Как пишется информационная безопасность

Информационная безопасность, или ИБ, — это комплекс мер, которые нужны, чтобы защитить от утечки или взлома программы, компьютерные системы и данные. Еще так называют отрасль, которая занимается этими мерами.

Самый простой пример меры по информационной безопасности — антивирус, установленный на компьютере. Но в коммерческих структурах к этому вопросу подходят более серьезно и на многих уровнях: чтобы обеспечить безопасность, нужно много чего сделать.

Средства информационной безопасности защищают данные от утечки, программы, системы и сети — от взлома, несанкционированного доступа, порчи файлов или других видов атак. Если речь о коммерческих или государственных структурах, сведения также защищают от шпионов или возможных злоумышленников внутри самого коллектива.

Информационная безопасность защищает системы от проникновения и от атак. Сюда входит не только взлом: это и DDoS-атаки, в результате которых может «лечь» сервер сайта, и утечка данных, и многое другое. Злоумышленников намного больше, чем кажется. И никто не хочет, чтобы их сервис потерял работоспособность, а данные оказались доступны всем вокруг. Для этого и нужна информационная безопасность.

У компаний есть еще одна причина: за утечку конфиденциальных данных пользователей они несут ответственность по закону. Так что для них меры по безопасности — это еще и способ избежать проблем с законодательством и потери доверия клиентов.

Без мер по информационной безопасности кто угодно мог бы получить доступ к конфиденциальным сведениям или взломать любой сайт или систему. Компьютерным пространством стало бы фактически невозможно пользоваться.

Угрозы безопасности разделяют на две категории: внутренние и внешние.

Внутренние. Это угрозы, которые идут изнутри системы. Чаще всего в таких случаях речь идет об утечке данных или об их повреждении. Например, кто-то подкупил сотрудника, и тот похитил данные, составляющие коммерческую тайну. Второй вариант — злоумышленником оказался авторизованный пользователь.

Еще одна внутренняя угроза — риск банальной ошибки, в результате которой конфиденциальные сведения окажутся в открытом доступе или повредятся. Например, в открытом доступе оказалась часть базы данных или пользователь по неосторожности повредил файлы. Такое уже бывало в истории. А нужно, чтобы таких случаев не возникало: клиент не мог бы нарушить работу системы даже случайно, а информация оставалась защищена.

Внешние. Сюда относятся угрозы, которые приходят извне, и они могут быть куда разнообразнее. Это, например, попытка взлома системы через найденную уязвимость: злоумышленник проникает в сеть, чтобы украсть или повредить информацию. Или DDoS-атака, когда на веб-адрес приходит огромное количество запросов с разных адресов, и сервер не выдерживает, а сайт перестает работать.

Сюда же можно отнести деятельность компьютерных вирусов: они способны серьезно навредить работе системы. Действия таких вредоносных программ могут быть очень разнообразными: от рассылки спама от имени взломанного адреса до полной блокировки системы и повреждения файлов.

Еще к внешним угрозам безопасности относятся форс-мажоры и несчастные случаи. Например, хранилище данных оказалось повреждено в результате аварии или пожара. Такие риски тоже нужно предусмотреть.

Существует отдельная должность специалиста по информационной безопасности. В крупных компаниях это может быть отдельный департамент. В маленьких — один сотрудник, причем порой он также выполняет обязанности системного администратора или сетевого инженера. Бывает и так, что информационную безопасность отдают на аутсорс: в этом случае ею занимаются сотрудники специализированной компании.

В широком смысле простейшие меры по информационной безопасности предпринимает кто угодно. Установить антивирус и блокировщик навязчивой рекламы, не посещать подозрительные сайты и не запускать непроверенные файлы — все это тоже меры ИБ, хоть и максимально простые. Но настоящий специалист по безопасности — это профессионал с широкими знаниями и множеством специфических навыков.

Информационная безопасность отвечает за три вещи: доступность, конфиденциальность и целостность данных. Сейчас расскажем, что это означает.

Доступность. Это значит, что к информации могут получить доступ те, у кого есть на это право. Например, пользователь может зайти в свой аккаунт и увидеть все, что в нем есть. Клиент может перейти в каталог и посмотреть на товары. Сотрудник может зайти во внутреннюю базу данных для его уровня доступа. А если на систему производится атака и она перестает работать, доступность падает порой до полного отказа.

