Вы находитесь на странице: 1из 5

Информационная безопасность 

– это сохранение и защита информации, а также ее


важнейших элементов, в том числе системы и оборудование, предназначенные для
использования, сбережения и передачи этой информации. Другими словами, это набор
технологий, стандартов и методов управления, которые необходимы для защиты
информационной безопасности.

Цель обеспечения информационной безопасности – защитить информационные


данные и поддерживающую инфраструктуру от случайного или преднамеренного
вмешательства, что может стать причиной потери данных или их несанкционированного
изменения. Информационная безопасность помогает обеспечить непрерывность бизнеса.

Для успешного внедрения систем информационной безопасности на предприятии


необходимо придерживаться трех главных принципов:

Конфиденциальность, целостность и доступность, также известная как триада CIA, – это


модель, разработанная для управления политиками информационной безопасности в
организации. Эту модель также иногда называют триадой AIC (доступность, целостность и
конфиденциальность), чтобы избежать путаницы с Центральным разведывательным
управлением. Элементы триады считаются тремя наиболее важными компонентами
безопасности.

В этом контексте конфиденциальность – это набор правил, ограничивающих


доступ к информации, целостность – это гарантия достоверности и точности
информации, а доступность – гарантия надежного доступа к ней
уполномоченных лиц.

Конфиденциальность – свойство информации, гарантирующее, что доступ к информации


имеет доступ только определенные лица.
Например. В фирме «Рога и копыта» есть информация, а именно отчет о продажах. Доступ
имеют только сотрудники отдела продаж и бухгалтерии. Причем сотрудники отдела продаж
имеют ко всей информации (более подробно будет описано ниже), а бухгалтерия только к
окончательным расчетам (чтобы рассчитать налоги с продаж.).
Таким образом, конфиденциальность означает не только доступ к информации, но и
разграничение доступа к информации, то Петров имеет доступ к одной части информации,
Сидоров ко второй, а Иванов ко всей информации.

Целостность – свойство информации, гарантирующее, что только определенные лица могут


менять информацию.
Например. Продолжим пример с фирмой «Рога и Копыта» и с их отчетом по продажам. Как
было ранее сказано Отдел продаж имеет доступ ко всей информации, а бухгалтерия только к
определенной части. Но для безопасности это еще мало. Необходимо еще и разграничить
доступ среди Отдела продаж. В отделе есть два специалиста Сидоров и Петров, у каждого
свой отчет. Необходимо чтобы каждый мог иметь право записи только в свой отчет. Вдруг
Петров занизит продажи Сидорова.
Еще хороший пример.
Фирма «Рога и Копыта» создала и отправила платеж по ДБО в свой банка, однако хакер Вася
перехватил платеж и в поле получателя вставил номер своего счета. Это прямое нарушение
целостности. Чтобы такого не произошло необходимо предпринимать ряд мер, к примеру,
ЭЦП.

Доступность – свойство информации, гарантирующее, что лица имеющие доступ к


информации в нужный момент смогут получить доступ.
Например. Генеральный директор фирмы «Рога и Копыта» в понедельник утром пришел на
работу, включил компьютер и с удивлением обнаружил, что не может открыть базу отдела
продаж по продажам. Так что же произошло? Элементарно, Ватсон! В воскресенье ночью в
потолке прорвало трубу, вода попала в компьютер, где хранилась база, и жесткий диск
благополучно сгорел. Так как директор никогда не слышал про информационную
безопасность, а локальная сеть была создана студентом, не было ни резервной копии, ни
избыточности в виде RAID. Это самый простой пример, можно привести кучу примеров,
сайт компании не был доступен и клиент не смог открыть сайт одной компании, но открыл
сайт другой и естественно купил продукт второй компании.

Одной из наиболее популярных альтернатив триаде КЦД является так называемая гексада
Паркера (Parkerian Hexad), в которой определено шесть базовых видов нарушений, в число
которых, помимо нарушений конфиденциальности, доступности и целостности, входят еще
три вида нарушений: аутентичности, владения и полезности

Аутентичность (authenticity) — это состояние системы, при котором


пользователь не может выдать себя за другого, а документ всегда имеет
достоверную информацию о его источнике (авторе). Из этого определения
видно, что аутентичность является аналогом неотказуемости.

Владение (possession) — это состояние системы, при котором физический

контроль над устройством или другой средой хранения информации

предоставляется только тем, кто имеет на это право.

Полезность (utility) — это такое состояние Информационной Системы, при

котором обеспечивается удобство практического использования как собственно

информации, так и связанных с ее обработкой и поддержкой процедур. В

безопасной системе меры, предпринимаемые для защиты системы, не должны

неприемлемо усложнять работу сотрудников, иначе они будут воспринимать их

как помеху и пытаться при всякой возможности их обойти.

