Информационная безопасность статья: Вы точно человек?

Содержание

Соотношение понятий \»информационная безопасность\» и \»защита информации\»

Информационная безопасность

Информационная безопасность РФсостояниезащищенностиее национальных интересовв информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина Информационной Безопасности Российской Федерации)


name=’more’>

Безопасность информации [данных]состояние защищенностиинформации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность (ГОСТ Р 50922-2006 «Информационные технологии. Основные термины и определения в области технической защиты информации», Р 50.1.053-2005 «Техническая защита информации. Основные термины и определения» ).

Безопасность информациисостояние защищенностиинформации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами (СТР-К).

Безопасность информациисостояние защищенностиинформации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз  (РД ГТК). Информационная безопасностьзащитаконфиденциальности, целостности и доступности информации (ГОСТ 17799:2005 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности»).

Информационная безопасность– все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ 13335-1:2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»).

Безопасностьсостояние защищенности интересов (целей) организации банковской системы РФ в условиях угроз (СТО БР ИББС-1.0).

Информационная безопасность– безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы РФ (СТО БР ИББС-1.0).

Информационная безопасность– защищенность интересов (целей) организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений (Положение БР № 242-П).

Таким образом, информационную безопасность характеризуют:
  • Направленность на защиту интересов и достижение целей бизнеса (организации/предприятия)
  • Необходимость достижения и поддержания конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
  • Комплексность и полнота подхода.

Защита информации

Защита информациипринятиеправовых, организационных и технических мер, направленных на:
  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации (ФЗ № 149 «Об информации, информационных технологиях и защите информации»)
Защита информации (ЗИ)деятельность, направленная на предотвращение утечки защищаемой информации , несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006 «Информационные технологии. Основные термины и определения в области технической защиты информации»).

Защита информации от несанкционированного доступа или воздействиядеятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил (СТР-К).

Техническая защита информацииобеспечение защитынекриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (ГОСТ Р 50.1.053-2005 «Техническая защита информации. Основные термины и определения»).

Таким образом,защиту информации характеризуют:
  • Необходимость противодействовать угрозам (несанкционированным воздействиям и т.д.), нарушающим различные свойства информации (конфиденциальность, целостность и т.д.).
  • Процессы реализации комплексов мер (правовые, организационные и технические) направленных на предотвращение различных угроз (несанкционированных воздействий) защищаемым объектам.

Система защиты информации

Система защиты информациисовокупностьорганов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (ГОСТ Р 50922-2006 «Информационные технологии. Основные термины и определения в области технической защиты информации»).

Система защиты информации от несанкционированного доступа– комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах (РД ГТК).

Система информационной безопасности– совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение (СТО БР ИББС-1.0).

Таким образом,систему защиты информации характеризуют:
  • Комплексы мер (правовые, организационные и технические) направленных на предотвращение различных угроз (несанкционированных воздействий) защищаемым объектам
  • Необходимость противодействия угрозам
  • Ресурсы, необходимые для реализации используемых мер защиты

Соотношение рассмотренных понятий

Источник: материалы лекций Алексея Басенко

Информационная безопасность — Википедия. Что такое Информационная безопасность

Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных[1], с учётом целесообразноcти применения и без какого-либо ущерба производительности организации[2]. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками[3].

Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и адмиистраторов. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура непрерывного совершенствования (англ.)русск. не привита должным образом

[4].

Общие сведения

В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо компрометации в критической ситуации[5]. К таким ситуациям относятся природные, техногенные и социальные катастрофы, компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах

[6], требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях[7][8], что влечёт за собой привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев — какой-либо разновидности компьютерных систем). Следует отметить, что под компьютером в данном контексте подразумевается не только бытовой персональный компьютер, а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров, объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак, зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.

Информационная безопасность, как сфера занятости, значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры, защиты программного обеспечения и баз данных, аудит информационных систем, планирование непрерывности бизнеса, выявление электронных записей и компьютерная криминалистика (англ.)русск.. Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Масштабные исследования, проведённые организацией (ISC)² показали, что на 2017 год 66 % руководителей информационной безопасности признали острую нехватку рабочей силы в своих подразделениях, а по прогнозам к 2022 году недостаток специалистов в этой области составит по всему миру 1 800 000 человек

[9].

Угрозы и меры противодействия

Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с «преступлением как услугой» (англ. Crime-as-a-Service), Интернетом вещей, цепями поставок и усложнением требований регуляторов[10]. «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим киберпреступникам (англ.)русск.[К 1]. Это позволяет последним совершать хакерские атаки, ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением[12]. Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированны без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложенение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются во вне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целосности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают

[10].

Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Hапример, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей)

[13], фишинга или кражи личности. Фишинг (англ. Phishing) представляет собой мошенническую попытку[К 2] завладения конфиденциальной информацией (например, учётной записью, паролём или данными кредитной карты). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт, неотличимый от оригинального сайта какой-либо организации (банка, интернет-магазина, социальной сети и т. п.)[14][15]. Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации[16], содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников[17]. Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году
[18]
для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощю фишинга) используются для мошеничества и совершения иных преступлений[19][20]. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия[21]. Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни[22], определение которой в различных культурах может весьма разниться[23].

Органы государственной власти, вооружённые силы, корпорации, финансовые институты, медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далекоидущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансированна относительно затрат; экономическая модель Гордона-Лоба (англ.)русск. описывает математический аппарат для решения этой задачи

[24]. Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:

  • снижение — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз;
  • передача — перенос затрат, связанных с реализацией угроз на третьих лиц: страховые или аутсорсинговые компании;
  • принятие — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы;
  • отказ — отказ от чрезмерно рисковой деятельности[25].

История

С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и способов выявления попыток её фальсификации (англ.)русск.. Например, Юлию Цезарю приписывают изобретение около 50 года до н. э. шифра Цезаря, который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены[26]. Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках[27].

C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в 1653 году появилась Тайная канцелярия (англ. Secret Office)

[28]. В России перлюстрация осуществлялась, по крайней мере, со времен Петра I — с 1690 года в Смоленске вскрывались все письма, идущие за границу. Системный характер практика тайного копирования корреспонденции почти всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века — появились так называемые «чёрные кабинеты»[29]. После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Х. Гольдбах, сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В отдельных случаях после успешного дешифрования письма осуществлялась подмена его содержимого — некоторое подобие атаки «человек посередине»[30].

В начале XIX века а России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел. С 1803 года на службе этого ведомства находился выдающийся российский ученый П. Л. Шиллинг. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны 1812 года[31][32]. В середине XIX века появились более сложные системы классификации секретной информации, позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией Закона о государственной тайне (англ.)русск.[33]. Во время Первой мировой войны многоуровневые системы классификаци использовались для передачи информации на различных фронтах, что способствовало интенсивному использованию подразделений шифрования и криптоанализа в дипломатических миссиях и армейских штабах. В межвоенный период системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать специальные машины, из которых наиболее известной является «Энигма», созданая немецкими инженерами в 1920-х годах. Уже в 1932 году Бюро шифров польской разведки удалось взломать шифр «Энигмы» методом обратной разработки[34].

Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ. Воюющими сторонами были разработанны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым занчительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки U-570 (англ.)русск. не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам[35]. Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась вермахтом и другими службами Третьего рейха. В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством Алана Тьюринга. Разработанная ими дешифровальная машина «Turing Bombe» (с англ. — «бомба Тьюринга»), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников[36]. В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо, язык которого за пределами США никто не знал[37]. Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации[38]. В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания (в том числе, Ставки Верховного Главнокомандования) использовалась так называемая ВЧ-связь, основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования. Однако отсутствие криптографической защиты позволяло, используя спектрометр, восстанавливать сообщения в перехваченном сигнале[39].

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом, что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма, вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Возникили научные дисциплины, такие, как, «Компьютерная безопасность» и «Методы защиты информации» (англ.)русск.[К 3] и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем[41].

Определения

Ниже приведены определения термина «информационная безопасность» из различных источников:

  • Сохранение конфиденциальности, целостности и доступности информации. Примечание: также сюда могут быть включены другие свойства, такие как , , (англ. non-repudiation) и [42].
  • Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности[1].
  • Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям (конфиденциальность), противоправного изменения (целостность) и недоступности, когда она необходима (доступность)[43].
  • Процесс защиты интеллектуальной собственности организации[44].
  • Одна из дисциплин управления рисками, чьей задачей является управление стоимостью информационных рисков для бизнеса[45].
  • Обоснованная уверенность в том, что информационные риски уравновешены соответствующими мерами контроля и управления[46].
  • Защита информации, минимизирующая риск разглашения информации неавторизованным лицам[47].
  • Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности (технических, организационных, человекоориентированных, юридических) с целью предохранения информации от угроз повсюду, где бы она ни находилась (как внутри периметра организации, так и за его пределами) и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается. Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость[48].
  • Процесс баланса между возникающими, воздействующими угрозами и успешностью противодействия этим угрозам со стороны органов государственной власти, отвечающих за безопасность государства[49].