Конфиденциальность. Второй принцип — конфиденциальность. Он означает, что информация должна быть защищена от людей, не имеющих права ее просматривать. То есть в тот же аккаунт пользователя не сможет войти чужой человек. Без регистрации нельзя комментировать что-то на сайте, без личного кабинета — оплатить заказ. Человек, который не работает в компании, не может зайти в ее внутреннюю сеть и посмотреть там на конфиденциальные данные. Если систему взламывают, конфиденциальность оказывается нарушенной.

Целостность. Целостность означает, что информация, о которой идет речь, не повреждена, существует в полном объеме и не изменяется без ведома ее владельцев. Комментарий не сможет отредактировать посторонний человек — только автор или иногда модератор. Сведения в базе данных меняются только по запросу тех, у кого есть доступ. А в вашем аккаунте не появятся письма, написанные от вашего лица без вашего ведома. При взломе системы целостность опять же может нарушиться: информацию могут модифицировать, повредить или стереть.

Персональные. Персональные данные — информация, которая связана с какими-то людьми. Это ФИО, телефон, адрес жительства, электронная почта и многое другое. По российским законам эти данные нужно охранять от несанкционированного доступа. Поэтому компании спрашивают разрешение на обработку персональных данных, если вы регистрируетесь на сайтах или заказываете какие-то услуги. Они обязаны это делать. А потом — хранить эту информацию, чтобы к ней не получили доступ чужие люди.

Истории про нарушение конфиденциальности этих данных вы наверняка слышали. Например, мошенники могут звонить клиентам банков, а их номера получают из слитых баз. Вот пример того, к чему может привести недостаточная информационная безопасность.

Тайные. Еще одна категория сведений — те, которые составляют тайну: государственную, коммерческую, профессиональную и служебную.

К гостайне относятся сведения, важные для безопасности страны, и они засекречены максимально строго. Коммерческая тайна — информация, критичная для нормальной работы компании: если она раскроется, организация может потерять деньги или конкурентное преимущество. При этом компания не имеет право засекречивать некоторые сведения: имена владельцев, условия труда и так далее.

Отдельно стоят профессиональная и служебная тайна. Профессиональная тайна — это, например, врачебная: история болезни пациента не должна раскрываться посторонним людям, как и данные о его состоянии. А еще — адвокатская, нотариальная и некоторые другие. А служебная тайна — некоторая информация, которая принадлежит определенным службам, например налоговой.

Все эти сведения нужно защищать: их утечка или повреждение способны причинить серьезные проблемы.

Общедоступные. Не удивляйтесь. Информация, которая известна всем, все еще должна быть доступной и целостной. Поэтому ее тоже следует защищать, иначе кто угодно сможет изменить цену товара в интернет-магазине и подставить этим покупателей. Или «уронить» сайт, чтобы никто не смог на него войти.

Есть отрасли, для которых защита информации очень важна, так как потеря данных способна нанести им катастрофический ущерб. Обычно это сферы, которые работают с деньгами или с другими ценностями.

Банки и финансы. Банковские сервисы относятся к безопасности очень строго. Защищать информацию здесь нужно не только от возможных взломщиков, но и от мошенников, и от других злоумышленников. Поэтому банки обычно защищены на очень высоком уровне. Даже для авторизации в личном кабинете с незнакомого устройства нужны дополнительные действия: сначала система проверит, что вы — это вы.

Государственные сервисы. Второй случай крайне важных данных — государственные сервисы и системы. Если это внутренняя сеть, в ней могут храниться сведения, составляющие государственную тайну, а ее утечка — прямая угроза безопасности страны. А в сервисах для граждан множество персональной информации: паспортные данные, сведения о работе, штрафах, семье и многом другом. Потеря таких сведений поставит под удар огромный процент населения.

Компании с большой базой персональных данных. Это различные крупные сервисы, в которых зарегистрировано много людей. Если их персональные данные «утекут», кто угодно сможет воспользоваться ими в своих целях — а компания будет нести за это ответственность.

Важные сектора экономики. Энергетические, нефтегазовые и другие предприятия тоже должны быть хорошо защищены. В системах таких структур есть информация, которая составляет коммерческую тайну, и в этом случае она критична. Более того, оборудованием и механизмами тоже может управлять автоматика, цифровая система. Если кто-то получит к ней доступ, то сможет застопорить всю работу предприятия.

Дата-центры. Это помещения, где стоит и работает серверное оборудование. К их оснащению и доступу к ним предъявляются повышенные требования, чтобы сервера были защищены от внешних воздействий и от различных угроз. В том числе от злоумышленников: в случае с физическим оборудованием украсть или повредить информацию может быть довольно просто. Поэтому нужно не допустить, чтобы кто-либо в принципе получил несанкционированный доступ к помещению.

