Понятие информационной безопасности и услуг безопасности

Информационная безопасность – практика предотвращения

несанкционированного доступа к данным (использования, раскрытия,
искажения, изменения, исследования, записи или уничтожения). В
общем случае форма представления данных может быть произвольной:
цифровая, физическая или знания).
Основная задача информационной безопасности –
сбалансированная защита конфиденциальности, целостности и
доступности данных, с учетом целесообразности применения и без
какого-либо ущерба производительности организации. Это достигается,
в основном, посредством многоэтапного процесса управления рисками,
который позволяет идентифицировать основные средства и
нематериальные активы, источники угроз, уязвимости, потенциальную
степень воздействия и возможности управления рисками. Этот процесс
сопровождается оценкой эффективности плана по управлению рисками.
Для того, чтобы стандартизировать эту деятельность, научное и
профессиональное сообщества находятся в постоянном сотрудничестве,
направленном на выработку базовой методологии, политик и
индустриальных стандартов в области технических мер защиты
информации, юридической ответственности, а также стандартов
обучения пользователей и администраторов. Эта стандартизация в
значительной мере развивается под влиянием широкого спектра
законодательных и нормативных актов, которые регулируют способы
доступа, обработки, хранения и передачи данных.
АС – автоматизированная система обработки информации
ИБ – информационная безопасность
СЗИ – система защиты информации
КСЗИ – комплексная система защиты информации
ТЗИ – техническая защита информации
НСД – несанкционированный доступ
 Разница между информацией и данными
Если выражаться абстрактно/грубо то можно использовать любой
термин, они похожи. Если выражаться конкретно/строго то существует
принципиальная разница.
Информация – знания которыми владеет разумное существо,
полученные в результате осязания, обоняния, озарения, ослушания.
Данные – полезный сигнал или запись, которые могут быть
интерпретированы, например, радиоволна, сотовая связь, звуковая
волна, цифровой файл на диске, текст на бумаге, картина на стене и т. п.

Услуги информационной безопасности

● Конфиденциальность – невозможность чтения данных
неавторизованными лицами, сущностями или процессами;
● Целостность – невозможность модификации данных
неавторизованными лицами, сущностями или процессами;
● Доступность – возможность получения данные или
обслуживание лицами, сущностями или процессами, у
которых есть соответствующие права в необходимое для них
время;
● Подлинность (справжнiсть/authenticity) – гарантия того, что
субъект или ресурс идентичны заявленным;
● Достоверность (reliability) – обеспечение соответствия
предусмотренному поведению или результату;
● Подотчетность (accountability) – обеспечение идентификации
субъекта доступа и регистрации его действий;
● Невозможность отказа (неспростовнiсть/non-repudiation) –
возможность удостоверять имевшее место событие или
действие и их субъекты так, чтобы это событие или действие
и субъекты, имеющие к нему отношение, не могли быть
поставлены под сомнение или отвергнуты.
Виды конфиденциальных данных:
● Личные данные (персональные данные граждан, право на
личную жизнь, переписку, сокрытие личности)
 ● Служебные данные (доступ к которым может ограничить
только государство)
● Судебные​ данные (тайна следствия и судопроизводства)
● Коммерческие данные (доступ к которым ограничивается
законом или предприятием, секретные разработки,
технологии производства и т. д.)
● Профессиональные данные (данные, связанные с
деятельностью граждан, например, врачебная, нотариальная
или адвокатская тайна, разглашение которой преследуется
по закону)

