Informacijska sigurnost i načini njezina osiguranja. Pojam informacijske sigurnosti. Glavne komponente. Važnost problema

Sigurnost virtualnog poslužitelja može se smatrati izravno kao "Sigurnost informacija". Mnogi su čuli ovu frazu, ali ne razumiju svi što je to?

"Sigurnost informacija" je proces osiguravanja dostupnost, cjelovitost i povjerljivost informacija.

Pod, ispod "dostupnost" shvaća se u skladu s tim da omogućuje pristup informacijama. "Integritet"- osiguranje pouzdanosti i potpunosti informacija. "Povjerljivost" podrazumijeva osiguranje pristupa informacijama samo ovlaštenim korisnicima.

Ovisno o vašim ciljevima i zadacima koje obavljate na virtualnom poslužitelju, bit će potrebne različite mjere i stupnjevi zaštite za svaku od ove tri točke.

Na primjer, ako virtualni poslužitelj koristite samo kao sredstvo za surfanje internetom, tada iz potrebna sredstva kako bi se osigurala sigurnost, prvi će prioritet biti korištenje sredstava antivirusna zaštita, kao i usklađenost elementarna pravila sigurnost pri radu na internetu.

U drugom slučaju, ako imate prodajnu web stranicu hostiranu na vašem poslužitelju ili poslužitelj igre, onda potrebne mjere obrane će biti potpuno drugačije.

Znanje moguće prijetnje, kao i sigurnosne ranjivosti koje ove prijetnje obično iskorištavaju, potrebno je odabrati najoptimalnije sigurnosne mjere za tu svrhu, razmotrit ćemo glavne točke.

Pod, ispod "Prijetnja" shvaća se potencijalna mogućnost narušavanja informacijske sigurnosti na ovaj ili onaj način. Poziva se pokušaj provedbe prijetnje "napad", a onaj koji provodi ovaj pokušaj zove se "zlonamjeran". Najčešće je prijetnja posljedica prisutnosti ranjivosti u zaštiti informacijskih sustava.

Pogledajmo najčešće prijetnje kojima su izloženi moderni informacijski sustavi.

Prijetnje informacijskoj sigurnosti koje uzrokuju najveću štetu

Razmotrimo u nastavku klasifikaciju vrsta prijetnji prema različitim kriterijima:
  1. Prijetnja je trenutna sigurnost informacija:
    • Dostupnost
    • Integritet
    • Povjerljivost
  2. Komponente na koje ciljaju prijetnje:
    • Podaci
    • Programi
    • Oprema
    • Prateća infrastruktura
  3. Po načinu provedbe:
    • Slučajno ili namjerno
    • Prirodni ili umjetni
  4. Ovisno o lokaciji izvora prijetnje, postoje:
    • Domaći
    • Vanjski
Kao što je spomenuto na početku, koncept "prijetnje" često se različito tumači u različitim situacijama. A potrebne sigurnosne mjere će varirati. Na primjer, za podcrtano otvorena organizacija prijetnje povjerljivosti možda jednostavno ne postoje - sve se informacije smatraju javnima, ali u većini slučajeva ilegalni pristup predstavlja ozbiljnu opasnost.

Primjenjivo na virtualne poslužitelje, prijetnje koje vi kao administrator poslužitelja trebate uzeti u obzir su prijetnje dostupnosti, povjerljivosti i integritetu podataka. Vi snosite izravnu i neovisnu odgovornost za mogućnost prijetnji usmjerenih na povjerljivost i integritet podataka koji nisu povezani s hardverskim ili infrastrukturnim komponentama. Uključujući i primjenu potrebnih zaštitnih mjera, to je vaš neposredni zadatak.

Često vi kao korisnik nećete moći utjecati na prijetnje usmjerene na ranjivosti programa koje koristite osim neupotrebom tih programa. Korištenje ovih programa dopušteno je samo ako implementacija prijetnji korištenjem ranjivosti ovih programa nije preporučljiva sa stajališta napadača ili nema značajnih gubitaka za vas kao korisnika.

Pružanjem potrebnih sigurnosnih mjera protiv prijetnji usmjerenih prema opremi, infrastrukturi ili prijetnji koje je stvorio čovjek ili prirodne prirode izravno se bavi hosting tvrtka koju ste odabrali i od koje iznajmljujete svoje poslužitelje. U u ovom slučaju Izboru je potrebno pristupiti najpažljivije, pravilno odabrana hosting tvrtka osigurat će vam pouzdanost hardverskih i infrastrukturnih komponenti na potrebnoj razini.

Vi, kao administrator virtualnog poslužitelja, trebate uzeti u obzir ove vrste prijetnji samo u slučajevima u kojima čak i kratkotrajni gubitak pristupa ili djelomični ili potpuni prekid rada poslužitelja zbog pogreške hosting tvrtke može dovesti do nesamjerljivih problema ili gubitaka. To se događa vrlo rijetko, ali objektivni razlozi niti jedna hosting tvrtka ne može osigurati 100% produženje rada.

Prijetnje izravno informacijskoj sigurnosti

Glavne prijetnje pristupačnosti uključuju

  1. Kvar internog informacijskog sustava;
  2. Kvar prateće infrastrukture.
Glavni izvori unutarnjih kvarova su:
  • Kršenje (slučajno ili namjerno) od utvrđena pravila operacija
  • Izlaz iz sustava normalni mod iskorištavanje zbog slučajnih ili namjernih radnji korisnika (prekoračenje procijenjenog broja zahtjeva, prevelika količina obrađenih informacija i sl.)
  • Greške prilikom (ponovnog) konfiguriranja sustava
  • Zlonamjeran softver
  • Kvarovi softvera i hardvera
  • Uništavanje podataka
  • Uništenje ili oštećenje opreme
Preporuča se razmotriti sljedeće prijetnje u odnosu na prateću infrastrukturu:
  • Prekid rada (slučajan ili namjeran) komunikacijskih sustava, opskrbe električnom energijom, opskrbe vodom i/ili toplinom, klimatizacije;
  • Uništenje ili oštećenje prostorija;
  • Nesposobnost ili nespremnost uslužnog osoblja i/ili korisnika da obavljaju svoje dužnosti (građanski nemiri, prometne nesreće, teroristički napad ili prijetnja terorističkim napadom, štrajk itd.).