Электронная коммерция. Интернет-магазины и другие сайты, которые работают с платежами пользователей, тоже должны заботиться о безопасности — по понятным причинам. Утечка платежных данных — это очень серьезно и может привести к потере денег.

Какую информацию нужно защищать и зачем — разобрались. Теперь поговорим о том, как именно это делают. Информационная безопасность — это не одно действие, а целый набор разнообразных мер:

  • поиск технических уязвимостей и защита от них;
  • «защита от дурака», чтобы никто не смог навредить данным по ошибке;
  • создание инфраструктуры, которая устойчива к частым способам атаки;
  • шифрование информации внутри сети или системы;
  • защита паролей и других конфиденциальных сведений;
  • защита базы данных от несанкционированного вмешательства;
  • контроль доступа людей к критичной информации;
  • предоставление доступа по защищенным каналам;
  • отслеживание поведения пользователей, чтобы вовремя пресечь возможную угрозу;
  • построение системы оповещений об уязвимостях и взломах;
  • регулярное проведение аудитов, которые описывают состояние системы.

И это только малая часть возможных действий, причем за каждым из них скрывается огромная и разнообразная работа.

Специалист по информационной безопасности работает с определенными инструментами — они помогают защитить сведения от посягательств. Их условно можно разделить на физические, технические и административные.

Физические. Это инструменты, которые существуют в физическом мире. К ним обычно относится различное оборудование. Пластиковые ключи-карты и замки, которые открываются по ним, — это физический инструмент. Установленные в дата-центре резервные сервера — тоже. Еще сюда можно отнести видеонаблюдение и сигнализацию, использование сейфов, работу с физическими источниками информации, мониторинг оборудования и многое другое.

Технические и программные. Это то, что относится скорее к софту, а не к железу, от защищенных протоколов до антивируса. Шифрование данных, передача сведений через HTTPS, установка брандмауэра и так далее — такие меры. Есть и специальные инструменты: защитное ПО и сервисы, программы для поиска уязвимостей и имитации атак, многое другое. К техническим средствам еще можно отнести построение инфраструктуры защищенной системы и сети.

Некоторые компании называют техническими средствами все, что связано с техникой. Это ярко видно, например, в официальных документах, даже если фактически они описывают физические методы.

Административные. Сюда относится построение внутренней инфраструктуры, регламенты и контроль доступа. Например, разработка матрицы доступа — документа, который определяет, какие полномочия есть у каждого сотрудника. Эти меры защищают не от технических угроз, а скорее от человеческого фактора. Так человек без соответствующих полномочий не сможет получить доступ к конфиденциальным данным.

На «личном», персональном уровне обеспечить себе защиту не так сложно. Нужно пользоваться брандмауэром и антивирусом, посещать сайты только с защищенным соединением, не скачивать подозрительный контент. А если подозреваете, что какой-то ресурс за вами шпионит, — пользоваться VPN или прокси.

Другое дело — стать специалистом по информационной безопасности. Это куда сложнее: профессия комплексная, требует большого количества разнородных знаний. Понадобится изучить, как функционируют системы и сети, знать об основных уязвимостях и атаках, уметь их закрывать и отражать. Более того, специалист по ИБ должен сам уметь атаковать системы: это важно, например, при пентесте. Желательно знать некоторые языки программирования, и точно нужно знать внутренние языки для управления ОС.

На курсах мы дадим вам представление о том, как стать ИБ-шником, и поможем стартовать в этой сложной, но интересной отрасли.

Источник

Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.

Что такое информационная безопасность

Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.

Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.

Однако цифровую информацию тоже нужно защищать не только виртуально, но и физически. Антивирус не поможет, если посторонний похитит сам сервер с важными данными. Поэтому их ставят в охраняемые помещения.

За что отвечает информационная безопасность

Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.

Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.

Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

Какая бывает информация и как ее защищают

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Например, возьмем интернет-магазин. Карточки товаров, статьи в блоге, контакты продавца — все это общедоступная информация, ее может просматривать любой. Но интернет-магазин все равно нужно защищать, чтобы никто не нарушил его работу, например, не изменил важную информацию в карточках товаров или не «уронил» его сайт.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса.

Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»

Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»

Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.

Основные виды конфиденциальной информации

Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию. Мы подробно рассказывали об этом в статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать».

Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ.

Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.

Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, поставить защитное ПО, настроить шифрование.