Модель нарушителя и модель угроз в общем виде

Угроза – это возможные или действительные попытки завладеть
защищаемыми информационными ресурсами. Источниками угрозы
сохранности конфиденциальных данных являются
компании-конкуренты, злоумышленники, органы управления и т. п.
Угрозы бывают внутренними или внешними. Внешние угрозы
представляют собой попытки получить доступ к данным извне и
сопровождаются взломом серверов, сетей, аккаунтов работников и
считыванием информации из технических каналов утечки (акустическое
считывание с помощью жучков, камер, наводки на аппаратные средства,
получение виброакустической информации из окон и архитектурных
конструкций).
Внутренние угрозы подразумевают неправомерные действия
персонала, рабочего отдела или управления фирмы. В результате
пользователь системы, который работает с конфиденциальной
информацией, может выдать информацию посторонним. На практике
такая угроза встречается чаще остальных. Работник может годами
«сливать» конкурентам секретные данные. Это легко реализуется, ведь
действия авторизованного пользователя администратор безопасности не
квалифицирует как угрозу.
Одним из необходимых условий для построения надежной
информационной системы является разработка ее политики
безопасности, для которой зачастую используются описания модели
угроз и модели нарушителя информационной безопасности.
Модель угроз представляет собой структурированное описание
возможных угроз (источники возникновения угрозы, на нарушение
каких услуг информационной безопасности направлена та или иная
угроза, возможные способы осуществления).
Модель нарушителя представляет собой структурное описание
(характеристику) нарушителя (категория, к которой может относится
нарушитель, его цели, возможности и уровень осведомленности). Для
полноты модели нарушителя также рассматриваются техническая
обеспеченность и квалификация нарушителя.
Также стоит отметить, что нарушитель может являться
участником системы и может принимать участие в управлении ею,
воздействовать на соответствующее оборудование с целью его
модификации и т. д. Иначе говоря, практически не существует
ограничений на действия нарушителя по отношению к системе. Однако,
несмотря на все вышеперечисленное, предполагается, что
злоумышленник не может:
– обладать бесконечно большими ресурсами (память,
вычислительная мощность, материальные ценности)
– обладать сверхспособностями наподобие (телепатия,
телепортация, невидимость, мгновенный подбор или угадывание
секретов и т. п.)

Общие принципы защиты информации

1. Принцип законности. Здесь меры обеспечения
функционирования предприятия разрабатываются на основе и в рамках
действующих правовых актов. Правовые акты предприятия не должны
противоречить государственным законам и подзаконным актам.
2. Принцип превентивности, т.е. упреждения. Содержание этого
принципа предполагает своевременное выявление тенденций и
предпосылок, способствующих развитию угроз. На основе анализа этих
угроз вырабатываются соответствующие профилактические меры по
недопущению возникновения реальных угроз.
3. Принцип обоснованности защиты информации. Выполнение
этого принципа заключается в установлении путем экспертной оценки
целесообразности засекречивания и защиты той или другой
информации, вероятных экономических и других последствий такой
защиты исходя из баланса жизненно важных интересов государства,
общества и граждан.
4. Принцип непрерывности, т.е. защита информации происходит
на регулярной основе (постоянно). Защита информации – это не разовое
мероприятие, а непрерывный целенаправленный процесс,
предполагающий принятие соответствующих мер на всех этапах
жизненного цикла АС.
5. Принцип системности. Системный подход к защите
компьютерных систем предполагает необходимость учета всех
взаимосвязанных, взаимодействующих и изменяющихся во времени
элементов, условий и факторов, существенно значимых для понимания
и решения проблемы обеспечения безопасности АС.
6. Принцип комплексности. В распоряжении специалистов по
компьютерной безопасности имеется широкий спектр мер, методов и
средств защиты компьютерных систем. Комплексное их использование
предполагает согласованное применение разнородных средств при
построении целостной системы защиты, перекрывающей все
существенные каналы реализации угроз и не содержащей слабых мест
на стыках отдельных ее компонентов.
7. Принцип разумной достаточности. Создать абсолютно
непреодолимую систему защиты принципиально невозможно. При
достаточном количестве времени и средств можно преодолеть любую
защиту. Поэтому имеет смысл вести речь только о некотором
приемлемом уровне безопасности.
8. Принцип экономической целесообразности. Подразумевает, что
средства, затраченные на защиту информации, не должны превышать
стоимости информации.
 9. Принцип обоснованности доступа. Данный принцип
заключается в обязательном выполнении двух основных условий:
пользователь должен иметь достаточную «форму допуска» для
получения информации требуемого им уровня конфиденциальности, и
эта информация необходима ему для выполнения его производственных
функций.
10. Принцип достаточной глубины контроля доступа. Средства
защиты информации должны включать механизмы контроля доступа ко
всем видам информационных и программных ресурсов системы,
которые с принципом обоснованности доступа следует разделять между
пользователями.
11. Принцип разграничения потоков информации. Для
предупреждения нарушения безопасности информации, которое,
например, может иметь место при записи секретной информации на
несекретные носители и несекретные файлы, ее передаче программам и
процессам, не предназначенным для обработки секретной информации,
а также при передаче секретной информации по незащищенным
каналам и линиям связи, необходимо осуществлять соответствующее
разграничение потоков информации.
12. Принцип чистоты повторно используемых ресурсов. Данный
принцип заключается в очистке ресурсов, содержащих
конфиденциальную информацию, при их удалении или освобождении
пользователем до перераспределения этих ресурсов другим
пользователям.
13. Принцип персональной ответственности. Каждый
пользователь должен нести персональную ответственность за свою
деятельность в системе, включая любые операции с конфиденциальной
информацией в системе и возможные нарушения ее защиты, т.е.
какие-либо случайные или умышленные действия, которые приводят
или могут привести к несанкционированному ознакомлению с
конфиденциальной информацией, ее искажению или уничтожению, или
делают такую информацию недоступной для ее законных
пользователей.
 14. Принцип целостности средств защиты. Данный принцип
подразумевает, что средства защиты информации в системе должны
точно выполнять свои функции в соответствии с перечисленными
принципами и быть изолированными от пользователей, а для своего
сопровождения должны включать специальный защищенный интерфейс
для средств контроля, сигнализации о попытках нарушения защиты
информации и воздействия на процессы в системе.

