- Содержание
- Основные понятия информационной безопасности
Основные понятия информационной безопасности¶
Введение¶
Прежде чем управлять безопасностью, нужно говорить на одном языке.
«Угроза», «уязвимость», «риск», «актив» — эти слова часто используют как синонимы, но в ИБ каждое из них означает строго определённое понятие.
Путаница в терминах ведёт к ошибочным решениям: защищают не то, тратят деньги не там, где риск наиболее высок.
Эта тема закладывает понятийный фундамент всего курса.
Если вы уже знакомы с разграничением «обеспечение vs управление ИБ» — отлично, эта тема его углубляет.
Если нет — рекомендуем начать с 0. Обеспечение vs управление ИБ.
Что такое информационная безопасность¶
Информация — один из ключевых активов организации. Она существует в разных формах:
хранится на серверах и ноутбуках, передаётся по сетям, печатается на бумаге, обсуждается на переговорах. Все эти формы требуют защиты.
В широком смысле информационная безопасность (ИБ) — это состояние защищённости информационной среды общества, обеспечивающее её формирование, использование и развитие в интересах граждан, организаций, государства.
В узком (прикладном) смысле — это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий, которые могут нанести неприемлемый ущерб субъектам информационных отношений.
Ключевое слово — «неприемлемый». Застраховаться от всех видов ущерба невозможно и экономически нецелесообразно. Задача ИБ — снизить ущерб до допустимого уровня, а не до нуля. Именно поэтому в основе управления ИБ лежит оценка рисков, а не стремление защититься от всего подряд.
Защита информации — комплекс мероприятий, направленных на обеспечение ИБ.
Важно понимать: приоритеты в ИБ зависят от типа организации.
Банк в первую очередь защищает целостность платёжных поручений.
Интернет-провайдер — доступность своих сервисов.
Государственное ведомство — конфиденциальность секретных данных.
Универсального рецепта нет — приоритеты определяются через анализ рисков конкретной организации.
Методология анализа и оценки рисков подробно рассмотрена
в теме 5. Управление рисками ИБ.
Триада КДЦ: три свойства информации¶
Классическая модель информационной безопасности строится вокруг трёх свойств — конфиденциальности, целостности и доступности.
Конфиденциальность¶
Конфиденциальность — защита информации от несанкционированного доступа.
Информация доступна только тем, кто имеет на это право.
Примеры нарушения: утечка базы клиентов, перехват переписки, несанкционированный доступ к медицинским записям.
Обеспечивается криптографией, управлением доступом, организационными мерами по предотвращению утечек.
Технические механизмы обеспечения конфиденциальности — шифрование и управление доступом — рассмотрены в темах 9. Управление доступом и 10. Аудит и криптография.
Целостность¶
Целостность — защита информации от несанкционированного изменения или уничтожения.
Информация корректна, полна и изменяется только авторизованными субъектами.
- Статическая — неизменность информационных объектов (файлов, записей БД).
- Динамическая — корректное выполнение сложных операций (транзакций):
защита от перехвата, подмены, переупорядочения сообщений.
Целостность критична там, где информация служит «руководством к действию»:
рецептура лекарств, технологические процессы, финансовые поручения, тексты нормативных актов. Нарушение целостности здесь может быть буквально смертельным.
Доступность¶
Доступность — возможность за приемлемое время получить требуемую информационную услугу авторизованным пользователем.
Для большинства организаций доступность — самый приоритетный аспект ИБ.
Если система недоступна, все остальные меры теряют смысл.
Примеры нарушения: DDoS-атака, сбой оборудования, уничтожение данных без резервной копии, недоступность облачного провайдера.
Обеспечение непрерывности работы и восстановления после катастроф рассмотрено в теме 11. Непрерывность бизнеса.
Что важнее?¶
Приоритет между тремя свойствами зависит от контекста:
| Тип организации | Приоритет №1 | Обоснование |
|---|---|---|
| Банк, платёжная система | Целостность | Подмена реквизитов в платёжном поручении — прямые финансовые потери |
| Интернет-провайдер, e-commerce | Доступность | Простой сервиса = потеря выручки и клиентов |
| Государственное ведомство, спецслужба | Конфиденциальность | Утечка секретных данных — угроза государственной безопасности |
| Медицинская организация | Целостность + Доступность | Ошибка в диагнозе или недоступность системы — угроза жизни |
Правильно расставить приоритеты можно только по результатам анализа деятельности конкретной организации и оценки рисков.
Объект защиты: что именно мы защищаем¶
Информационная система¶
Информационная система (ИС) — взаимосвязанная совокупность средств, методов и персонала, которые используются для хранения, обработки, передачи и получения информации в интересах достижения поставленной цели.
Понятие ИС охватывает: отдельные ЭВМ, вычислительные комплексы, локальные и глобальные сети.