Velike prijetnje integritetu

Mogu se podijeliti na statičke prijetnje integritetu i dinamičke prijetnje integritetu.

Također je vrijedno podijeliti na prijetnje integritetu servisnih informacija i podataka o sadržaju. Servisne informacije odnose se na lozinke za pristup, rute prijenosa podataka lokalna mreža i slične informacije. Najčešće i u gotovo svim slučajevima, napadač, svjesno ili ne, ispada zaposlenik organizacije koji je upoznat s načinom rada i sigurnosnim mjerama.

Kako bi narušio statički integritet, napadač može:

  • Unesite netočne podatke
  • Za promjenu podataka
Prijetnje dinamičkom integritetu uključuju preuređivanje, krađu, dupliciranje podataka ili uvođenje dodatnih poruka.

Glavne prijetnje privatnosti

Povjerljive informacije mogu se podijeliti na predmetne i službene informacije. Servisne informacije (na primjer, korisničke lozinke) ne odnose se na određeni predmetno područje, u informacijskom sustavu ona igra tehnička uloga, ali je njegovo otkrivanje posebno opasno, jer je prepuno neovlaštenog pristupa svim informacijama, uključujući podatke o subjektu.

Čak i ako su informacije pohranjene na računalu ili su namijenjene korištenje računala, prijetnje njegovoj povjerljivosti mogu biti ne-računalne i općenito ne-tehničke prirode.

Neugodne prijetnje od kojih se teško obraniti uključuju zlouporabu ovlasti. Na mnogim vrstama sustava, povlašteni korisnik (na primjer Administrator sustava) može čitati bilo koju (nekriptiranu) datoteku, pristupiti bilo kojoj korisničkoj pošti itd. Drugi primjer je šteta uzrokovana servis nakon prodaje. Tipično, servisni inženjer dobiva neograničeni pristup opremi i ima mogućnost zaobići mehanizme zaštite softvera.

Radi jasnoće, ove vrste prijetnji također su shematski prikazane u nastavku na slici 1.


Riža. 1. Klasifikacija vrsta prijetnji informacijskoj sigurnosti

Da bi se primijenile najoptimalnije mjere zaštite, potrebno je procijeniti ne samo prijetnje informacijskoj sigurnosti, već i moguću štetu; u tu svrhu koristi se karakteristika prihvatljivosti, čime se moguća šteta određuje kao prihvatljiva ili neprihvatljiva. Za to je korisno uspostaviti vlastite kriterije za dopuštenost štete u novčanom ili drugom obliku.

Svatko tko krene organizirati informacijsku sigurnost mora odgovoriti na tri osnovna pitanja:

  1. Što zaštititi?
  2. Od koga se zaštititi, koje vrste prijetnji prevladavaju: vanjske ili unutarnje?
  3. Kako se zaštititi, kojim metodama i sredstvima?
Uzimajući u obzir sve navedeno, možete najpotpunije procijeniti relevantnost, mogućnost i kritičnost prijetnji. Nakon što smo procijenili sve potrebne informacije i odvagnuli prednosti i nedostatke. Možete odabrati najučinkovitije i najbolje prakse i zaštitnu opremu.

Osnovne metode i sredstva zaštite, te minimalne i potrebne sigurnosne mjere koje se koriste na virtualni poslužitelji ovisno o glavnim svrhama njihove uporabe i vrstama prijetnji, razmotrit ćemo ih u sljedećim člancima pod naslovom “Osnove informacijske sigurnosti”.

Tvorac kibernetike Norbert Wiener smatrao je da informacija ima jedinstvena svojstva i da se ne može pripisati ni energiji ni materiji. Poseban status informacije kao fenomena iznjedrio je mnoge definicije.

Rječnik norme ISO/IEC 2382:2015 “Informacijska tehnologija” daje sljedeće tumačenje:

Informacije (u području obrade informacija)- sve podatke predstavljene u elektroničkom obliku, napisane na papiru, izražene na sastanku ili smještene na bilo kojem drugom mediju, koje financijska institucija koristi za donošenje odluka, kretanje Novac, postavljanje stopa, izdavanje zajmova, obrada transakcija itd., uključujući softverske komponente sustava za obradu.

Za razvoj koncepta informacijske sigurnosti (IS), informacije se shvaćaju kao informacije koje su dostupne za prikupljanje, pohranjivanje, obradu (uređivanje, konverzija), korištenje i prijenos različiti putevi, uključujući računalne mreže i druge informacijske sustave.

Takve informacije su vrlo vrijedne i mogu postati meta napada trećih strana. Želja za zaštitom informacija od prijetnji je temelj stvaranja sustava informacijske sigurnosti.

Pravna osnova

U prosincu 2017. Rusija je usvojila Doktrinu informacijske sigurnosti. Dokument definira informacijsku sigurnost kao stanje zaštite nacionalnih interesa u informacijskoj sferi. Nacionalni interesi se u ovom slučaju shvaćaju kao ukupnost interesa društva, pojedinca i države; svaka skupina interesa nužna je za stabilno funkcioniranje društva.

Doktrina je konceptualni dokument. Pravni odnosi povezani s osiguranjem informacijske sigurnosti regulirani su saveznim zakonima „O državnim tajnama“, „O informacijama“, „O zaštiti osobnih podataka“ i drugima. Na temelju temeljnih propisa izrađuju se državni propisi i resorni propisi o privatnim pitanjima zaštite informacija.

Definicija informacijske sigurnosti

Prije izrade strategije informacijske sigurnosti potrebno je usvojiti osnovnu definiciju samog pojma koja će omogućiti korištenje određenog skupa metoda i načina zaštite.

Praktičari iz industrije predlažu da se informacijska sigurnost razumije kao stabilno stanje sigurnosti informacija, njihovih medija i infrastrukture, koje osigurava cjelovitost i otpornost procesa povezanih s informacijama na namjerne ili nenamjerne utjecaje prirodne i umjetne prirode. Utjecaji se klasificiraju kao prijetnje informacijskoj sigurnosti koje mogu uzrokovati štetu subjektima informacijski odnosi.

Stoga ćemo pod informacijskom sigurnošću podrazumijevati skup pravnih, administrativnih, organizacijskih i tehničkih mjera usmjerenih na sprječavanje stvarnih ili percipiranih prijetnji informacijskoj sigurnosti, kao i otklanjanje posljedica incidenata. Kontinuitet procesa zaštite informacija trebao bi jamčiti borbu protiv prijetnji u svim fazama informacijski ciklus: u procesu prikupljanja, pohranjivanja, obrade, korištenja i prijenosa informacija.

