение опасности. Вред в этом случае всегда наносится избирательно и предсказуемо (у специалистов всегда есть возможность обнаружить слабые места системы безопасности). Затраты организации оценивают в пределах стоимости расходов на устранение последствий возникшей угрозы или на предупреждение ее наступления.
Реальная угроза проявляется в четко обозначенном мотиве субъекта, желающего нанести вред. В этом случае сложно определить, достаточно ли у злоумышленника средств и сил, чтобы воплотить свои планы. Потенциальная угроза заключается в существовании факторов и условий, способных привести к возникновению опасности. Здесь возможность нанесения вреда может оценить только сам субъект угрозы.
Защита
Защита — это деятельность по предупреждению утечки важных данных, а также умышленных и случайных воздействий на охраняемые сведения.
Правильно созданная система защиты данных обеспечивает информационную безопасность всей организации, гарантирует доступность, целостность и конфиденциальность важных сведений. Поэтому комплекс мероприятий необходимо ориентировать на выявление и предотвращение угроз, а также своевременное и полное устранение последствий действий злоумышленников.
Обеспечение защиты информации
Все методы защиты информации обычно используют в виде комплексных мероприятий, поскольку отдельный способ не даст достаточный уровень безопасности.
- Организационно-правовые средства. Различные инструменты, применяемые в ходе выстраивания ИТ-инфраструктуры, обеспечивающей хранение данных — при построении и ремонте зданий и помещений, проектировании систем. К ним относят действующие стандарты и договоры (в т. ч. международные).
- Инженерно-технические средства. Базовые инструменты, отвечающие за физическую безопасность. Это — защита от несанкционированного доступа, перехвата и прослушивания информации, стихийных бедствий, пожаров, контроль деятельности и передвижения сотрудников и другие меры.
- Криптографические средства. Шифрование информации при ее хранении и передаче. Криптография помогает обеспечить конфиденциальность и подтвердить подлинность данных, сохранить их целостность и запретить доступ посторонним лицам к программному обеспечению.
- Программно-аппаратные средства. Это разнообразные инструменты, которые позволяют идентифицировать сотрудников, зашифровать сведения, просигнализировать о несанкционированном входе, уничтожить данные на носителях. Аппаратные средства встраивают в оборудование (различные схемы, регистры), физические реализуют в виде электронно-механических устройств (магнитные замки, камеры наблюдения), а в качестве программных применяют специальный софт.
Государственная система защиты информации
В России действует около сотни ГИС (государственных информационных систем) федерального и регионального значения. Если компания работает с такими системами, то она в обязательном порядке соблюдает требования к защите сведений, которые в них прописаны. Условия использования каждой ИС различаются, как и наказание за игнорирование правил. Система защиты компании, подключенной к ГИС, подлежит аттестации и использует для обеспечения безопасности только те инструменты, которые сертифицированы ФСТЭК либо ФСБ.
Часто случаются ситуации, когда оператор (лицо, которое использует информационную систему и обрабатывает содержащиеся в ней сведения) по ошибке определяет систему как ГИС. В этом случае организация должна выполнять более жесткие условия безопасности, чем те, что по сути предписаны ей законом. В результате применяют избыточные защитные мероприятия. Но, с другой стороны, не всегда ясно, относится ли система к ГИС. И, если это так, а оператор не понял, то неизбежно внимание органов контроля и наложение штрафов.
Заключение
Высшую степень защиты обеспечат только комплексные меры. К примеру, наиболее действенным методом выступает криптография. Но и она не закроет все слабые места, если не будет применяться вместе с другими методами — программно-аппаратными, инженерно-техническими и организационно-правовыми. Поэтому руководитель должен понимать, что обеспечение защиты информации — это очень серьезное мероприятие, требующее участия специалистов. Компания «АйТи Спектр» готова помочь вам в этом, а также оказать множество других востребованных IT-услуг.
Чем отличается информационная безопасность от кибербезопасности? Или разницы нет?
Оба направления обеспечения безопасности обладают множеством общих признаков, ведь информация неотделима от компьютеров. Различие состоит только в том, что для ИБ особое значение имеют данные, а для кибербезопасности — оборудование (серверы, сети, компьютеры и т. д.).
Как стать специалистом по ИБ?
Так же, как обычно становятся ИТ-специалистами. Сначала необходимо пройти обучающие курсы, затем стажировку в какой-либо компании, желательно под руководством опытных специалистов, а затем можно и отправляться в самостоятельный путь. По оценкам инженеров, на учебу и стажировку тратится время до года. Хотя настоящий IT-специалист обучается всю жизнь, поскольку хакеры постоянно совершенствуют свои методы и изобретают новые.
Да, чтобы защитить информацию даже в маленькой фирме, необходимо использовать комплексные меры. Иначе какой смысл шифровать информацию, если к ней имеют физический доступ абсолютно все, и постоянные, и временные работники, и те, кто не имеет к этим данным никакого отношения.
Я работал в одной фирме, и к информационной безопасности, мягко говоря, там относились спустя рукава. Я нисколько не удивился, когда из баз данных исчезли важные сведения и фирма обанкротилась. Хорошо, к этому времени я уже подыскал себе новую работу и сокращение не стало для меня серьезным испытанием.
Мне всегда нравилась ИТ-сфера. Еще в школе мы с другом соревновались. Он писал программу, а я пытался ее взломать, и наоборот. Это нам очень помогло во взрослой жизни. Сейчас мы с ним оба специалисты по ИБ, и я часто ловлю себя на мысли, что отношусь к своей работе как к увлекательной игре, как к вызову со стороны злоумышленников.
Относится ли ЭЦП к криптографическим инструментам?
Конечно. ЭЦП — программно-криптографический инструмент. Благодаря ему обеспечивается целостность и конфиденциальность документов. Даже если на каком-либо этапе злоумышленники изменят уже подписанный документ, это будет отображено в его свойствах. Но для этого автор документа должен использовать усиленную квалифицированную подпись.