Кратко об информационной безопасности и защите информации

  1. Информационная безопасность отвечает за защиту данных и обеспечивает их конфиденциальность, целостность и доступность.
  2. Конфиденциальность означает, что доступ к данным есть только у тех, кто имеет на это право.
  3. Целостность означает, что данные хранятся в неизменном виде и остаются достоверными.
  4. Доступность означает, что человек, у которого есть право на доступ к информации, может ее получить.
  5. Информационная безопасность защищает и конфиденциальные, и общедоступные данные. Общедоступным она обеспечивает целостность и доступность, конфиденциальным — еще и нужный уровень секретности.
  6. К конфиденциальной информации относятся персональные данные, коммерческая, профессиональная, служебная и государственная тайны.

Читать по теме:

  1. Защита персональных данных в облаке: как сделать всё по 152-ФЗ.
  2. Что угрожает безопасности бизнеса: 4 главные киберугрозы 2020 года.
  3. Westwing Russia: мы переехали из AWS в облако MCS, чтобы предлагать российским клиентам все необходимое.
Источник

Значение словосочетания «информационная безопасность»

  • Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере.

    В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

    Также важным аспектом информационной безопасности является определение и классификация возможных угроз безопасности.

Источник: Википедия

  • информационная безопасность

    1. юр. состояние защищённости личности, общества, государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве

Источник: Викисловарь

Делаем Карту слов лучше вместе

Привет! Меня зовут Лампобот, я компьютерная программа, которая помогает делать
Карту слов. Я отлично
умею считать, но пока плохо понимаю, как устроен ваш мир. Помоги мне разобраться!

Спасибо! Я стал чуточку лучше понимать мир эмоций.

Вопрос: басок — это что-то нейтральное, положительное или отрицательное?

Ассоциации к слову «информационный»

Ассоциации к слову «безопасность»

Синонимы к словосочетанию «информационная безопасность»

Предложения со словосочетанием «информационная безопасность»

  • Требования к безопасности – всё, что касается обеспечения информационной безопасности и защиты информации, включая требования по криптографической защите.
  • Но вот уже более 10 лет она разрабатывает системы информационной безопасности.
  • По мнению и российских, и зарубежных экспертов в области информационной безопасности, все необходимые предпосылки для решения подобных задач имеются уже на сегодняшний день.
  • (все предложения)

Цитаты из русской классики со словосочетанием «информационная безопасность»

  • Но, по мере того как поднимались они в гору и приближались к Гефсиманскому саду, где в безопасности и тишине уже провели столько ночей, они делались смелее.
  • Люди этой партии говорили и думали, что всё дурное происходит преимущественно от присутствия государя с военным двором при армии, что в армию перенесена та неопределенная, условная и колеблющаяся шаткость отношений, которая удобна при дворе, но вредна в армии; что государю нужно царствовать, а не управлять войском, что единственный выход из этого положения есть отъезд государя с его двором из армии; что одно присутствие государя парализирует 50 тысяч войска, нужных для обеспечения его личной безопасности; что самый плохой, но независимый главнокомандующий будет лучше самого лучшего, но связанного присутствием и властью государя.
  • Уже Депутаты Российские сообщали друг другу свои мысли о предметах общего Уложения, и жезл Маршала гремел в торжественных их собраниях. Екатерина невидимо внимала каждому слову, и Россия была в ожидании… Но Турецкая война воспылала, и Монархиня обратила Свое внимание на внешнюю безопасность государства.
  • (все
    цитаты из русской классики)

Сочетаемость слова «безопасность»

  • государственная безопасность
    национальная безопасность
    собственная безопасность
  • безопасность страны
    безопасность государства
    безопасность движения
  • служба безопасности
    обеспечение безопасности
    ремень безопасности
  • безопасность требует
  • чувствовать себя в безопасности
    обеспечить безопасность
    позаботиться о чьей-либо безопасности
  • (полная таблица сочетаемости)

Понятия со словосочетанием «информационная безопасность»

  • Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом…

  • Информационная безопасность — это дисциплина, изучающая защиту целостности, доступности и конфиденциальности информации.

  • Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.

  • Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации.

  • Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.

  • (все понятия)

Афоризмы русских писателей со словом «безопасность»

  • Задача человека в этой жизни отречься от всего противоречивого в самом себе, т.е. личного, эгоистического, для возможности служения разуму, для уничтожения внутреннего противоречия жизни, в чем одном он находит полное удовлетворение, безопасность, бесстрашие и спокойствие перед смертью. Если он не исполняет этой задачи, он остается во внутреннем противоречии личной жизни и уничтожает себя, как уничтожает себя всякое противоречие.
  • (все афоризмы русских писателей)

Отправить комментарий

Дополнительно

Источник

Основы информационной безопасности:

Скажите, ведь правда, бесит, когда пытаешься зарегистрироваться на каком-нибудь сайте, где нужно придумать пароль, а вам раз за разом показывают сообщение «ваш пароль ненадежен, придумайте новый»?! Придумать-то можно, а вот запомнить будет проблематично, поэтому большинство людей предпочитают пароли попроще, что-то вроде 1234 или 12345678, если сайт требует не меньше 8 символов.

