какие свойства информации необходимо защищать
Руслан Рахметов, Security Vision
Друзья, мы начинаем новый цикл публикаций, которые будут посвящены основам информационной безопасности, базовым понятиям и терминам из области современной защиты информации, в частности, управлению инцидентами информационной безопасности при помощи платформ SIEM (Security Information and Event Management) и IRP (Incident Response Platform), созданию Ситуационных центров информационной безопасности (SOC, Security Operations Center) и выполнению требований по информационной безопасности критической информационной инфраструктуры (КИИ).
Данная серия публикаций будет написана простым и понятным языком для того, чтобы быть максимально доступной для всех посетителей нашего сайта, интересующихся тематикой защиты данных, вне зависимости от их опыта работы в сфере информационной безопасности. Мы также надеемся, что эти статьи привлекут в отрасль защиты информации молодых энтузиастов, которые еще только выбирают свой карьерный путь. Итак, начнем.
В последнее время мы всё чаще слышим слова «хакеры», «утечка данных», «кибермошенничество». Почему вокруг информационной безопасности столько разговоров, «хайпа»? Ответов несколько.
Теперь, когда мы разобрались с терминологией, давайте поговорим о том, что же делает информационная безопасность, какие задачи она решает?
Сначала познакомимся с тремя фундаментальными свойствами информации:
Основы информационной безопасности. Часть 2. Информация и средства её защиты
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.
Информация и ее классификация
Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:
Персональные данные
Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:
Классификация средств защиты информации
В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
Средства защиты информации
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты информации
Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Формальные средства защиты информации
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.
Свойства безопасности информации
Защита данных
с помощью DLP-системы
К огда отец кибернетики Норберт Винер выделил информацию в качестве самостоятельного явления, отделив ее от материи и энергии, начался новый век. Сейчас она представляет собой не просто ценность, подлежащую охране, но среду, в которой существует современный человек. Как любой объект, имеющий интерес для его владельца, информация становится и целью для противоправных действий третьих лиц. От субъекта, владеющего данными (человек, корпорация, государство), будет зависеть и используемая система защиты информации.
Информационная безопасность
В любой организации с информацией происходят различные процессы – сбор, хранение, обработка и передача. На каждом из этих этапов возникают различные категории угроз информационной безопасности, борьба с ними должна быть системной, основанной на новейших технологических разработках. Лица, заинтересованные в хищении или уничтожении ценных сведений, постоянно развивают технический инструментарий, и противостоять им можно только путем опережения.
Под системой информационной безопасности специалисты понимают такое состояние массивов данных, в котором сведения и объекты инфраструктуры, обеспечивающей проведение различных процессов с информацией, полностью защищены от естественных и искусственных угроз. Обеспечение информационной безопасности на уровне государства расширяет это понятие, понимая под ним обеспечение национальных интересов в информационной сфере. Под национальными в данном случае понимается комплекс интересов гражданина, общества и государства.
Угрозы и риски
Безопасность информации не может быть обеспечена без разработанной модели угроз. В зависимости от субъекта-носителя, угрозы могут варьироваться, риски для государства будут отличаться от тех, которым подвергаются сведения, принадлежащие бизнесу или гражданину. На уровне России модель угроз предложена в Доктрине информационной безопасности, на уровне бизнеса, личности или общества риски будут зависеть от категории информации.
Модель угроз для бизнеса
Обеспечение информационной безопасности для бизнеса связано с пониманием ее ценности для гипотетических похитителей. В 2018 году на первый план вышли угрозы, связанные с понятием «преступление как услуга» (Crime-as-a-Service) и Интернетом вещей. Под «преступлением как услугой» понимается система предложений услуг по обеспечению неправомерного доступа к информации сложившимися преступными группами. Такие преступления совершаются по заказу экстремистских группировок или конкурентов компании-цели. Профессионалы взлома сетей и защиты продают услуги в Даркнете, а пользуются ими деструктивные организации, которые заинтересованы в раскрутке своего имени в качестве специалистов по взлому компьютерных сетей или пропаганде запрещенной идеологии в целях дальнейшей продажи своих услуг на теневом рынке. Также они могут быть нацелены на похищение информации, имеющей определенную ценность для конкретного заказчика, например, в процессе промышленного шпионажа.
Если ранее профессиональные хакерские атаки из-за сложности и высокой стоимости были редкостью, в последний год они стали массовым явлением. В этой же категории рисков находится хищение банковской информации или средств со счетов. По данным ЦБ РФ, в 2018 году количество хакерских атак на банки удвоилось, но в связи с увеличением степени защиты, количество похищенных средств существенно сократилось.
Ускоренное развитие Интернета вещей и использование его в деятельности корпораций приводит к возникновению ряда рисков, среди них:
Но помимо злонамеренных действий третьих лиц, в модели угроз должны учитываться и естественные риски техногенного или природного характера, например:
В целях обеспечения сохранности информации от естественных рисков решением является ее своевременное резервное копирование. Так, в любом коммерческом банке все сведения, содержащиеся в информационной системе, в обязательном порядке копируются несколько раз в день.
Интересно, что бизнес склонен относить к угрозам и ужесточение требований регуляторов. Так, для операторов персональных данных ужесточение требований к программному обеспечению, используемому для защиты конфиденциальной информации, влечет за собой существенные затраты, которые могут повлиять на результаты операционной деятельности.
Иногда в качестве отдельного риска называется наличие цепи поставок или передача имеющей ценность информации поставщикам, подрядчикам, покупателям. Даже включение в договоры норм о сохранении коммерческой тайны не гарантирует, что ценные сведения не попадут в распоряжение третьих лиц. Для гарантированного обеспечения информационной безопасности необходимо учитывать риски всех категорий.