Informacijska sigurnost u ovakvom shvaćanju postaje jedna od karakteristika performansi sustava. U svakom trenutku sustav mora imati mjerljivu razinu sigurnosti, a osiguranje sigurnosti sustava mora biti kontinuirani proces koji se provodi u svim vremenskim intervalima tijekom životnog vijeka sustava.

U teoriji informacijske sigurnosti pod subjektima informacijske sigurnosti podrazumijevaju se vlasnici i korisnici informacija, ali i ne samo korisnici stalna osnova(zaposlenici), ali i korisnici koji pristupaju bazama podataka u izoliranim slučajevima, na primjer, državne agencije traže informacije. U nekim slučajevima, primjerice, u standardima bankovne informacijske sigurnosti vlasnicima informacija smatraju se dioničari - pravne osobe koje posjeduju određene podatke.

Prateća infrastruktura, sa stajališta osnova informacijske sigurnosti, uključuje računala, mreže, telekomunikacijsku opremu, prostore, sustave za održavanje života i osoblje. Prilikom analize sigurnosti potrebno je ispitati sve elemente sustava, Posebna pažnja fokusirajući se na stožer kao nositelja većine unutarnje prijetnje.

Za upravljanje informacijskom sigurnošću i procjenu štete koristi se karakteristika prihvatljivosti, čime se šteta određuje kao prihvatljiva ili neprihvatljiva. Korisno je da svaka tvrtka uspostavi vlastite kriterije za prihvatljivu štetu u novčanom obliku ili, primjerice, u obliku prihvatljive štete za ugled. U vladine institucije mogu se usvojiti i druge karakteristike, na primjer, utjecaj na proces upravljanja ili odraz stupnja oštećenja života i zdravlja građana. Kriteriji za materijalnost, važnost i vrijednost informacija mogu se promijeniti tijekom životni ciklus niz informacija, stoga se mora revidirati na vrijeme.

Informacijska prijetnja u u užem smislu priznaje se objektivna mogućnost utjecaja na predmet zaštite, što može dovesti do curenja, krađe, otkrivanja ili širenja informacija. U više široko shvaćeno Prijetnje informacijskoj sigurnosti uključivat će ciljane utjecaje informativne prirode, čija je svrha nanošenje štete državi, organizaciji ili pojedincu. Takve prijetnje uključuju, na primjer, klevetu, namjerno lažno predstavljanje i netočno oglašavanje.

Tri glavna pitanja koncepta informacijske sigurnosti za svaku organizaciju

    Što zaštititi?

    Koje vrste prijetnji prevladavaju: vanjske ili unutarnje?

    Kako se zaštititi, kojim metodama i sredstvima?

Sustav informacijske sigurnosti

Sustav informacijske sigurnosti za tvrtku - pravna osoba uključuje tri skupine osnovnih pojmova: cjelovitost, dostupnost i povjerljivost. Ispod svakoga kriju se pojmovi s višestrukim karakteristikama.

Pod, ispod integritet odnosi se na otpornost baza podataka i drugih informacijskih nizova na slučajno ili namjerno uništenje i neovlaštene promjene. Koncept integriteta može se promatrati kao:

  • statičan, izražen u nepromjenjivosti, autentičnosti informacijski objekti oni objekti koji su stvoreni za određenu Tehničke specifikacije i sadrže količine informacija potrebno korisnicima za glavnu djelatnost, u potrebnoj konfiguraciji i redoslijedu;
  • dinamički, što podrazumijeva ispravno izvršavanje složenih radnji ili transakcija bez nanošenja štete sigurnosti informacija.

Za kontrolu dinamičkog integriteta, poseban tehnička sredstva, koji analiziraju tijek informacija, na primjer, financijskih, te identificiraju slučajeve krađe, umnožavanja, preusmjeravanja i promjene redoslijeda poruka. Integritet kao osnovna karakteristika je potreban kada se odluke o poduzimanju radnji donose na temelju pristiglih ili dostupnih informacija. Kršenje redoslijeda naredbi ili slijeda radnji može uzrokovati veliku štetu ako je opisano tehnološki procesi, programskim kodovima i u drugim sličnim situacijama.

Dostupnost je svojstvo koje ovlaštenim subjektima omogućuje pristup ili razmjenu podataka koji ih zanimaju. Ključni zahtjev legitimacija ili autorizacija subjekata omogućuje stvaranje različite razine pristup. Neuspjeh sustava u pružanju informacija postaje problem za bilo koju organizaciju ili korisničku skupinu. Primjer je nedostupnost web stranica državnih službi u slučaju kvara sustava, što mnogim korisnicima uskraćuje mogućnost dobivanja potrebnih usluga ili informacija.

Povjerljivost znači svojstvo informacije da bude dostupna tim korisnicima: subjekti i procesi kojima je pristup inicijalno odobren. Većina tvrtki i organizacija privatnost doživljava kao ključni element Informacijsku sigurnost, međutim, u praksi ju je teško u potpunosti implementirati. Nisu sve informacije o postojećih kanala curenje informacija dostupno je autorima koncepata informacijske sigurnosti, a mnoga tehnička sredstva zaštite, uključujući i kriptografska, ne mogu se slobodno kupiti; u nekim slučajevima promet je ograničen.

Jednaka svojstva informacijske sigurnosti imaju različite vrijednosti za korisnike, stoga postoje dvije ekstremne kategorije pri razvoju koncepata zaštite podataka. Za tvrtke ili organizacije povezane s državnom tajnom, ključni parametar postat će povjerljivi, za javne službe odn obrazovne ustanove najviše važan parametar- dostupnost.

Sažetak informacijske sigurnosti

Mjesečni izbor korisne publikacije, zanimljive vijesti i događaji iz svijeta informacijske sigurnosti. Stručno iskustvo i stvarni slučajevi iz prakse SearchInforma.