Средства защиты информации

Защита – система мер, направленных на противодействие
несанкционированному доступу к данным.
Средства защиты данных делятся на следующие группы:
● Организационные (охрана, режим доступа, ограничения…)
● Правовые (нормы, законы, акты…)
● Технические (экранирование, заземление, генераторы
шума…)
● Криптографические (проверка целостности, шифрование,
протоколы аутентификации…)
Защита информационных ресурсов должна быть:
● Постоянной
● Целевой
● Плановой
● Активной
● Комплексной
● Универсальной
● Надежной
Также средства защиты можно разделить на формальные и
неформальные.
Формальные средства защиты:
● физические – электрические, механические, электро
устройства, функционирующие независимо от
информационных систем;
 ● аппаратные – зрительные, электронные, лазерные и иные
устройства, встроенные в информсистемы,
специализированные компьютеры, системы по наблюдению
за сотрудниками, препятствующие доступу к сведениям;
● программные (DLP-системы, SIEM-системы,
криптографические, стенографические).
Неформальные средства защиты:
● Законодательные – это императивные нормы, которые
прописаны в законах, подзаконных актах.
● Организационные – общетехнические, юридические
процедуры, являющиеся обязательными на всем жизненном
цикле системы информации (например, цикл
Шухарта-Деминга).
● Высоконравственные (этические) – это принципы морали,
правила этики, которые исторически сложились в обществе.

