какие три аспекта являются основой информационной безопасности
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. 
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».
Основные составляющие информационной безопасности
Защита данных
с помощью DLP-системы
И нформационная безопасность – это совокупность методов, способов и действий, ориентированных на защиту от несанкционированных действий с данными. Информация является сведениями, которые передаются в устной и письменной форме с помощью знаков, технических механизмов, жестов, программ. Информация и составляющие ее принципы до сих пор изучаются экспертами для повышения эффективности хранения и использования данных.
Она включает в себя:
Информационной безопасностью является система методов, которая помогает в защите технологий, обеспечивающих кибербезопасность внутри государства или компании.
Информация, безопасность которой необходимо обеспечить, используется в разнообразных сферах жизни: политической, экономической, социальной и духовной. Важно оберегать ее от утечки, чтобы минимизировать возможные неблагоприятные последствия. Например, экономические потери на государственном уровне.
Информация считается безопасной, если она в полном объеме защищена от любых видов угроз. Самыми распространенными считаются случаи утечки информации о платежах и персональных данных (около 80 % случаев). Правильный подход в обеспечении защищенности – это осуществление предупредительных мер, способных уменьшить пагубное воздействие внутри и снаружи системы.
Узкое значение информационной безопасности
Информационная безопасность – это практическая деятельность, направленная на предупреждение неразрешенного доступа, применения, обнаружения и преобразования данных. Внутренние и внешние информационные угрозы могут причинить ущерб общегосударственным и международным отношениям, конкретным гражданам. Защита информации – совокупность юридических, технических и организационных способов предупреждения несанкционированных действий с данными. Она устанавливается в информационных системах и характеризуется комплексом мер и действий, которые направлены на защиту данных от постороннего влияния.
В информационную систему входят такие элементы:
Информационная безопасность – это также наука об обеспечении сохранности ресурсов информации, неприкосновенности воли, законных прав личности и общества.
Проникновение в информационное пространство – это открытое (иногда латентное) действие, которое специально или по стечению обстоятельств влияет на объект защиты, что приводит к утечке или раскрытию информации.
Безопасность информационных технологий базируется на следующих вводных:
Элементы безопасности информации
Основные составляющие информационной безопасности – это совокупность элементов, которая включает открытость, конфиденциальность и целостность информационных ресурсов и поддерживающей инфраструктуры. К числу элементов безопасности часто относят защиту от несанкционированного доступа, являющуюся ключевой составной частью защищенности данных.
Рассмотрим систему основных составляющих информационных данных:
Составляющие информационной безопасности не могут функционировать без соблюдения основных принципов, к которым относятся:
Каждое звено информационной безопасности имеет ключевое значение для всей системы. Нет разграничения, что секретность данных наиболее значима, а другие принципы занимают низшие позиции. Для всех субъектов информационных отношений, которые используют информационную систему в быту, на работе или в других целях, данные должны быть доступными, целостными и конфиденциальными.
Другие категории защиты информации
Информационные объекты составляют определенную систему.
Составляющие информационной системы делятся на группы по видам:
Данные с исключительным доступом делятся на государственную тайну и секретные данные. Первая защищает сведения, являющиеся тайными в различных сферах безопасности Российской Федерации: экономической, общегосударственной, контрразведывательной, политической. Угроза раскрытия государственной тайны может нанести серьезный вред национальной целостности государства. Основная часть этой информации оберегается от внешнего и внутреннего воздействия.
Целью конфиденциальной информации является ограничение доступа лиц к данным, юридический режим которых установлен специализированными нормативными актами в общегосударственной и негосударственных областях, промышленности и социальной деятельности.
Конфиденциальная информация бывает следующих типов:
Личная информация составляет все виды данных о человеке, которые непосредственно или частично к нему относятся. Такая информация имеет ограниченный доступ, но сам субъект может пользоваться этими сведениями. Они защищаются на национальном уровне, выделены правовые принципы субъективных данных.
Например, в 149-ФЗ Российской Федерации «Об информации» в редакции от 18.12.2018 года прописаны такие права:
Правительственные органы и частные организации, самоуправляемые учреждения в регионах используют данные в основном в рамках полномочий, установленных общегосударственными законами и подзаконными актами, лицензиями на право заниматься определенными видами деятельности.
Основную часть носителей информации составляют:
Способы защиты и передачи информации
Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации. При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны.
Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).
К формальным способам относятся:
К неформальным относятся организационные, законодательные и этические способы:
Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных:
Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).
Криптография и ее особенности
Криптография – это наука о способах обеспечения конфиденциальности, недопустимости получения доступа посторонними лицами к данным информационного характера. Является довольно сложной и востребованной наукой о методах шифрования (дешифрования) информации таким замысловатым способом, что, кроме автора, к ней не найдет доступ ни один человек без определенного ключа.
Криптография помогает преобразовать данные ради их сохранности и единства. Она является составляющей информационной безопасности со стороны функциональных средств защиты. Криптография включает в себя криптоанализ, который занимается исследованием и оценкой методов шифрования, в том числе разработкой других способов. Методы кодирования используются часто в преобразовании информации.
Криптография использует различные подходы к созданию шифров: замена, перестановка, гаммирование (кодирование), квантовое шифрование, шифрование с открытым ключом и различные криптографические протоколы. Большое число составляющих средств объединяется в одно безопасное информационное ядро.
В РФ у истоков развития криптографии стоял Владимир Анисимов – кандидат технических наук, доцент кафедры информационных технологий Дальневосточного государственного университета путей сообщения. Он разработал рабочую программу о методах обеспечения информационной безопасности, в которой рассказывает о криптографических аспектах информационной безопасности студентам и гражданам, желающим защитить публичные данные от посторонних. Цель программы – изучение разнообразных способов защиты данных.
Процесс защиты информации является многогранным, сложным, требует много сил со стороны правительства, компаний, граждан. Безопасностью в информационной сфере необходимо заниматься постоянно, на законодательном уровне. Специалисты должны следить за процессом, являющимся ключевым в моментах сохранности, надежности и конфиденциальности данных. Должны реализовываться меры предосторожности, защиты от утечки и утраты информации всевозможными способами, так как, попадая в чужие руки, она может быть использована против личности или государства.
Важнейшие аспекты информационной безопасности: 3 основы
Информационная безопасность — это процесс обеспечения сохранности и защищенности информации или ее частей, а также оборудования, при помощи которого эта информация сохраняется и обрабатывается. Этот процесс включает в себя соблюдение комплекса мер, методов, стандартов и технологий, которые и обеспечивают должную защиту конкретному ресурсу.
Цель создания информационной безопасности — это обезопасить информацию и оборудование от злоумышленного или непреднамеренного вмешательства со стороны сторонних лиц с целью заполучить или уничтожить данные.
Основные аспекты информационной безопасности
Для обеспечения успешной защищенности ресурса и построения правильной стратегии защиты выделяют 3 основных аспекта информационной безопасности:
Конфиденциальный аспект. Означает, что нужно тщательно контролировать работу с данными, чтобы устранить возможность их утечки, а также предотвратить несанкционированный доступ к ним со стороны неизвестных людей. Конфиденциальность должна присутствовать на всех этапах: при разработке ресурса, при работе с данными, при их сохранении, внесении в базу и транзите.
Целостностный аспект. Это комплексная работа при защите данных, которая обеспечит защиту от сбоев в работе и уничтожения самих данных. Целостность больше связана с системой управления ресурсом, а не с его технической частью.
Аспект доступности. Включает в себя обеспечение надежного и эффективного доступа к защищаемой информации только проверенных лиц. Если защищаемая система была «взломана», то данный аспект гарантирует ее качественное восстановление и обеспечение работоспособности.
Все три аспекта тесно связаны между собой, и нарушение в работе одного из них обязательно приведет к сбою всей системы безопасности. Вероятность возникновения такого сбоя называют угрозой.
Угрозы информационной безопасности
Угрозы бывают 3-х видов:
Аппаратная. Когда существует вероятность нарушения работоспособности оборудования.
Вероятность утечки. Когда возможен несанкционированный доступ к данным и их потеря.
Нестабильность ПО. Когда есть вероятность некорректной работы программного обеспечения.
По степени происхождения угрозы информационной безопасности разделяют на следующие категории:
Искусственная. Данные угрозы, в свою очередь, делятся на 2 подкатегории: преднамеренная подкатегория — это действия хакеров, конкурентов, недобросовестных сотрудников и т. д., непреднамеренная — действия происходят из-за людей по их неосторожности.
Внутренняя. Угроза исходит изнутри самой системы.