Objekti zaštite u konceptima informacijske sigurnosti

Iz razlika u subjektima proizlaze razlike u objektima zaštite. Glavne skupine zaštićenih objekata:

  • informacijski izvori svih vrsta (resursna sredstva materijalni predmet: tvrdi disk, drugi medij, dokument s podacima i pojedinostima koji ga pomažu identificirati i pripisati mu određena skupina predmeti);
  • prava građana, organizacija i države na pristup informacijama, mogućnost njihova dobivanja u okviru zakona; pristup se može ograničiti samo propisima; neprihvatljivo je postavljanje bilo kakvih prepreka koje krše ljudska prava;
  • sustav za stvaranje, korištenje i distribuciju podataka (sustavi i tehnologije, arhivi, knjižnice, propisi);
  • sustav za formiranje javne svijesti (masovni mediji, internetski izvori, društvene institucije, obrazovne ustanove).

Svaki objekt pretpostavlja poseban sustav mjere zaštite od prijetnji informacijskoj sigurnosti i javnom redu. Osiguravanje informacijske sigurnosti u svakom slučaju treba se temeljiti na sustavni pristup, uzimajući u obzir specifičnosti objekta.

Kategorije i mediji

Ruski pravni sustav, praksa provedbe zakona i postojeći društveni odnosi klasificiraju informacije prema kriterijima pristupačnosti. To vam omogućuje da pojasnite bitne parametre potrebne za osiguranje sigurnosti informacija:

  • informacije kojima je pristup ograničen na temelju zakonskih zahtjeva (državne tajne, poslovne tajne, osobni podaci);
  • informacije u otvoreni pristup;
  • javno dostupni podaci, koji se daju pod određenim uvjetima: plaćene informacije ili podatke za koje je potrebno dopuštenje za korištenje, kao što je iskaznica knjižnice;
  • opasne, štetne, lažne i druge vrste informacija, čije je kruženje i širenje ograničeno ili zakonskim zahtjevima ili korporativnim standardima.

Informacije iz prve skupine imaju dva sigurnosna načina. Državna tajna, prema zakonu, riječ je o podacima pod zaštitom države čije bi slobodno širenje moglo naštetiti sigurnosti zemlje. Riječ je o podacima iz područja vojnih, vanjskopolitičkih, obavještajnih, protuobavještajnih i gospodarskih aktivnosti države. Vlasnik ove grupe podataka je sama država. Tijela ovlaštena za poduzimanje mjera zaštite državne tajne su Ministarstvo obrane, Savezna služba sigurnosti (FSB), Služba za vanjske obavještajne poslove, Savezna služba za tehničku i izvoznu kontrolu (FSTEK).

Povjerljive informacije- višestruki predmet regulacije. Popis podataka koji mogu predstavljati povjerljive podatke sadržan je u Predsjedničkom dekretu br. 188 „O odobrenju popisa povjerljivih podataka.” Ovo su osobni podaci; tajnost istrage i sudskog postupka; službena tajna; profesionalna povjerljivost (medicinska, javnobilježnička, odvjetnička); poslovna tajna; informacije o izumima i korisnim modelima; informacije sadržane u osobni poslovi osuđenim osobama, kao i podatke o prisilnom izvršenju sudskih akata.

Osobni podaci postoje otvoreni i u povjerljivi način rada. Dio osobnih podataka koji je otvoren i dostupan svim korisnicima uključuje ime, prezime i patronim. Prema Saveznom zakonu-152 "O osobnim podacima", subjekti osobnih podataka imaju pravo:

  • za informacijsko samoodređenje;
  • za pristup osobnim osobnim podacima i njihovu promjenu;
  • blokirati osobne podatke i pristup istima;
  • žaliti se protiv nezakonitih radnji trećih osoba počinjenih u vezi s osobnim podacima;
  • za naknadu prouzročene štete.

Pravo na sadržano je u propisima o državnim tijelima, saveznim zakonima i dozvolama za rad s osobnim podacima koje izdaje Roskomnadzor ili FSTEC. Tvrtke koje profesionalno rade s osobnim podacima širokog spektra ljudi, na primjer, telekom operateri, moraju ući u registar koji vodi Roskomnadzor.

Zaseban objekt u teoriji i praksi informacijske sigurnosti su nositelji informacija kojima pristup može biti otvoren i zatvoren. Prilikom izrade koncepta informacijske sigurnosti metode zaštite odabiru se ovisno o vrsti medija. Glavni medij za pohranu:

  • tiskan i elektroničkim sredstvima masovni mediji, društvene mreže, drugi resursi na internetu;
  • zaposlenici organizacije koji imaju pristup informacijama na temelju svojih prijateljskih, obiteljskih, profesionalnih veza;
  • komunikacijska sredstva koja prenose ili pohranjuju informacije: telefoni, automatske telefonske centrale, druga telekomunikacijska oprema;
  • dokumenti svih vrsta: osobni, službeni, državni;
  • softver kao samostalan informacijski objekt, osobito ako je njegova verzija modificirana posebno za određenu tvrtku;
  • elektronski mediji informacije koje automatski obrađuju podatke.

U svrhu razvoja koncepata informacijske sigurnosti sredstva informacijske sigurnosti obično se dijele na regulatorna (neformalna) i tehnička (formalna).

Neformalna sredstva zaštite su dokumenti, pravila, mjere; formalna sredstva su posebna tehnička sredstva i softver. Razlika pomaže u raspodjeli područja odgovornosti pri stvaranju sustava informacijske sigurnosti: uz opće upravljanje zaštitom, administrativno osoblje provodi regulatorne metode, a IT stručnjaci, sukladno tome, provode tehničke.

Osnove informacijske sigurnosti pretpostavljaju podjelu ovlasti ne samo u pogledu korištenja informacija, već iu pogledu rada na njihovoj zaštiti. Takva podjela vlasti zahtijeva i nekoliko razina kontrole.


Formalni pravni lijekovi

Širok raspon tehničkih sredstava zaštite informacija uključuje:

Fizička sredstva zaštite. To su mehanički, električni, elektronički mehanizmi koji djeluju neovisno o informacijskim sustavima i stvaraju prepreke pristupu istima. Brave, uključujući elektroničke, zasloni i sjenila dizajnirani su za stvaranje prepreka kontaktu destabilizirajućih čimbenika sa sustavima. Grupa je dopunjena sigurnosnim sustavima, na primjer, video kamerama, videorekorderima, senzorima koji otkrivaju kretanje ili prekoračenje elektromagnetska radijacija u prostoru u kojem se nalaze tehnička sredstva za pronalaženje informacija i ugrađeni uređaji.

