Информационная безопасность - это...
Из этой статьи Вы узнаете
- Определение понятия «информационная безопасность»
- Свойства информации
- «Рецепт» обеспечения ИБ
Определение понятия «информационная безопасность»
Согласно ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий», информационная безопасность - это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Не путать с понятием «безопасность информации», приведенном в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», так как:
- первое понятие обозначено как «все аспекты, связанные с определением, достижением и поддержанием…», а второе – только как «состояние защищённости»;
- первое относится не только к информации (данным), но и к средствам ее обработки, а второе – только к информации (данным);
- первое базируется на семи свойствах и способностях, а второе – только на трех.
О каких свойствах идет речь? Рассмотрим далее.
Национальный стандарт Российской Федерации
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Часть 1
Национальный стандарт Российской Федерации
Защита информации
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Свойства информации
В ГОСТ Р ИСО/МЭК 13335-1-2006 содержатся 6 свойств и 1 способность (объединим их для простоты понимания), которыми должны обладать информация или средства ее обработки. Подробно рассмотрим каждое.
Конфиденциальность – это свойство информации (или средств ее обработки) быть недоступной и закрытой (подразумевается отсутствие права на доступ) для неавторизованного индивидуума, неполномочного лица, логического объекта или процесса.
В федеральных законах Российской Федерации установлена обязательность соблюдения конфиденциальности информации, к которой относятся персональные данные, коммерческая, служебная, профессиональная или иные тайны. В законодательстве установлено около 50 видов конфиденциальной информации.
В федеральных законах Российской Федерации установлена обязательность соблюдения конфиденциальности информации, к которой относятся персональные данные, коммерческая, служебная, профессиональная или иные тайны. В законодательстве установлено около 50 видов конфиденциальной информации.
Целостность – это свойство сохранения правильности и полноты информационных активов (то есть всей информации, которая имеет ценность для организации), а также обеспечения их правильной и полной обработки определенными средствами, исключающее модификацию или аннулирование информации в результате несанкционированного доступа.
Информация, обладающая таким свойством, как целостность, остается неизменной независимо от каких-либо факторов, а все ее изменения санкционированы и совершены разрешенными объектами и средствами обработки информации.
Информация, обладающая таким свойством, как целостность, остается неизменной независимо от каких-либо факторов, а все ее изменения санкционированы и совершены разрешенными объектами и средствами обработки информации.
Доступность – это свойство, которое позволяет информации (или средствам ее обработки) находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. То есть если информация обладает таким свойством, как доступность, то все субъекты, которые имеют какие-либо права доступа к ней, смогут беспроблемно использовать ее в соответствии с установленным порядком (регламентом, положением или др.).
В зависимости от системы или пространства, в которых существует информация, к правам доступа могут относиться право на ее чтение, изменение, комментирование, копирование/вставку, уничтожение и т.д.
В зависимости от системы или пространства, в которых существует информация, к правам доступа могут относиться право на ее чтение, изменение, комментирование, копирование/вставку, уничтожение и т.д.
Неотказуемость (или апеллируемость) – это способность информации удостоверять произошедшее действие или событие так, чтобы оно не могло быть впоследствии отвергнуто. Простым языком, это невозможность отказа от авторства и совершения действия. Если информация обладает таким свойством, то она может рассматриваться как доказательство.
Наглядный пример информации со способностью неотказуемости – это цифровая запись транзакции в блокчейн-технологии. Каждая транзакция в блокчейне имеет уникальный идентификатор и подпись, которая подтверждает авторство и неизменность транзакции. Блокчейн является распределенным и недецентрализованным реестром, где каждая запись подтверждается сетью узлов, что делает невозможным отклонение или отрицание проведенной транзакции.
Наглядный пример информации со способностью неотказуемости – это цифровая запись транзакции в блокчейн-технологии. Каждая транзакция в блокчейне имеет уникальный идентификатор и подпись, которая подтверждает авторство и неизменность транзакции. Блокчейн является распределенным и недецентрализованным реестром, где каждая запись подтверждается сетью узлов, что делает невозможным отклонение или отрицание проведенной транзакции.
Подотчетность – это свойство средства обработки информации, обеспечивающее однозначное прослеживание действий любого логического объекта.
Подотчетность обеспечивает регистрацию действий, которые производятся с информацией, а также фиксирует субъектов, которые их совершают. Это может быть возможно, например, методам идентификации и аутентификации.
Подотчетность обеспечивает регистрацию действий, которые производятся с информацией, а также фиксирует субъектов, которые их совершают. Это может быть возможно, например, методам идентификации и аутентификации.
Аутентичность – это свойство информации (или средств ее обработки), гарантирующее, что субъект (пользователь), процесс, система, сама информация или ресурс идентичны заявленным, то есть являются подлинными, настоящими.
На основании этого свойства некоторые приложения, реализующие вход в свои системы через определенные клиенты, разрешают доступ лишь после подтверждения взаимных запросов.
На основании этого свойства некоторые приложения, реализующие вход в свои системы через определенные клиенты, разрешают доступ лишь после подтверждения взаимных запросов.
Достоверность – это свойство соответствия информации (или средств ее обработки) предусмотренному поведению и результатам. На наличие такого свойства может влиять значительное количество технических и смысловых факторов.
Например, реквизиты получателя онлайн-платежа, куда зачисляются денежные средства, должны быть достоверными, то есть соответствовать реквизитам, которые видит на своем экране плательщик, совершающий операцию.
Например, реквизиты получателя онлайн-платежа, куда зачисляются денежные средства, должны быть достоверными, то есть соответствовать реквизитам, которые видит на своем экране плательщик, совершающий операцию.
«Рецепт» обеспечения ИБ
Ингредиенты
1
Конфиденциальность - 1 чашка строгих правил доступа к данным
2
Целостность - 2 столовые ложки механизмов контроля изменений данных
3
Доступность - 3 чашки резервного копирования и отказоустойчивости
4
Аутентификация - 1 стакан надежных паролей и биометрии
5
Антивирусное ПО - 2 чайные ложки защитных программ
6
Шифрование - 1 стакан шифровальных алгоритмов
7
Брандмауэры - 1/2 чашки сетевых барьеров
8
Обучение пользователей - 1 чашка регулярных тренингов
9
Мониторинг и аудит - 1 стакан постоянного наблюдения и журналирования
10
Политики и процедуры - по вкусу, для настройки вкусовых предпочтений
Способ приготовления
1
Смешать ингредиенты
Объединить все ингредиенты в соответствующих пропорциях, обеспечивая комплексную защиту информации
2
Тщательно перемешать
Перемешать все компоненты до получения однородной массы, чтобы каждый аспект информационной безопасности был равномерно представлен
3
Подать готовое блюдо
Подавать готовое блюдо с уверенностью, зная, что информационная безопасность обеспечена на высшем уровне
4
Поддерживать в актуальном состоянии
Регулярно проверять и обновлять компоненты, чтобы сохранить эффективность и надежность системы информационной безопасности