Внешняя. Все угрозы, которые происходят вне системы.
По степени воздействия на информационную безопасность различают 2 вида угроз:
Пассивная. Это та угроза, которая не воздействует на систему и не изменяет ее структуру.
Активная. Это та угроза, которая воздействует на систему безопасности и способна изменить ее структуру.
Преднамеренные угрозы самые опасные из всех, так как их совершенство не стоит на месте, как и информационные технологии в целом. Киберпреступники с целью выкрасть информацию или навредить ресурсу постоянно придумывают новые способы организовывать качественные атаки.
Поэтому, чтобы эффективно отражать их атаки, постоянно нужно соблюдать основные аспекты информационной безопасности и применять популярные и новейшие средства информационной защиты.
Средства защиты информации
Средства защиты информации — это комплекс технических мер, устройств, программного обеспечения, технологий и др., которые обеспечивают должную информационную безопасность.
Средства обеспечения информационной безопасности бывают следующих категорий:
Организационные. Сюда вход я т: обеспечение качественного помещения для размещения серверов, качественное оборудование, продуманная кабельная система, организация правового статуса ресурса или компании и др.
Программные. Сюда входит весь перечень программного обеспечения, который поможет обеспечить должную информационную безопасность ресурса.
Аппаратные. Сюда входят сами приборы и устройства, которые обеспечивают защиту информации.
Рекомендуемые средства информационной защиты:
Программы-антивирусы. Борются с самыми распространенными вирусами, также способны восстанавливать поврежденные файлы.
CloudAV. Это облачные решения для обеспечения антивирусной защиты вашего ресурса.
DLP-решения. Это специальные технологии, которые предотвращают потерю конфиденциальной информации. Как правило, данная технология используется большими предприятиями, так как требует больших финансовых и трудоресурсных затрат.
Брандмаузер и фаервол. Это специализированные средства, которые контролируют выход во всемирную паутину, при необходимости фильтруют или блокируют сетевой трафик.
SIEM-системы. Они собирают информацию о возможных угрозах из различных источников: файервол, антивирус, межсетевой экран и др., потом проводят анализ и могут среагировать на вероятность возникновения потенциальной угрозы, предупредив о ней заранее.
Советы по обеспечению информационной безопасности
Зарываться в технологиях по защите информации можно очень глубоко. «Глубина» будет зависеть от важности сохраняемой информации и от ее объема. Однако всегда есть риск изначально «заложить» возможные уязвимости еще на стадии разработки.
Всегда используйте только проверенные решения. Первая строчка кода уже должна быть максимально безопасной. Еще на стадии выбора языка программирования нужно задаться вопросом, насколько надежен тот или иной язык в конкретном вашем случае. Не всегда нужно гнаться за скоростью и выбирать язык, на котором вы напишите свой веб-ресурс быстрее. Запаздывание со сроками реализации не так критично, как отсутствие надежной защиты уже на уровне языка программирования из-за его недочетов или недостатков. Подход должен быть серьезным.
Думайте о своих пользователях. Идентифицировать и аутентифицировать своих пользователей нужно максимально продуманным и безопасным способом. Потому что киберпреступникам не всегда нужны только деньги, часто им нужна информация о клиентах того или иного ресурса или приложения.
Создавайте копии. Не всегда ваш веб-проект может быть взломан, иногда он просто будет служить платформой для распространения вредоносных файлов — рассылать их вашим пользователям. Найти зараженный скрипт не всегда получ ае тся быстро. Но если у вас есть здоровая рабочая версия своего ресурса, то вы всегда сможете откатить его до безопасного состояния.
Шифруйте и защищайте. Если есть возможность использовать шифрование данных — не пренебрегайте ею.
Заключение
Мы будем очень благодарны
если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.
Информационная безопасность для самых маленьких. Часть 1
Вступление.
Многие слышали про взломы различных платежных систем, про новые стандарты в области информационной безопасности, про то, что государство разрабатывает новые нормативы в области персональных данных. Некоторые даже слышали три таинственных слова «конфиденциальность, целостность и доступность», но не многие понимают, что все это означает и зачем все это нужно. Сюда относятся и многие ИТ — специалисты не говоря уже про людей далеких от ИТ.
Хотя в мире, где все основано на информационных технологиях, должны понимать что такое «информационная безопасность». Информационная безопасность – это не только антивирус и файрвол, информационная безопасность это целый комплекс мер.