Hardverska zaštita. To su električni, elektronički, optički, laserski i drugi uređaji koji se ugrađuju u informacijsko-telekomunikacijske sustave. Prije implementacije hardvera u informacijske sustave potrebno je osigurati kompatibilnost.

Softver - oni su jednostavni i sustavni, sveobuhvatni programi, dizajniran za rješavanje specifičnih i složenih problema vezanih uz informacijsku sigurnost. Primjeri složenih rješenja uključuju: prva služe za sprječavanje curenja, preformatiranje informacija i preusmjeravanje protoka informacija, potonja pružaju zaštitu od incidenata u području informacijske sigurnosti. Programski alati zahtjevni su za snagu hardverskih uređaja, a tijekom instalacije potrebno je osigurati dodatne rezerve.

DO specifična sredstva informacijska sigurnost uključuje različite kriptografske algoritme koji vam omogućuju šifriranje informacija na disku i preusmjeravanje putem vanjski kanali komunikacije. Pretvorba informacija može se dogoditi pomoću softverskih i hardverskih metoda koje rade u korporativnim informacijskim sustavima.

Sva sredstva koja jamče sigurnost informacija moraju se koristiti u kombinaciji, nakon prethodne procjene vrijednosti informacije i usporedbe s cijenom resursa utrošenih na sigurnost. Stoga prijedlozi korištenja sredstava trebaju biti formulirani već u fazi razvoja sustava, a odobrenje treba dati na razini uprave koja je odgovorna za odobravanje proračuna.

Kako bi se osigurala sigurnost, potrebno je sve nadzirati moderna zbivanja, zaštitu softvera i hardvera, prijetnje i pravovremene izmjene vlastite sustave zaštita od neovlaštenog pristupa. Samo adekvatan i brz odgovor na prijetnje pomoći će u postizanju visoka razina povjerljivost u radu tvrtke.

Neformalni pravni lijekovi

Neformalna sredstva zaštite grupiraju se u normativna, upravna i moralno-etička. Na prvoj razini zaštite nalaze se regulatorna sredstva koja reguliraju informacijsku sigurnost kao proces u aktivnostima organizacije.

  • Regulatorna sredstva

U svjetskoj praksi, pri razvoju regulatornih alata, vode se standardima zaštite informacijske sigurnosti, od kojih je glavni ISO/IEC 27000. Normu su izradile dvije organizacije:

  • ISO - Međunarodno povjerenstvo za normizaciju, koje razvija i odobrava većinu međunarodno priznatih metoda za certifikaciju kvalitete procesa proizvodnje i upravljanja;
  • IEC - Međunarodna energetska komisija, koja je u normu unijela svoje razumijevanje sustava informacijske sigurnosti, sredstava i metoda za njezino osiguranje.

Trenutna verzija ISO/IEC 27000-2016 nudi gotove standarde i provjerene tehnike potrebne za implementaciju informacijske sigurnosti. Prema autorima metoda, temelj informacijske sigurnosti leži u sustavnom i dosljednom provođenju svih faza od razvoja do naknadne kontrole.

Za dobivanje certifikata koji potvrđuje usklađenost sa standardima informacijske sigurnosti potrebno je u potpunosti implementirati sve preporučene prakse. Ako nema potrebe za dobivanjem certifikata, možete uzeti bilo koji od više njih kao osnovu za razvoj vlastitih sustava informacijske sigurnosti ranije verzije standard, počevši od ISO/IEC 27000-2002, ili ruskim GOST-ovima, koji su savjetodavne prirode.

Na temelju rezultata proučavanja norme izrađuju se dva dokumenta koja se odnose na informacijsku sigurnost. Glavni, ali manje formalan je koncept informacijske sigurnosti poduzeća, koji određuje mjere i metode implementacije sustava informacijske sigurnosti za informacijske sustave organizacije. Drugi dokument kojeg su dužni pridržavati se svi zaposlenici tvrtke je pravilnik o informacijskoj sigurnosti, odobren na razini upravnog odbora ili izvršnog tijela.

Osim propisa na razini poduzeća, potrebno je izraditi popise podataka koji predstavljaju poslovnu tajnu, anekse ugovora o radu kojima se utvrđuje odgovornost za otkrivanje povjerljivih podataka te druge standarde i metodologije. Interne norme i pravila moraju sadržavati mehanizme provedbe i mjere odgovornosti. Najčešće su mjere disciplinske prirode, a prekršitelj mora biti spreman na činjenicu da kršenje režima poslovna tajna Slijedit će značajne sankcije, uključujući i otkaz.

  • Organizacijske i administrativne mjere

U sklopu upravnih poslova zaštite informacijske sigurnosti zaštitari imaju prostora za kreativnost. To uključuje arhitektonska i planska rješenja koja vam omogućuju zaštitu sobe za sastanke i upravljačkih ureda od slušanja, te uspostavljanje različitih razina pristupa informacijama. Važno organizacijske mjere bit će certificiranje djelatnosti tvrtke prema normama ISO/IEC 27000, certificiranje pojedinačnih hardverskih i softverskih sustava, certificiranje subjekata i objekata za sukladnost potrebne zahtjeve sigurnost, dobivanje licenci potrebnih za rad sa zaštićenim informacijskim nizovima.

Sa stajališta reguliranja aktivnosti osoblja bit će važno formalizirati sustav zahtjeva za pristup Internetu, vanjski e-pošta, ostali resursi. Zaseban element bit će primitak elektroničkog digitalnog potpisa radi povećanja sigurnosti financijskih i drugih informacija koje se šalju državnim tijelima putem kanala e-pošte.

  • Moralno-etičke mjere

Moralno-etičke mjere određuju osobni stav osobe prema povjerljivim informacijama ili informacijama ograničenog prometa. Povećanje razine znanja zaposlenika o utjecaju prijetnji na poslovanje poduzeća utječe na stupanj svijesti i odgovornosti zaposlenika. Za borbu protiv kršenja informacija, uključujući, na primjer, prijenos lozinki, nemarno rukovanje medijima i širenje povjerljivih podataka u privatnim razgovorima, potrebno je naglasiti osobnu svijest zaposlenika. Bit će korisno utvrditi pokazatelje učinka osoblja koji će ovisiti o odnosu prema korporativni sustav IB.

Infografika koristi podatke iz našeg vlastitog istraživanja"TražiInform".

