Информационная безопасность. Защита информации.
Информационная безопасность[2] — защита конфиденциальности, целостности и доступности информации.
1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
2. Целостность: неизменность информации в процессе ее передачи или хранения.
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
· законодательного;
· административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
· процедурного (меры безопасности, ориентированные на людей);
· программно-технического.
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
Мы будем различать на законодательном уровне две группы мер:
· меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.
Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Под риском понимается комбинация возникновения события и его последствий. Оценка рисков – это общий процесс анализа и оценивания (подсчета) риска.
Анализ рисков включает следующие обязательные этапы:
o идентификация ресурсов;
o идентификация бизнес-требований и требований законодательства, применимых к идентифицированным ресурсам;
o оценивание идентифицированных ресурсов с учетом идентифицированных бизнес требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности;
o идентификация значимых угроз и уязвимостей идентифицированных ресурсов;
o оценку вероятности реализации идентифицированных угроз и уязвимостей.
Оценивание рисков включает:
o вычисление риска;
o оценивание риска по заранее определенной шкале рисков.
Оценка рисков является эффективным механизмом управления информационной безопасностью в компании, позволяющим:
o идентифицировать и оценить существующие информационные активы компании;
o оценить необходимость внедрения средств защиты информации;
o оценить эффективность уже внедренных средств защиты информации.
Построение модели угроз
o актуальность и полнота составленной модели угроз безопасности информации является определяющим условием успешной и достоверной оценки рисков;
o модель угроз безопасности информации является уникальной для каждой компании;
o при построении модели угроз безопасности информации используются каталоги угроз, например CRAMM или BSI. Полученный перечень угроз может дополняться, угрозами, описанными в методических документах регулирующих органов, например ФСТЭК России и ФСБ России, и отраслевых регуляторов, например Банк России;
o составленный перечень угроз дополняется угрозами, выявленными при проведении обследования Заказчика.
5. анализ рисков, включающий:
o оценку активов на основе информации, полученной на этапах начала проекта и проведения обследования. Оценка активов может быть как количественная, так и качественная;
o оценку уязвимостей, выявленных в ходе проведения обследования. Оценка уязвимостей может проводиться с использованием различных методик, например CVSS;
o оценку угроз, включенных в модель угроз. Под оценкой угроз понимается вычисление вероятности возникновения угрозы;
o расчет рисков по качественной или количественной методике;
o ранжирование рисков с целью определения очередности обработки рисков.
o 3. Структура документов по обеспечению информационной безопасности
o 3.1. Деятельность организации БС РФ по обеспечению ИБ осуществляется на основе следующих документов:
o - действующих законодательных актов и нормативных документов Российской Федерации по обеспечению ИБ;
o - нормативных актов Банка России;
o - внутренних документов организации БС РФ по обеспечению ИБ.
o 3.2. В состав внутренних документов организаций БС РФ по обеспечению ИБ рекомендуется включать следующие виды документов (документированной информации), организованных в виде приведенной на рисунке 1 иерархической структуры:
o - документы, содержащие положения корпоративной политики ИБ организации БС РФ (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом;
o - документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации БС РФ;
o - документы, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ (документы третьего уровня), содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации БС РФ, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);
o - документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации БС РФ.
o Рисунок 1. Структура внутренних документов организации БС РФ по обеспечению ИБ
o 3.3. Рекомендуется, чтобы положения документов по обеспечению ИБ организации БС РФ:
o - носили не рекомендательный, а обязательный характер;
o - были выполнимыми и контролируемыми. Не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;
o - были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
o - не противоречили друг другу.
o 3.4. В состав документов организации БС РФ рекомендуется включить документ (классификатор), содержащий перечень и назначение всех документов организации БС РФ (для каждого из вышеопределенных уровней иерархической структуры), регламентирующих деятельность по обеспечению ИБ организации БС РФ. Указанный классификатор может быть полезен при осуществлении менеджмента документов организации БС РФ, для повышения степени осведомленности сотрудников организации БС РФ, а также при выполнении аудита информационной безопасности организации БС РФ.
o 3.5. При наличии у организации БС РФ сети филиалов (территориальных учреждений) в каждом из филиалов (территориальном учреждении) рекомендуется иметь единый для организации БС РФ, утвержденный комплект документов по обеспечению ИБ. В случае возникновения необходимости учета специфики конкретных филиалов в них должны быть разработаны собственные документы, учитывающие эту специфику. Рекомендуется, чтобы документы по обеспечению ИБ филиала (территориального учреждения) организации БС РФ базировались на положениях документов по обеспечению ИБ, принятых головной организацией (центральным аппаратом) организации БС РФ, и не противоречили им.
Шифрование данных используется в случаях, когда необходимо обеспечить конфиденциальность информации в процессе хранения либо когда ее нужно передать по незащищенному каналу. Как правило, для кодирования применяются уникальные алгоритмы, по принципу "черного ящика", когда неизвестно, по какому алгоритму записывается информация в систему хранения и как она декодируется в случае обращения к ней.
В практике защиты от НСД применяются и другие продукты ИБ, например межсетевые экраны (firewalls) и антивирусные средства. Первые представляют своего рода комплекс программных (иногда аппаратных) средств. Они позволяют предотвращать попадание в сеть потенциально опасных пакетов данных, которые могут быть отправлены хакером при атаке сети.
Антивирусные программы, которые на сегодняшний день защищают практически любой компьютер корпоративной сети, диагностируют и удаляют зловредный код. Использовать необходимо лицензионные программы надежных поставщиков, так как один из главных источников "компьютерной заразы" — пиратские копии.
Процесс узнавания пользователя компьютером начинается с его идентификации, т. е. ответа на вопрос «А кто это?». Например, при входе пользователя в различные операционные системы следует ввести логин – имя, по которому пользователь известен данной системе. По логину из многих пользователей, зарегистрированных в системе, компьютер выбирает одного. На этом идентификация заканчивается, и начинается аутентификация – процесс доказательства пользователем, что это именно он, а не кто-либо еще.
Биометрическая аутентификация
Биометрическая аутентификация – это аутентификация пользователя по его уникальным биометрическим характеристикам. Уникальными являются, например, следующие характеристики:
• отпечатки пальцев;
• узор радужной оболочки и структура сетчатки глаза;
• черты лица;
• схема кровеносных сосудов лица;
• геометрия кисти руки;
• рукописная подпись;
• клавиатурный почерк (интервалы времени между нажатиями клавиш, составляющих кодовое слово, и длительность нажатий);
• голос.
.