На самом деле, сложные пароли – это вовсе не прихоть владельцев сайта, а обеспечение информационной безопасности пользователей ресурса. Возможно, слишком сложная система информационной безопасности для какого-нибудь онлайн-караоке является избыточной. В наихудшем случае злобные хакеры могут перемешать минусовки в вашем плейлисте и спеть вместо вас, повергнув в недоумение ваших немногочисленных фанатов из числа таких же любителей петь, как и вы.

А вот если речь идет об электронном документообороте серьезной организации, «облачном» хранении важных данных, секретной переписке в мессенджерах, тут информационная безопасность не прихоть, а необходимость. Не говоря уже о защите данных, составляющих государственную тайну, или секретные разработки в сфере обороноспособности страны.

Про доктрину информационной безопасности Российской Федерации мы обязательно поговорим отдельно, а пока приглашаем вас на наши программы «Лучшие техники самообразования» и «Профайлинг», которые научат вас ориентироваться, в числе прочего, в ситуациях, когда нужно подумать о собственной безопасности дополнительно, а когда не поддаваться панике. Итак, наша сегодняшняя тема – информационная безопасность.

Что такое информационная безопасность: немного истории

Информационная безопасность – это система мер, направленная на предотвращение несанкционированного доступа, раскрытия, использования или уничтожения информации, представленной в электронном или любом другом виде. Например, сохраняемой на бумажных носителях, передаваемой в ходе телефонных переговоров или посредством радиосвязи.

Главная задача системы обеспечения информационной безопасности – это обеспечение разумного баланса конфиденциальности, целостности и доступности данных. Проще говоря, если закрыть данные полностью, хранить «за семью замками» и никого к ним не подпускать, тогда данные будут в целости и сохранности. Однако пользоваться какой-либо информацией в таком закрытом режиме будет затруднительно, а то и вовсе невозможно.

Поэтому, когда речь идет об информационной безопасности, нужно помнить, что безопасность данных – это не самоцель, а лишь средство достижения цели, которой служат данные. Любые данные собирают для чего-либо, для какого-то дела, и успех дела не должен страдать из-за искусственно затрудненного доступа. Тем более успех дела не должен страдать из-за несанкционированной утечки данных.

Поиск способов обеспечения информационной безопасности ведется с тех самых времен, как люди начали передавать друг другу информацию способами, не предполагающими личную беседу. Анналы истории и многотомник «Жизнь двенадцати Цезарей» сохранил свидетельства изобретения римским императором Гаем Юлием Цезарем собственного «шифра Цезаря» [С. Транквилл, 1993].

Параллельно с системами шифрования развивались системы дешифровки зашифрованных сообщений, а также их перехвата при пересылке. С появлением почты правительства стран начали создавать специальные организации, занятые просмотром (перлюстрацией) писем граждан.

Для справки: перлюстрация – это просмотр корреспонденции втайне от отправителя и получателя.

В Англии организация, занятая перлюстрацией? называлась «Тайная канцелярия». Истории этой структуры посвящена книга The evolution of British Sigint 1653-1939 Unknown Binding [J. Johnson, 1998]. В России аналогичные функции выполняли так называемые «черные кабинеты». Об их истории рассказывает книга «Черные кабинеты»: история российской перлюстрации. XVIII – начало XX века [В. Измозик, 2015].

Однако самой важной нуждающейся в защите информацией традиционно является военная тайна. Войны, подготовка к военным действиям стимулируют развитие систем обеспечения информационной безопасности. Шифровальная машина «Энигма», которая использовалась гитлеровской Германией в ходе Второй мировой войны, стала предметом интереса не только специалистов, но и кинематографистов.

В 1979 году мир увидел киноленту «Секрет Энигмы» режиссера Романа Венчика, в 2001 году вышел фильм «Энигма» режиссера Майкла Аптеда, а в 2014 году появился новый киношедевр «Игра в имитацию» режиссера Мортена Тильдума, также посвященный «Энигме».

Об истории развития всего, что связано с системами информационной безопасности, можно говорить до бесконечности. Однако пора перейти к наполнению понятия информационной безопасности. Учитывая то, что мы живем в цифровую эпоху, мы будем уделять повышенное внимание кибербезопасности, ее составляющим и всему, что с ней связано.