Svatko je barem jednom čuo srceparajuće fraze o potrebi održavanja visokokvalitetne razine informacijske sigurnosti. ove horor priče o provalama, ispunjenim vriskom i očajem. O užasnim posljedicama raspravlja se na gotovo svim stranicama... Stoga biste upravo sada trebali svoje računalo napuniti sigurnosnim alatima do kraja, a također i prerezati žice... Ima puno savjeta o sigurnosti, ali iz nekog razloga su beskorisno Ne ispada baš puno. Na mnogo načina, razlog leži u nedostatku razumijevanja tako jednostavnih stvari kao što su "što štitimo", "od koga štitimo" i "što želimo dobiti kao rezultat". Ali, prvo, prvo.

Sigurnost informacija Ovaj pojam odnosi se na razne mjere, stanje očuvanosti, tehnologiju itd., ali sve je puno jednostavnije. I zato, prvo si odgovorite na pitanje koliko je ljudi oko vas barem pročitalo definiciju ovog pojma, a ne znači samo uspoređivati ​​riječi s njihovim značenjima? Većina ljudi povezuje sigurnost s antivirusima, vatrozidima i drugim sigurnosnim programima. Naravno, ovi alati mogu zaštititi vaše računalo od prijetnji i povećati razinu sigurnosti sustava, no malo ljudi ima pojma što ti programi zapravo rade.

Kada razmišljate o informacijskoj sigurnosti, prvo biste trebali početi sa sljedećim pitanjima::

  • Objekt zaštite- morate razumjeti što točno želite zaštititi. Ovo su osobni podaci pohranjeni na računalu (da ne dođu do drugih ljudi), ovo su performanse računala (da virusi i trojanci ne dovedu sustav na razinu prvog Pentiuma), ovo je mrežna aktivnost (tj. da programi gladni interneta ne šalju statistiku o vama svakih pola sata) , ovo je dostupnost računala (da plavi ekrani smrti ne preplave sustav), ovo je...
  • Željena razina sigurnosti. Potpuno zaštićeno računalo je računalo koje ne postoji. Koliko god se trudili, uvijek će postojati mogućnost da vam računalo bude hakirano. Imajte na umu i uvijek zapamtite da postoji takav smjer kao socijalni inženjering(vađenje lozinki iz kanti za smeće, prisluškivanje, špijuniranje itd.). Međutim, to nije razlog da sustav ostavite nezaštićenim. Na primjer, zaštitite svoje računalo od većine poznatih virusa- ovo je sasvim izvediv zadatak, koji zapravo svaki obični korisnik obavlja instalirajući neki od popularnih antivirusa na svoje računalo.
  • Prihvatljiva razina posljedica. Ako razumijete da vaše računalo može hakirati, na primjer, haker koji je jednostavno zainteresiran za vas (dogodi se da se napadaču svidjela vaša IP adresa), tada biste trebali razmisliti o prihvatljivoj razini posljedice. Sustav se pokvari - neugodno, ali ne i zastrašujuće, jer imate disk za oporavak pri ruci. Vaše računalo stalno pristupa zločestim stranicama - ugodnim i neugodnim, ali podnošljivim i popravljivim. Ali, na primjer, ako vaš Osobne fotografije, za koje nitko ne bi smio znati (ozbiljan udarac ugledu), onda je to već znatna razina posljedica i potrebno je poduzeti preventivne mjere (pretjerati, uzeti staro računalo bez interneta i gledati fotografije samo na njemu ).
  • Što želiš dobiti od toga? Ovo pitanje ima mnogo implikacija - koliko ćete dodatnih koraka morati izvršiti, što ćete morati žrtvovati, kako bi zaštita trebala utjecati na performanse, treba li biti moguće dodati programe na popise izuzetaka, koliko poruka i alarma bi se trebalo pojaviti na ekranu (ako postoji) , kao i mnogo više. Danas postoji dosta sigurnosnih alata, ali svaki od njih ima svoje prednosti i nedostatke. Na primjer, isti UAC Windows u operativnom sustavu Vista sustav nije učinjeno na posve uspješan način, ali je već u Windowsima 7 dovedeno do točke kada je zaštitni alat postao relativno zgodan za korištenje.

Nakon što odgovorite na sva ova pitanja, bit će vam puno lakše shvatiti kako ćete organizirati zaštitu podataka na svom računalu. Naravno, ovo nije potpuni popis pitanja, ali dovoljan broj običnih korisnika ne postavlja ni jedno od njih.

Instalacija i konfiguracija sigurnosnih alata na vašem računalu samo je dio poduzetih mjera. Otvaranjem sumnjivih poveznica i potvrđivanjem svih radnji jednako sumnjivih aplikacija lako možete poništiti sve napore sigurnosnih programa. Iz tog razloga također uvijek vrijedi razmišljati o svojim postupcima. Na primjer, ako je vaš zadatak zaštititi vaš preglednik, ali ne možete ne otvoriti sumnjive poveznice (na primjer, zbog specifičnosti), tada uvijek možete postaviti dodatni preglednik, koji se koristi isključivo za otvaranje sumnjivih linkova, odnosno proširenje za provjeru kratkih linkova. U tom slučaju, ako se bilo koji od njih pokaže kao phishing (krađa podataka, pristup itd.), tada će napadač malo postići.

Problem utvrđivanja skupa radnji za zaštitu podataka najčešće leži u nedostatku odgovora na pitanja iz prethodnog odlomka. Na primjer, ako ne znate ili ne razumijete što točno želite zaštititi, tada će uvijek biti teško smisliti ili pronaći bilo kakve dodatne sigurnosne mjere (osim uobičajenih kao što su neotvaranje sumnjivih poveznica, posjećivanje sumnjivih izvora i drugi). Pokušajmo razmotriti situaciju na primjeru zadaće zaštite osobnih podataka, koja se najčešće stavlja na čelo zaštićenih objekata.

Zaštita osobnih podataka ovo je jedan od teške zadatke s kojima se ljudi susreću. S brzim rastom količine i punjenja društvene mreže, informacijske usluge i specijalizirana mrežni resursi, bila bi velika pogreška pretpostaviti da se zaštita vaših osobnih podataka svodi na osiguravanje pouzdane razine sigurnosti za vaše računalo. Ne tako davno bilo je gotovo nemoguće saznati bilo što o osobi koja živi stotinama kilometara od vas, pa čak i u susjednoj kući, a da nemate odgovarajuće veze. Danas gotovo svi mogu puno naučiti osobne informacije o svakom u doslovno par sati klikanja mišem u pregledniku, ili čak i brže. Istovremeno, sve njegove radnje mogu biti apsolutno legalne, budući da ste sami objavili podatke o sebi u javnosti.