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации
осуществляется в три этапа.
На первом этапе разрабатывается базовая модель системы,
которая будет функционировать в компании. Для этого необходимо
проанализировать все виды данных, которые циркулируют в фирме и
которые нужно защитить от посягательств со стороны третьих лиц.
Планом работы на начальном этапе являются следующие вопросы:
Какова цель получения доступа к защищаемой информации?
Целью может быть ознакомление, изменение, модификация или
уничтожение данных. Каждое действие является противоправным, если
его выполняет злоумышленник. Ознакомление не приводит к
разрушению структуры данных, а модификация и уничтожение
приводят к частичной или полной потере информации.
Что является источником конфиденциальной информации?
 Источники в данном случае это люди и информационные ресурсы:
документы, флэш-носители, публикации, продукция, компьютерные
системы, средства обеспечения трудовой деятельности.
Способы получения доступа, и как защититься от
несанкционированных попыток воздействия на систему?
Различают следующие способы получения доступа:
Несанкционированный доступ – незаконное использование
данных;
Утечка – неконтролируемое распространение информации за
пределы корпоративной сети. Утечка возникает из-за недочетов, слабых
сторон технического канала системы безопасности;
Разглашение – следствие воздействия человеческого фактора.
Санкционированные пользователи могут разглашать информацию,
чтобы передать конкурентам, или по неосторожности.
Второй этап включает разработку системы защиты. Это означает
реализовать все выбранные способы, средства и направления защиты
данных.
Система строится сразу по нескольким направлениям защиты, на
нескольких уровнях, которые взаимодействуют друг с другом для
обеспечения надежного контроля информации.
Правовой уровень обеспечивает соответствие государственным
стандартам в сфере защиты информации и включает авторское право,
указы, патенты и должностные инструкции. Грамотно выстроенная
система защиты не нарушает права пользователей и нормы обработки
данных.
Организационный уровень позволяет создать регламент работы
пользователей с конфиденциальной информацией, подобрать кадры,
организовать работу с документацией и физическими носителями
данных.
Регламент работы пользователей с конфиденциальной
информацией называют правилами разграничения доступа. Правила
устанавливаются руководством компании совместно со службой
безопасности и поставщиком, который внедряет систему безопасности.
Цель – создать условия доступа к информационным ресурсам для
каждого пользователя, например, право на чтение, редактирование,
передачу конфиденциального документа. Правила разграничения
доступа разрабатываются на организационном уровне и внедряются на
этапе работ с технической составляющей системы.
Технический уровень условно разделяют на физический,
аппаратный, программный и математический подуровни.
физический – создание преград вокруг защищаемого объекта:
охранные системы, зашумление, укрепление архитектурных
конструкций;
аппаратный – установка технических средств: специальные
компьютеры, системы контроля сотрудников, защиты серверов и
корпоративных сетей;
программный – установка программной оболочки системы
защиты, внедрение правила разграничения доступа и тестирование
работы;
математический – внедрение криптографических и
стенографических методов защиты данных для безопасной передачи по
корпоративной или глобальной сети.
Третий этап – это поддержка работоспособности системы,
регулярный контроль и управление рисками. Важно, чтобы модуль
защиты отличался гибкостью и позволял администратору безопасности
быстро совершенствовать систему при обнаружении новых
потенциальных угроз.