Области информационной безопасности: что защищать?

Итак, что подразумевает защита информационной безопасности? Что нужно защищать? В принципе, объектом защиты информационной безопасности может быть что угодно, от секретных разработок новейшего вооружения до переписки с любовницей в смартфоне.

В первую очередь под защитой должны находиться объекты критической инфраструктуры, то, без чего невозможна деятельность организации, компании, государства. Это, конечно же, средства связи и средства телекоммуникации, через которые обычно и происходит утечка данных.

Разумеется, нужную информацию можно получить не только из телефона и компьютера, но и путем старой доброй «прослушки», поэтому серьезные организации разрабатывают комплексную систему обеспечения информационной безопасности, включающую в себя защиту зданий и сооружений, занимаемых организацией, от постороннего проникновения и «прослушки».

В более широком понимании на государственном уровне к объектам критической инфраструктуры относятся все, которые обеспечивают стабильное функционирование энергетической отрасли, водоснабжения, транспорта, связи, здравоохранения, банковской сферы и всего, без чего невозможна нормальная каждодневная в сегодняшних условиях [smart-soft, 2020].

В целом, различают следующие категории объектов защиты:

  • Информация (цифровые и аналоговые сигналы, электронные данные).
  • Ресурсные объекты (системы программно-аппаратного обеспечения).
  • Физические объекты (постройки, оборудование, территории, коммуникации, прочее).
  • Пользовательские объекты, субъекты и владельцы информации.

Итак, мы разобрались, что входит в область информационной защиты и что именно нужно защищать. Узнать больше можно из статьи «Что такое информационная безопасность и какие данные она охраняет» [Е. Шпрингер, 2020]. Теперь второй вопрос – как защищать?

Система информационной безопасности: как защищать?

Для начала нужно рассмотреть основные угрозы информационной безопасности, потому что способ защиты выбирается, исходя из типа угрозы.

Разновидности угроз:

  • Естественные – те, что не зависят от человека (природные и техногенные катастрофы, пожары, землетрясения, наводнения, прочее).
  • Искусственные – те, что созданы человеком. Это преднамеренные угрозы (хакерское вмешательство) и непреднамеренные (неосторожность, некомпетентность).
  • Внутренние – те, что возникают внутри организации.
  • Внешние – те, что возникают за пределами организации.

Как защищаться от этих угроз? Тут нужно различать правовые, организационно-административные и технические аспекты. В свою очередь, технические средства подразумевают физическую, аппаратную, программную и криптографическую составляющие [smart-soft, 2020].

Понятие технических средств защиты:

  • Физические средства – функционирующие вне информационных систем и препятствующие свободному доступу к ним (датчики, замки, решетки, видеокамеры, видеорегистраторы и т.п.)
  • Аппаратные средства – встраиваемые устройства (контрольные системы, защита сервера и корпоративной сети, защита от прослушивания, средства обнаружения «прослушки», индикаторы поля, шумогенераторы, блокираторы диктофонов и телефонов и прочее).
  • Программные средства – специальный софт (антивирусы, в том числе «облачные», технологии Data Leak Prevention, SIEM-решения).
  • Криптографические – криптопровайдеры, VPN, формирование и проверка электронных ключей, электронных цифровой подписей и т.д.)

На всякий случай уточним значения некоторых терминов:

  • SIEM-решения – это объединение двух технологий: SIM для управления информацией о безопасности и SEM для управления событиями безопасности.
  • Data Leak Prevention – это технология профилактики утечки сведений, построенная на основе анализа потока данных, пересекающих некий условный «периметр» системы, находящейся под защитой.

Если сказать проще, когда дело касается безопасности электронных данных, тут техническим средством реализации выступают собственно компьютер, сервер и софт. Информационная безопасность организации подразумевает хранение данных на собственном или арендованном и защищенном от постороннего проникновения сервере, использование для обмена данными защищенного соединения и все, о чем мы говорили ранее.

Однако чисто физически пользователь имеет дело непосредственно с компьютером, программами, которые там инсталлированы, и сервисами, которые доступны с компьютера или телефона. Программы и сервисы запрашивают у пользователя пароль при входе, предлагают многоуровневую идентификацию, обновление антивируса и многое другое, что защищает виртуальные данные от несанкционированной утечки.

Это что касается технической стороны защиты информационной безопасности. Помимо этого, немаловажны организационно-административные меры, принимаемые в сфере информационной безопасности.

Если кратко, тут подразумевается круг лиц, который имеет доступ к информации, объемы и права доступа для каждого, установленные административно и затем реализованные технически, права доступа в помещения, где хранится находящаяся под защитой информация, компьютеры, сервер и т.д.