Svatko je naišao na odjek ovog učinka. Jeste li čuli da je ispitna riječ Sigurnosno pitanje ne bi trebao biti povezan s vama i drugima? A ovo je samo mali dio. Koliko god vas ovo možda ne čudi, u mnogočemu zaštita osobne informacije Na tebi je. Nikakva sigurnosna mjera, čak i ako nikome osim vama ne dopušta pristup računalu, neće moći zaštititi podatke koji se prenose izvan računala (razgovori, internet, snimke itd.). Ostavili ste negdje svoju poštu – očekujte porast neželjene pošte. Ostavili ste fotografije na kojima grlite medvjedića resursi trećih strana, od dosadnih autora očekujte prigodne duhovite “zanate”.

Da budem malo ozbiljniji, enormna otvorenost internetskih podataka i vaša neozbiljnost/otvorenost/neozbiljnost, usprkos svim sigurnosnim mjerama, potonje može dovesti do ništavila. Iz tog razloga potrebno je pažljivo birati metode informacijske sigurnosti i u njih uključiti ne samo tehnička sredstva, već i radnje koje pokrivaju druge aspekte života.

Bilješka: Naravno, ne biste trebali pretpostaviti da je podzemni bunker najbolje mjesto u životu. Međutim, razumijevanje da zaštita vaših osobnih podataka ovisi o vama, dat će vam veliku prednost u odnosu na napadače.

Metode informacijske sigurnostičesto poistovjećuju s tehnička rješenja, ostavljajući bez pažnje tako ogroman sloj potencijalnih prijetnji kao što su radnje same osobe. Korisniku možete dati mogućnost da pokrene samo jedan program i riješi posljedice u doslovno pet minuta, ako se to uopće pokaže mogućim. Jedna poruka na forumu o informacijama koje se čuju može razbiti i najsavršeniju zaštitu (da pretjerujem, o sprječavanju zaštitnih čvorova, drugim riječima, privremenom nedostatku zaštite).

Odlučiti o načinima zaštite podataka, morate ne samo tražiti odgovarajuće sigurnosne alate dok lijeno klikate mišem u prozoru preglednika, već i razmišljati o tome kako se informacije mogu distribuirati i na što se one mogu odnositi. Kako god zvučalo, za to morate uzeti papir i olovku, a zatim sve pogledati moguće načineširenje informacija i ono s čime one mogu biti povezane. Na primjer, uzmimo zadatak čuvanja lozinke što je moguće tajnijim.

Situacija. Smislili ste složenu lozinku koja nema nikakve veze s vama, u potpunosti je u skladu s najstrožim sigurnosnim zahtjevima, nigdje je niste spomenuli (aspekti kao što su ostaci u memoriji računala, na disku i druge točke nisu uzeti u obzir račun), nemojte koristiti upravitelje lozinkama, unesite lozinku samo s jednog računala, koristeći sigurnu tipkovnicu, koristite VPN za povezivanje, pokrenite računalo samo s LiveCD-a. Jednom rečenicom, pravi paranoik i sigurnosni fanatik. Međutim, sve to možda neće biti dovoljno za zaštitu vaše lozinke.

Evo nekoliko jednostavnih mogućih situacija koje jasno pokazuju potrebu za širokim pogledom na prakse informacijske sigurnosti:

  • Što ćete učiniti ako trebate unijeti lozinku kada su u sobi drugi ljudi, čak i oni "najbolji"? Nikad ne možete garantirati da neće slučajno nešto spomenuti... neizravne informacije o lozinci. Na primjer, sjedeći u ugodnoj atmosferi u zalogajnici, sasvim je moguće reći "ima takav duga lozinka, čak desetak i hrpa različitih znakova”, što prilično dobro sužava područje pogađanja lozinke za napadača.
  • Što ćete učiniti ako se to dogodi i trebate drugu osobu koja će umjesto vas obaviti operaciju? Neka druga osoba može slučajno čuti vašu lozinku. Ako izdiktirate lozinku osobi koja je slabo upućena u računala, vjerojatno će je negdje zapisati; zahtijevanje vašeg fanatizma od njega neće biti opravdano.
  • Što ćete učiniti ako se to dogodi i netko sazna za način na koji dolazite do lozinki? Takve informacije također prilično dobro sužavaju područje odabira.
  • Kako možete zaštititi svoju lozinku ako jedan od čvorova pruža siguran prijenos lozinku hakirao napadač? Na primjer, VPN poslužitelj preko kojeg pristupate internetu je hakiran.
  • Bi li vaša lozinka imala smisla da je sustav koji koristite bio hakiran?
  • I drugi

Naravno, to ne znači potrebu za tvrdoglavom i upornom višemjesečnom potragom za metodama zaštite informacija. Stvar je u tome da čak i najviše složeni sustavi može biti slomljen jednostavnim ljudskim manama, čije je razmatranje zanemareno. Stoga, kada organizirate sigurnost svog računala, pokušajte obratiti pozornost ne samo na tehnička strana pitanje, ali i na svijet oko sebe.

U Svakidašnjica Informacijska sigurnost (IS) često se shvaća samo kao potreba za borbom protiv curenja tajni i širenja lažnih i neprijateljskih informacija. Međutim, ovo je shvaćanje vrlo usko. Postoji mnogo različitih definicija informacijske sigurnosti, koje ističu njezina pojedinačna svojstva.

U više nevažećem Saveznom zakonu "O informacijama, informatizaciji i zaštiti informacija" pod sigurnost informacija razumjeli stanje sigurnosti informacijsko okruženje društva, osiguravajući njegovo formiranje i razvoj u interesu građana, organizacija i države.

Drugi izvori daju sljedeće definicije:

Sigurnost informacija- Ovo

1) skup organizacijskih i tehničkih mjera za osiguranje cjelovitosti podataka i povjerljivosti informacija u kombinaciji s njihovom dostupnošću svim ovlaštenim korisnicima;

2) indikator koji odražava stanje sigurnosti informacijskog sustava;

3) državasigurnost informacijskog okruženja;

4) stanje sigurnosti izvori informacija i kanali,kao i pristup izvorima informacija.