Роль децентрализации в защите информации

Если строго выделить роль децентрализации в информационный и
коммуникационных системах, то она заключается только в обеспечении
доступности. То есть доступности самих данных и связанных с ними
услугами: создание, хранение, передача, обработка.
 Многокритериальная модель оценки рисков
Рассмотрим понятия «уровень угрозы», «уровень уязвимости»,
«уровень ущерба», «уровень риска».
1. Уровень угрозы – мера актуальности угрозы.
2. Уровень уязвимости – мера «простоты» использования
уязвимости.
3. Уровень ущерба – мера значимости актива для организации.
4. Уровень риска – есть функция f (уровень угрозы, уровень
уязвимости, уровень ущерба).
Уровень угрозы определяет меру активности источника угрозы по
отношению к АС. В связи с различной природой источников угроз
информация об их активности может быть представлена
количественными либо качественными значениями.
Уровень уязвимости отражает простоту использования уязвимости
(необходимые ресурсы источника угрозы) и слабости в защитных
мерах. Данный параметр задается по качественной шкале.
Использование количественных шкал не представляется возможным
ввиду отсутствия или сложности составления математических моделей
уязвимостей.
Уровень ущерба определяет возможные последствия для
организации/миссии организации в случае наступления инцидента ИБ и
является многокритериальной величиной (ущерб репутации,
финансовый ущерб, невозможность выполнения миссии организации и
т. п.). Интегрированный показатель уровня ущерба определяется по
качественной шкале как максимальное значение из критериев,
полученное в результате сравнения данных критериев методом анализа
иерархий.
Алгоритм оценки риска основывается на методах нечеткой логики
и теории нечетких множеств, что позволяет учесть неопределенности,
присущие КИС. Общие положения алгоритма оценки рисков:
1) определяются наборы лингвистических термов,
характеризующих значения входных параметров (уровень угрозы УУ1,
уровень уязвимости УУ2, уровень ущерба УУ3) и выходного параметра
(уровень риска УР);
2) задается набор входных параметров YY1j (i = 1...М),
определяющих уровни угроз.
Входные параметры имеют количественные значения [0.1] или
качественные значения, выраженные в термах лингвистических
переменных;
3) задается набор входных параметров YY2i (i = 1...N),
определяющих уровни уязвимостей. Входные параметры имеют
качественные значения, выраженные в термах лингвистических
переменных;
4) задается набор входных параметров YY3i (i = 1...^),
определяющих уровни ущерба. Входные параметры имеют
количественные значения [0.1] или качественные значения, выраженные
в термах лингвистических переменных;
5) находится выходной параметр УР, определяющий уровень
риска;
6) формируется набор продукционных правил вида "ЕСЛИ, ...,
ТО", отражающих взаимосвязи входных параметров с выходным;
7) производится фазификация входных параметров – нахождение
значений функций принадлежности, соответствующих полученным
значениям оценок входных переменных;
8) производится агрегирование – определение степени истинности
условий по каждому из продукционных правил;
9) производится аккумулирование заключений – нахождение
функции принадлежности выходного параметра с учетом
агрегирования;
10) производится дефазификация выходного параметра.
Таким образом, представленный подход к оценке рисков
информационной безопасности позволяет производить оценку уровня
риска как в общем, так и по различным критериям. Например, риск
потери репутации, финансовый риск, риск на соответствие различным
нормам и т. д.
 Управление рисками
Целью процесса управления рисками является принятие и
реализация таких управленческих решений, чтобы в течение заданного
времени функционирования АС уровень остаточного риска
соответствовал бы требуемому, а выделенные для этих целей ресурсы
расходовались бы наиболее рациональным способом. Однако принятие
решений на различных этапах процесса управления рисками ИБ АС
характеризуется неполнотой и нечеткостью исходной информации,
обусловленной, прежде всего, тем, что, с одной стороны, цели и
поступки злоумышленника, от возможных действий которого и
строится защита, точно неизвестны, а с другой стороны –
противоположны действиям защищающейся стороны.
Управление рисками – типично оптимизационная задача,
сводящаяся, по своей сути, к задаче оптимального выбора комплекса
мер и средств защиты. Существует довольно много попыток решать ее
классическими методами математического программирования.
Принципиальная трудность в реализации такого подхода состоит в
неточности исходных данных, множественности требований к СЗИ и
АС, неопределенности условий функционирования и сложности СЗИ и
АС, наличии человеческого фактора. Совокупность указанных и многих
других факторов обусловливает необходимость математической
формализации задачи синтеза СЗИ для управления рисками ИБ АС в
виде многокритериальной задачи нечеткого математического
программирования.

Термины
Авторизация (authorization) – процесс получения разрешений на
выполнение действий в системе.
Аутентификация (authentication) – процедура установления
принадлежности пользователю системы предъявленного им
идентификатора.
 Идентификация (identification) – процесс распознавания объекта и
присвоения ему идентификатора на основании полученных атрибутов.
Также может подразумевать сравнение представленных атрибутов с
атрибутами, которые принадлежат конкретному объекту/субъекту.
Стеганография – это способ хранения или передачи данных,
который позволяет скрыть их наличие среди других данных.
Backdoor – элемент, намеренно встроенный разработчиком
программного или аппаратного обеспечения, который позволяет
осуществлять несанкционированное вмешательство в работу
оборудования, например, управлять, нарушать работу, похитить
конфиденциальные данные и т. п.
Bot (бот) – специальная программа, автоматически выполняющая
заданные действия через сети передачи данных или программные
интерфейсы.
Botnet (ботнет) – сеть узлов с установленным ПО, которое
позволяет координировать деятельность этих узлов без ведома их
владельцев, например, для отправки spam-сообщений.
Dark network – часть глобальной сети, пользователи которой
используют специализированное обеспечение для повышения уровня
анонимности, конфиденциальности и скрытности взаимодействия.