Еще одним вариантом определения безопасности ИС является модель STRIDE

(аббревиатура от англоязычных названий типов нарушений безопасности,


перечисленных ниже). В соответствии с этой моделью ИС находится в

безопасности, если она защищена от следующих типов нарушений: подмены

данных, изменения, отказа от ответственности, разглашения сведений, отказа в

обслуживании, захвата привилегий.

Еще одним вариантом определения безопасности ИС является модель STRIDE (аббревиатура


от англоязычных названий типов нарушений безопасности, перечисленных ниже). В
соответствии с этой моделью ИС находится в безопасности, если она защищена от
следующих типов нарушений: подмены данных, изменения, отказа от ответственности,
разглашения сведений, отказа в обслуживании, захвата привилегий.

Spoofing — Подмена;

Tampering — Изменение данных;

Repudiation — Отказ от ответственности;

Information disclosure — разглашения сведений;

Denial of service -отказ в обслуживании;

Elevation of privilege — захват привилегий.

Подмена данных (spoofing) — это такое нарушение, при котором пользователь


или другой субъект ИС путем подмены данных, например IP-адреса отправителя,
успешно выдает себя за другого, получая таким образом возможность
нанесения вреда системе.

Изменение (tampering) означает нарушение целостности.

Отказ от ответственности (repudiation) представляет собой негативную

форму уже рассмотренного нами свойства неотказуемости (non-repudiation).

Разглашение сведений (information disclosure) — это нарушение

конфиденциальности.

Отказ в обслуживании (denial of service) касается нарушения доступности.

Захват привилегий (elevation of privilege) заключается в том, что

пользователь или другой субъект Информационной Системы


несанкционированным образом повышает свои полномочия в системе, в

частности незаконное присвоение злоумышленником прав сетевого

администратора снимает практически все защитные барьеры на его пути.

Другими базовыми понятиями информационной безопасности являются угроза, атака и


ущерб.

Угроза (threat) — набор обстоятельств и действий, которые потенциально могут

привести к нарушению безопасности системы (то есть к нарушению ее

конфиденциальности, целостности и доступности, если пользоваться моделью

КЦД),

Атака (attack) — это реализованная угроза.

Ущерб (loss, impact) — это негативное влияние на систему, оказываемое

проведенной атакой.

В качестве ущерба рассматриваются не только и не столько потери, связанные с

восстановлением работы ИС, в частности серверов, файловой системы или

системы аутентификации, — главное внимание должно быть уделено потерям,

которые в результате этих нарушений понесло предприятие, строящее свой

бизнес на базе этой ИС.

Атака может произойти только тогда, когда одновременно существуют

уязвимость и направленная на использование этой уязвимости угроза (рис. 1).

То есть вполне возможна ситуация, когда система имеет некую уязвимость, но эта уязвимость
еще не стала известной злоумышленникам — в данном случае соответствующая угроза
отсутствует, а значит, и атака не может быть проведена. Аналогично, существование
общеизвестной угрозы не влечет никакой опасности для системы, в которой нет
соответствующей уязвимости. Например, появление информации о некоторой ошибке в коде
ОС Windows может породить угрозу, но атака не осуществится, если эта уязвимость будет
быстро устранена.

Методы обеспечения инфобезопасности делятся на технические,


административные, правовые и физические . Расскажем подробнее о каждом из
них.
Технические
К техническим средствам защиты относятся межсетевые экраны, антивирусные
программы, системы аутентификации и шифрования, регламентирование доступа
к объектам (каждому участнику открывается персональный набор прав и
привилегий, согласно которым они могут работать с информацией — знакомиться
с ней, изменять, удалять).

Административные
К этой группе защитных мер относят, например, запрет на использование
сотрудниками собственных ноутбуков для решения рабочих задач. Простая мера,
но благодаря ей снижается частота заражения корпоративных файлов вирусами,
сокращаются случаи утечки конфиденциальных данных.

Правовые
Пример хорошей превентивной меры из сферы законодательства — ужесточение
наказаний за преступления в области информационной безопасности. Также к
правовым методам относится лицензирование деятельности в области обеспечения
инфобезопасности и аттестация объектов информатизации.

Физические
К физическим средствам защиты относятся охранные системы, замки, сейфы,
камеры наблюдения. Достаточно сравнить, какая информация защищена лучше —
та, которая записана на жестком диске компьютера, работающего в сети или та, что
записана на съемный носитель, запертый в сейфе.

Вам также может понравиться