На Хабре начинается серия публикаций по информационной безопасности, в этих публикациях будут рассмотрены многие важные аспекты ИБ, такие как:
• конфиденциальность, целостность и доступность;
• уязвимости в программных продуктах (также обсудим черный рынок 0-day уязвимостей и эксплоитов);
• технические меры защиты;
• организационные меры (политики, процедуры, инструкции);
• модели доступа;
• стандарты и законы в области ИБ.
А также обсудим другие очень интересные вещи. Как и любой другой предмет начнем с самых основ, то есть теории.
Недавно в Твитере развернулись нешуточные страсти по «бумажной» и «практической» безопасности. Здесь будут рассмотрены как «бумажная» так и «практическая» безопасность, хотя, по моему мнению, эти две составляющие нельзя делить. Если речь идет о серьезном подходе «практика» не может существовать без «бумаги», так как для начальства, аудиторов в первую очередь важны бумажные отчеты Вашей работы. Не говоря уже про такие стандарты ISO и PCI DSS, которые требуют утвержденные руководством «бумажной безопасности».
Конфиденциальность, целостность и доступность. 
Именно эти три слова служат прочным фундаментом информационной безопасности. Хотя многие считают что эта «триада» уже устарела, но об этом позже. Чтобы лучше понять значение этих слов необходимо представить следующую картину: три человека обхватили друг друга руками, и каждый сильно откинулся назад, если один из них отпустит руку другого то все упадут. Информационная безопасность достигается соотношением именно этих трех свойств, если у информации нету, хотя бы одной из этих свойств о безопасности говорить не приходиться.
Каждая из этих свойств «триады» обеспечивается рядом мер, причем для обеспечения одного свойства необходимо использовать не одно, а несколько мер. Любая информация обладает, так или иначе, всеми тремя свойствами, давайте разберем каждое значение их этой триады.
Конфиденциальность – свойство информации, гарантирующее, что доступ к информации имеет доступ только определенные лица.
Например. В фирме «Рога и копыта» есть информация, а именно отчет о продажах. Доступ имеют только сотрудники отдела продаж и бухгалтерии. Причем сотрудники отдела продаж имеют ко всей информации (более подробно будет описано ниже), а бухгалтерия только к окончательным расчетам (чтобы рассчитать налоги с продаж.).
Таким образом, конфиденциальность означает не только доступ к информации, но и разграничение доступа к информации, то Петров имеет доступ к одной части информации, Сидоров ко второй, а Иванов ко всей информации.
Целостность – свойство информации, гарантирующее, что только определенные лица могут менять информацию.
Например. Продолжим пример с фирмой «Рога и Копыта» и с их отчетом по продажам. Как было ранее сказано Отдел продаж имеет доступ ко всей информации, а бухгалтерия только к определенной части. Но для безопасности это еще мало. Необходимо еще и разграничить доступ среди Отдела продаж. В отделе есть два специалиста Сидоров и Петров, у каждого свой отчет. Необходимо чтобы каждый мог иметь право записи только в свой отчет. Вдруг Петров занизит продажи Сидорова.
Еще хороший пример.
Фирма «Рога и Копыта» создала и отправила платеж по ДБО в свой банка, однако хакер Вася перехватил платеж и в поле получателя вставил номер своего счета. Это прямое нарушение целостности. Чтобы такого не произошло необходимо предпринимать ряд мер, к примеру, ЭЦП.
Доступность – свойство информации, гарантирующее, что лица имеющие доступ к информации в нужный момент смогут получить доступ.
Например. Генеральный директор фирмы «Рога и Копыта» в понедельник утром пришел на работу, включил компьютер и с удивлением обнаружил, что не может открыть базу отдела продаж по продажам. Так что же произошло? Элементарно, Ватсон! В воскресенье ночью в потолке прорвало трубу, вода попала в компьютер, где хранилась база, и жесткий диск благополучно сгорел. Так как директор никогда не слышал про информационную безопасность, а локальная сеть была создана студентом, не было ни резервной копии, ни избыточности в виде RAID. Это самый простой пример, можно привести кучу примеров, сайт компании не был доступен и клиент не смог открыть сайт одной компании, но открыл сайт другой и естественно купил продукт второй компании.
Это было первым выпуском серии «Информационная безопасность для маленьких».
Продолжение следует.