V.I. Yarochkin vjeruje da Sigurnost informacija Tamo je stanje sigurnosti informacijskih resursa, tehnologije za njihovo formiranje i korištenje, kao i prava subjekata informacijske djelatnosti.

Prilično potpunu definiciju daju V. Betelin i V. Galatenko, koji smatraju da

U ovom vodiču ćemo se oslanjati na gornju definiciju.

Informacijska sigurnost nije ograničena na zaštitu informacija i računalna sigurnost. Potrebno je razlikovati informacijsku sigurnost od zaštite informacija.

Ponekad informacijska sigurnost znači stvaranje na računalu i računalni sustavi organizirani skup sredstava, metoda i aktivnosti namijenjenih sprječavanju iskrivljavanja, uništavanja ili neovlaštene uporabe zaštićenih informacija.

Mjere osiguranja informacijske sigurnosti moraju se provoditi u različitim područjima - politici, gospodarstvu, obrani, kao i na različitim razinama - državnoj, regionalnoj, organizacijskoj i osobnoj. Stoga se zadaće informacijske sigurnosti na državnoj razini razlikuju od zadaća koje stoje pred informacijskom sigurnošću na organizacijskoj razini.

Subjekt informacijskih odnosa može trpjeti (pretrpiti materijalne i/ili moralne gubitke) ne samo zbog neovlaštenog pristupa informacijama, već i zbog kvara sustava koji uzrokuje prekid u radu. Informacijska sigurnost ne ovisi samo o računalima, već io pratećoj infrastrukturi koja uključuje sustave opskrbe električnom energijom, vodom i toplinom, klima uređaje, komunikacije i, naravno, osoblje za održavanje. Prateća infrastruktura ima svoju vrijednost, čija se važnost ne može precijeniti.

Nakon događaja od 11. rujna 2001., zakonodavstvo SAD-a, u skladu s Patriot Actom, definiralo je koncept „kritične infrastrukture“ koja se shvaća kao „skup fizičkih ili virtualni sustavi i imovine koja je toliko važna Sjedinjenim Državama da bi njihov neuspjeh ili uništenje moglo imati katastrofalne posljedice za obranu, gospodarstvo, zdravlje i sigurnost nacije.” Koncept kritične infrastrukture pokriva ključna područja američkog nacionalnog gospodarstva i gospodarstva kao što su nacionalna obrana, poljoprivreda, proizvodnja hrane, civilno zrakoplovstvo, pomorski promet, automobilske ceste i mostovi, tuneli, brane, cjevovodi, vodoopskrba, zdravstvo, usluge hitna pomoć, organi kontrolira vlada, vojna proizvodnja, informacijski i telekomunikacijski sustavi i mreže, energetika, promet, bankarstvo i financijski sustav, kemijska industrija, poštanske usluge.

U društveno informacijska sigurnost uključuje borbu protiv informacijskog "zagađenja" okoliš, korištenje informacija u nezakonite i nemoralne svrhe.

Također, objekti informacijskog utjecaja, a time i informacijske sigurnosti, mogu biti javna ili individualna svijest.

Na državnoj razini subjekti informacijske sigurnosti su izvršna, zakonodavna i sudbena vlast. Pojedini odjeli formirali su tijela koja se posebno bave informacijskom sigurnošću.

Osim toga, subjekti informacijske sigurnosti mogu biti:

Građani i javne udruge;

Masovni mediji;

Poduzeća i organizacije bez obzira na oblik vlasništva.

Interesi Predmeti IS koji se odnose na korištenje informacijskih sustava mogu se podijeliti u sljedeće glavne kategorije:

Dostupnost- mogućnost dobivanja tražene informacijske usluge u razumnom roku. Informacijski sustavi nastaju (kupuju) za dobivanje određenih informacijskih usluga (usluga). Ukoliko iz ovog ili onog razloga korisnicima postane onemogućeno primanje ovih usluga, time se nanosi šteta svim subjektima informacijskih odnosa. Vodeća uloga pristupačnosti posebno dolazi do izražaja u različitim vrstama sustava upravljanja: proizvodnim, transportnim itd. Stoga, bez suprotstavljanja pristupačnosti drugim aspektima, pristupačnost jest najvažniji element IB.

Integritet- relevantnost i dosljednost informacija, njihovu zaštitu od uništenja i neovlaštenih promjena. Cjelovitost se može podijeliti na statičku (shvaćenu kao nepromjenjivost informacijskih objekata) i dinamičku (odnosi se na ispravno izvođenje složenih radnji (transakcija)). Gotovo svi regulatorni dokumenti i domaći razvoj odnose se na statički integritet, iako dinamički aspekt nije ništa manje važan. Primjer primjene dinamičkih kontrola integriteta je analiza tijeka financijskih poruka u svrhu otkrivanja krađe, preuređivanja ili dupliciranja pojedinačnih poruka.

Povjerljivost- zaštita od neovlaštenog pristupa. Povjerljivost je zaštićena zakonima, propisima i dugogodišnjim iskustvom nadležnih službi. Hardverski i softverski proizvodi omogućuju zatvaranje gotovo svih potencijalnih kanala curenja informacija.

Cilj poslovi iz područja informacijske sigurnosti - zaštita interesa subjekata informacijske sigurnosti.

IS zadaci:

1. Osiguravanje prava pojedinca i društva na dobivanje informacija.

2. Pružanje objektivnih informacija.

3. Borba protiv kriminalnih prijetnji u području informacijsko-telekomunikacijskih sustava, telefonskog terorizma, pranja novca i dr.

4. Zaštita pojedinaca, organizacija, društva i države od informacijskih i psiholoških prijetnji.

5. Formiranje imidža, borba protiv kleveta, glasina, dezinformacija.

Uloga informacijske sigurnosti raste kada se dogodi ekstremna situacija, kada svaka lažna poruka može dovesti do pogoršanja situacije.

IS kriterij- zajamčena sigurnost informacija od curenja, izobličenja, gubitka ili drugih oblika smanjenja vrijednosti. Sef informacijska tehnologija mora imati sposobnost sprječavanja ili neutraliziranja utjecaja kako vanjskih tako i unutarnjih prijetnji informacijama, te sadržavati odgovarajuće metode i metode za njihovu zaštitu.



POVEZANI ČLANCI