Угрозы в Доктрине информационной безопасности
В качестве отдельного риска называется научное и технологическое отставание на уровне использования цифровых технологий, что не всегда позволяет отражать атаки, связанные со взломом сайтов государственных организаций, размещением экстремистских воззваний и хищением защищаемой информации. Основные свойства информационной безопасности в рамках Доктрины отличаются от общепринятых, к которым относятся:
Угрозы для граждан
Обеспечение информационной безопасности для граждан неотделимо от их информирования о возможных рисках, на сегодня эта задача решена не в полной мере. Если рассматривать информацию в качестве объекта, который может быть уничтожен, изменен или похищен, то граждане чаще всего страдают от следующих видов атак:
Но подвергаются граждане и тем информационным угрозам, которые были названы в государственной доктрине. Среди основных – вовлечение в экстремистскую деятельность, побуждение к совершению преступлений на почве национализма или религиозной нетерпимости, вовлечение детей в деструктивные секты.
Свойства безопасности информации
С началом информационной эры началось научное изучение теории защиты данных и основных свойств безопасности информации. В 1975 году Джерри Зальцер и Майкл Шрёдер в работе, посвященной защите данных в информационных системах, предложили классификацию способов нарушения безопасности. Они выявили три класса существенных нарушений защиты:
В зарубежных исследованиях эти основные свойства часто называют триадой CIA. Помимо них Организация экономического сотрудничества и развития опубликовала собственное понимание свойств безопасности информации, состоящее уже из девяти принципов:
Теоретическая работа со свойствами безопасности информации продолжилась дополнением триады CIA тремя новыми принципами, к ним были отнесены контроль, аутентичность и полезность. Паркеровская гексада, так назвали шесть принципов сформулированные Донном Паркером, не нашла понимания среди профессионалов из-за спорности новых положений. Одновременно американским Национальным институтом стандартов и технологий были разработаны 33 принципа инженерного проектирования систем информационной безопасности, до сих пор они, а также созданные на их базе правила и практические руководства используются разработчиками программного обеспечения и систем безопасности.
Несмотря на многообразие концепций, именно триада CIA стала базовым постулатом и вошла в большинство учебных программ и пособий по информационной безопасности, существующих в мире. Многие утвержденные стандарты разработки ПО, введенные в практику в России, некоторые ГОСТы основываются на этих трех основных свойствах – конфиденциальность, целостность и доступность. Дискуссии в профессиональном сообществе продолжаются, в частности, подвергается сомнению такой принцип, как конфиденциальность, в той части, в которой политика безопасности может нарушить права личности.
Конфиденциальность
Под конфиденциальностью понимается более широкий спектр значений, чем правовая защита определенных массивов информации или режим коммерческой тайны. Общей концепцией становится предоставление уровня доступа исходя из принципа минимальной информированности по вопросам, не входящим в сферу их непосредственной компетенции. Никто не должен иметь возможность изучать данные, которые не были ему необходимы в силу служебных обязанностей. Исходя из этого принципа, устанавливаются основные правила аутентификации, определяются уровни доступа, разрабатываются положения о сведениях, имеющих характер защищенных. Это свойство информации проявляется в политиках безопасности программных продуктов, во внутренних документах компаний и в нормативных документах государственных регуляторов.
Для защиты конфиденциальности стандартно используются такие методы, как:
Целостность
Сведения, принадлежащие организации или государству, имеют ценность и могут использоваться при принятии достоверных и обоснованных решений только при сохранении такого основного свойства информации, как целостность.
Информация должна быть защищена:
Целостность информации может пострадать от намеренного ручного вмешательства, а также от:
Для обеспечения целостности необходимо разработать и применять систему мер, среди которых:
Доступность
Ценность информации не только в ее сохранности, но и в доступности. Все данные должны находиться в распоряжении авторизованных лиц именно тогда, когда это необходимо для реализации управленческих или бизнес-процессов, или когда к ним обращается пользователь, для которого информация предназначена.
Нарушают доступность:
На доступность информации влияют и преднамеренные или случайные технические ошибки, сбои, недостаточная мощность ресурсов, конфликты программного обеспечения. Гарантировать доступность можно только усилением технических средств защиты, своевременным архивированием и резервным копированием информации.
Невозможность отказа
Частным случаем доступности становится невозможность отказа. Этот термин был введен в практику в 1998 году в одном из американских стандартов разработки систем компьютерной безопасности. Под ним подразумевается такая система идентификации принадлежности информации, при которой отсутствует правовая или техническая возможность отказаться от авторства или принадлежности данных. Любое заинтересованное лицо в любой момент должно иметь возможность проверить подлинность информации. Это свойство безопасности информации становится инструментом в борьбе с психологическим информационным воздействием, фейковыми новостями или финансовыми махинациями.
Способы защиты информации
При разработке способов обеспечения информационной безопасности на уровне компании рекомендуется соотносить результат с затратами. Разработаны даже математические модели, которые выводят оптимальную формулу баланса (модель Гордона-Лоба). При выстраивании собственной концепции защиты, опуская требования регуляторов к защите информации с особым правовым режимом (банковская и государственная тайна, персональные данные), необходимо исходить из следующих принципов:
В деятельности государственных органов, обеспечивающих информационную безопасность, эти принципы также могут присутствовать, но, так как первичной ценностью для России и фактически целью защиты информации является охрана суверенитета, а не максимизация прибыли, они могут восприниматься частично.
Для обеспечения информационной безопасности и государство, и корпорации используют схожие технические средства, но если для компании будет достаточно установить и настроить современную DLP-систему, государству потребуется усилить регулирование национального сектора Интернета. Только это сможет обеспечить сохранение основных свойств безопасности информации.