Предмет защиты в ИС — информация. Её материальными носителями являются: серверы, рабочие станции, сетевое оборудование, флеш-накопители, оптические диски, бумажные документы.
Объект защиты шире, чем «желез
Часто ошибочно считают, что защищать нужно только устройства и данные на них.
На самом деле объект защиты включает:
| Компонент | Примеры |
|---|---|
| Информационные ресурсы | Базы данных, документы, коммерческая тайна, персональные данные |
| Программное обеспечение | ОС, бизнес-приложения, средства защиты |
| Аппаратное обеспечение | Серверы, сетевое оборудование, носители информации |
| Поддерживающая инфраструктура | Электропитание, кондиционирование, каналы связи |
| Персонал | Сотрудники с их знаниями, доступом и поведением |
| Помещения и территория | Серверные комнаты, офисы, периметр здания |
Персонал — особый объект защиты. Сотрудники одновременно являются носителями информации и потенциальным источником угроз — как намеренных, так и случайных. По статистике, до 65% потерь — следствие непреднамеренных ошибок персонала.
Организационные меры работы с персоналом рассмотрены в теме 8. Организационные меры.
Система защиты информации¶
Система защиты информации (СЗИ) в ИС — единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищённость информации в соответствии с принятой политикой безопасности.
Меры защиты значительно дешевле и эффективнее, если они встроены в ИС на этапе проектирования, а не добавлены к уже готовой системе.
Это же правило работает и в разработке ПО — концепция Shift Left Security рассмотрена в теме 12. Безопасность в разработке.
Система управления информационной безопасностью (СУИБ)¶
Обеспечение ИБ — непрерывный процесс. Средства защиты нуждаются в постоянном контроле и обновлении: появляются новые угрозы, меняется инфраструктура, обновляется законодательство.
Согласно ISO 27001, СУИБ(система управления информационной безопасностью) — это часть общей системы управления организацией, основанная на оценке бизнес-рисков, которая создаёт, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности.
СУИБ включает: организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.
Зачем внедрять СУИБ¶
Для компании в целом:- повышение управляемости и защищённости ключевых бизнес-процессов;
- рост доверия со стороны партнёров и клиентов;
- упрощение выхода на внешние рынки (сертификат ISO 27001 признаётся международно);
- соответствие требованиям регуляторов и законодательства.
- систематизация процессов ИБ и расстановка приоритетов;
- управление рисками в рамках единой корпоративной политики;
- снижение числа инцидентов и операционных потерь.
Практические этапы построения СУИБ — от инвентаризации активов до сертификации — подробно рассмотрены в теме 6. Создание СУИБ.
Нормативная основа — стандарт ISO 27001 — в теме 4. Стандарты управления.
Краткий глоссарий¶
Ключевые термины, которые используются на протяжении всего курса:
| Термин | Определение | Где подробнее |
|---|---|---|
| Актив | Всё, что представляет ценность для организации и требует защиты | 5. Управление рисками |
| Угроза | Потенциальный источник нежелательного события, способного нанести ущерб | 2. Угрозы |
| Уязвимость | Слабое место в системе, которое может быть использовано угрозой | 2. Угрозы |
| Риск | Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба | 5. Управление рисками |
| Контроль (контрмера) | Мера или средство, снижающее риск | 6. Создание СУИБ |
| Инцидент ИБ | Реализованная угроза, повлёкшая или способная повлечь ущерб | ISM |
| Политика ИБ | Документ, определяющий цели, принципы и правила обеспечения ИБ | 7. Правовые меры |
| СУИБ (ISMS) | Система управления ИБ на основе оценки рисков (ISO 27001) | 6. Создание СУИБ |
Что дальше¶
Разобравшись с базовыми понятиями, переходим к тому, от чего именно мы защищаем информацию — к классификации угроз и уязвимостей.
- Следующая тема: 2. Угрозы — классификация угроз, модель нарушителя, угрозы доступности, целостности и конфиденциальности
- Оценка рисков: 5. Управление рисками ИБ — как количественно и качественно оценить угрозы для конкретной организации
- Стандарты: 3. Оценочные стандарты — как оценивается уровень защищённости ИС по ISO 15408 и «Оранжевой книге»
Список литературы и стандартов¶
- ISO/IEC 27000:2018 — Системы менеджмента ИБ. Обзор и словарь
- ISO/IEC 27001:2022 — Требования к системам управления информационной безопасностью
- ГОСТ Р ИСО/МЭК 27000-2021 — Информационные технологии. Системы менеджмента ИБ. Общий обзор и терминология
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Anderson R. — Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020
- Whitman M., Mattord H. — Management of Information Security. 6th ed. Cengage, 2021
Обновлено С. Антошкин 16 дня назад · 26 изменени(я, ий)