Другими словами, информационная безопасность организации подразумевает, в числе прочего, доступ к информационным сведениям только надежных проверенных лиц, имеющих должную квалификацию для работы с той или иной информацией, программным обеспечением, техническими устройствами.

И, наконец, правовой аспект. Информационная безопасность в РФ регулируется конституционными положениями и рядом законов: «Об информации», «О связи», «О государственной тайне» и другими.

Кроме того, в Российской Федерации принята Доктрина информационной безопасности [Электронный фонд правовых и нормативно-технических документов, 2016]. Для справки: доктрина – это некая концепция, теория, учение, руководящий теоретический или политический принцип.

Доктрина содержит определение национальных интересов, основных информационных угроз и направлений обеспечения информационной безопасности. Пройдемся кратко по основным положениям Доктрины.

Национальные интересы:

  • Права и свободы граждан, связанные с получением и использованием информации.
  • Неприкосновенность частной жизни.
  • Сохранность духовных ценностей.
  • Стабильная работа критической информационной инфраструктуры.
  • Дальнейшее развитие IT-сферы.
  • Донесение до общественности достоверной информации.
  • Содействие информационной безопасности на межгосударственном уровне.

Актуальные информационные угрозы:

  • Вредоносные воздействия на информационную инфраструктуру.
  • Деятельность спецслужб некоторых государств, связанная с технической разведкой.
  • Деятельность спецслужб некоторых государств с целью дестабилизации обстановки в России.
  • Предвзятая оценка ситуации в России в зарубежных СМИ.
  • Препятствия в работе российских журналистов за рубежом.
  • Недобросовестная пропаганда.
  • Киберпреступность в кредитно-финансовой сфере.
  • Посягательства на персональные данные.
  • Зависимость российской промышленности от зарубежных информационных технологий.
  • Недостаточный уровень собственных разработок.
  • Невозможность управления Интернетом на принципах справедливости и доверия между разными государствами.

Формулировки достаточно общие, как и положено для такого типа документа, как Доктрина. С другой стороны, такая обобщенность формулировок позволяет при желании «подтянуть» под них любые выгодные власти решения, в том числе блокировку практически любого интернет-ресурса.

Впрочем, вряд ли найдется государство, которое полностью приветствует невыгодную руководству страны трактовку политических событий, принимаемых решений, экономических последствий тех или иных решений и т.д. Слишком независимые или критично настроенные СМИ практически всегда в немилости власти. Однако, в зависимости от степени демократичности государства, немилость может выражаться просто в игнорировании или в уголовном преследовании по надуманным (не политическим!) основаниям.

Сейчас, после того как мы разобрались с основными аспектами информационной безопасности, встает вопрос: а как может обезопасить себя в информационной сфере обычный гражданин?

Личная информационная безопасность для всех и каждого

Итак, какая информационная безопасность или какой уровень информационной безопасности следует обеспечить для себя самостоятельно? Что делать, чтобы ваши персональные данные не попали туда, куда не нужно? Как обеспечить информационную безопасность детей?

Для начала уточним, что понимается под личной информационной безопасностью. Информационная безопасность личности – это способность и возможность оградить себя и свой внутренний мир от различных угроз в информационной сфере. Что это за угрозы? Давайте разбираться.

Угрозы личной информационной безопасности:

  • Внешние административные ограничения на получение и передачу информации (цензура СМИ, запрет на доступ к какому-либо сегменту данных, блокировка соцсетей, ограничение доступа к отдельным онлайн-ресурсам).
  • Технические сбои и недоступность данных по техническим причинам.
  • Утечки данных из-за собственной неосторожности либо в результате целенаправленных действий злоумышленников.
  • Использование сторонними лицами ваших личных данных из открытых источников в корыстных и преступных целях.

Последний пункт, пожалуй, стоит пояснить подробнее. Сегодня даже профессиональная разведка до 90% данных берет из открытых источников, и только 10% сведений добывает из закрытых для общего доступа возможностей [Pentagonus, 2009]. Что тогда говорить об обычных квартирных ворах и мошенниках?

Нередки случаи, когда отъезд семьи в полном составе на курорт отслеживали просто через соцсети, где члены семьи хвастались купленными авиабилетами и фотками из каталога отеля, где собрались отдыхать. Ворам оставалось дождаться нужной даты и «обнести хату», имея в запасе еще 10 дней на то, чтобы скрыться и «замести следы», пока хозяева вернутся из отпуска и заявят в полицию по поводу ограбления.

Однако если вы не делитесь личной информацией в публичной плоскости и не слишком разговорчивы от природы, это еще не значит, что вам ничего не угрожает. Зная только ваш электронный адрес, можно добыть немало информации о вас на просторах Интернета.

Технические подробности процесса – это тема для отдельной и весьма объемной статьи. Интересующимся можем предложить изучить материал «Сбор информации из открытых источников – как видят вас потенциальные злоумышленники?» [А. Борисов, 2019].

Проще говоря, если ваше финансовое положение и материальный достаток представляют хоть какой-то интерес, до вас всегда могут попытаться «добраться». Например, выслать заманчивое с учетом ваших наклонностей предложение с пересылкой якобы на сайт фирмы, а на самом деле на сайт с похожими на оригинальные фирменные доменом и дизайном.

И вам всего-то нужно перевести нужную сумму, чтобы желанный товар с большой скидкой приехал вам прямо домой. Так заодно выяснят и ваш реальный адрес проживания. Наверное, далее излишне говорить, что деньги уйдут мошенникам, товар вы не получите, а кто наведается по вашему адресу с целью выяснить, когда вы бываете дома, тоже большой вопрос.

Что делать, чтобы защитить свою информационную безопасность? Сразу скажем, что если вы желаете приобщиться к благам цивилизации и пользоваться всеми возможностями цифровых технологий, полностью застраховать себя от утечки данных вряд ли получится. Как минимум, вы вынуждены оставлять имя и контактный телефон каждый раз, когда заказываете что-либо в интернет-магазине.

И даже при полном цифровом минимализме гарантировать отсутствие «прослушки» вашего телефона, если вы кому-то интересны на предмет мошенничества, тоже невозможно. Хотя некоторые способы, «Как узнать, прослушивается ли ваш мобильный телефон» найти можно [О. Медведева, 2020].

Как же минимизировать риски в условиях всюду подстерегающих цифровых опасностей? Приведем несколько советов от экспертов, «Как защититься обычному пользователю» и чему стоит научить в плане обеспечения информационной безопасности детей [Positive Technologies, 2020].

Топ-10 советов по обеспечению личной информационной безопасности:

  1. Использовать лицензионный софт (программы, антивирусы) и своевременно его обновлять.
  2. Задействовать двухфакторную аутентификацию, если сервис предлагает такую возможность.
  3. Предпочитать сложные пароли, разные для разных сервисов, и менять их раз в полгода-год.
  4. Для повседневной работы в операционной системе использовать учетную запись без привилегий администратора.
  5. Во избежание потери информации дублировать ее на жестком диске и в облачном хранилище с защищенным доступом.
  6. Не открывать или проверять антивирусом перед открытием все письма от незнакомых адресатов.
  7. Воздержаться от перехода по ссылкам, присланным от незнакомых адресатов.
  8. Воздержаться от перехода по ссылкам, содержащимся во «всплывающей» рекламе, даже если название рекламируемой фирмы вам знакомо.
  9. Воздержаться от скачивания файлов с подозрительных сайтов. В частности, слишком «забитых» рекламой или навязчиво предлагающих посетить другой ресурс.
  10. Совершать онлайн-платежи только с проверенных сервисов и предварительно удостоверившись, что они действительно принадлежат той компании, которой вы собираетесь оплатить за товар или услугу.

Это советы на уровне программы. На уровне «железа» часто можно встретить советы заклеить или еще каким-то образом закрыть камеру смартфона и ноутбука, когда вы ей не пользуетесь. В принципе, можно просто не давать доступ к камере, микрофону и файлам на жестком диске всем приложениям подряд, которые его запрашивают.

Однако если какая-то шпионская программа «прорвется» через антивирусное «заграждение», это уже не поможет. А вот специальная «шторка» или обычная изолента с кусочком картона, чтобы не оставить клеевых пятен на оптике, поможет от видеофиксации ваших действий точно. Во всяком случае, Роскачество рекомендует поступать именно таким образом [М. Герасюкова, 2019].

Это вкратце все, что мы хотели поведать вам об основах информационной безопасности. Тема, разумеется, намного шире, и вам будет разобраться в ней намного легче, если вы пройдете наши программы «Лучшие техники самообразования» и «Профайлинг». Мы желаем, чтобы вам ничто никогда не угрожало ни в реальном, ни в виртуальном мире! И просим ответить на вопрос по теме статьи:

Источник

Понравилась статья? Поделить с друзьями:
  • Как пишется информатика на английском языке
  • Как пишется инфопродукт
  • Как пишется инфо на английском
  • Как пишется инфлюэнция
  • Как пишется инфицированная рана