Ключевые принципы

В 1975 году Джерри Зальцер (англ.)русск. и Майкл Шрёдер (англ.)русск. в статье «Защита информации в компьютерных системах»[50] впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации (англ. unauthorized information release), неавторизованное изменение информации (англ. Unauthorized information modification) и неавторизованный отказ в доступе (англ. Unauthorized denial of use) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:

Confidentiality с англ. — «конфиденциальность» — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов[51];
Integrity с англ. — «целостность» — свойство сохранения правильности и полноты активов[52];
Availability с англ. — «доступность» — свойство быть доступным и готовым к использованию по запросу авторизованного субъекта[51].

В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA[53].

В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр[54][К 4]. В 1996 году на основе публикации ОЭСР 1992 года американский Национальный институт стандартов и технологий (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами», «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированны», а «владельцы систем несут ответственность за безопасность за пределами своей организации»[56]. На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработанны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии[57].

В 1998 году Донн Паркер (англ.)русск. дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль (англ. Possession or Control), аутентичность (англ. Authenticity) и полезность (англ. Utility)[58]. Достоинства этой модели, получившей название Паркеровская гексада (англ.)русск. (от hexad с англ. — «группа из шести предметов»), являются предметом дискуссий среди специалистов по информационной безопасности[59].

В 2009 году министерство обороны США опубиковало «Три основополагающих принципа компьютерной безопасности»: подверженность системы [риску] (англ. System Susceptibility), доступность уязвимости (англ. Access to the Flaw) и способность эксплуатировать уязвимость (англ. Capability to Exploit the Flaw)[60][61][62].

В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью O-ISM3 (англ.)русск., в котором отказался от концетуального определения компонентов классической триады CIA в пользу их операционального определения. Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности (конфиденциальность), долгосрочные цели безопасности (целостность), цели качества информации (целостность), цели контроля доступа (доступность) и технические цели безопасности. [63].

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространнённой в международном профессиональном сообществе[53]. Она зафиксированна в национальных[1] и международных стандартах[42] и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP[64] и CISM (англ.)русск.[65]. Некоторые российские авторы используют кальку с него — «триада КЦД»[53]. В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, аттрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы[5].

Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополненительных принципов[5]. Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):

  • подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленному;
  • подотчётность (англ.)русск. (англ. accountability) — ответственность субъекта за его действия и решения;
  • невозможность отказа (англ.)русск. (англ. non-repudiation[К 5]) — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;
  • достоверность (англ. reliability) — cвойство соответствия предусмотренному поведению и результатам[42].

Конфиденциальность

Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости (англ.)русск. (англ. need-to-know). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначеной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности[66].

Целостность

Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и логические бомбы, ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами[66][67].

Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип разграничения полномочий (англ.)русск., согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое. Кроме того, внесение любых изменений в ходе жизненного цикла информационных систем должны быть согласованны, протестированны на предмет обеспечения информационной целостности и осуществленны только корректно сформированными транзакциями. Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированны[66][67].

Доступность

Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппартного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программи, уничтожения данных, проникновения из-вне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей[68].

Невозможность отказа

Термин «невозможность отказа» (англ. Non-Repudiation, иногда употребляется слитно — Nonrepudiation) впервые появился в 1988 году в международном стандарте «Безопасность взаимосвязи открытых систем» (ISO 7498-2). Обычно понимается, как противоположный по смыслу термину англо-саксонского права Repudiation с англ. — «отказ, отрицание», имеющего два основных толкования. С одной стороны, он означает фундаментальное право стороны отказаться от исполнения обязательств по сделке на законных основаниях[69], если, например, подпись на бумажном документе была подделана, либо оригинальная подпись была полученая незаконным путём (в результате мошенничества). При этом бремя доказательства подлинности подписи лежит на той стороне, которая на неё полагается[70]. Другая интерпретация — неправомерный отказ от обязательств. В контексте компьютерной безопасности это может быть, например, отрицание одной из сторон факта отправки, приёма, авторства, либо содержания электронного сообщения. В контексте информационной безопасности «невозможность отказа» понимается как подтверждение целостоности и оригинального происхождения данных, исключающее возможность подделки, которое может быть в любой момент проверенно стороними лицами, либо как установление идентичности (личности, документа, объекта), которое с высокой степенью достоверности моежт считаться подлинным и не может быть опровергнуто[70].

Объём (реализация) понятия «информационная безопасность»

Десять полезных советов по онлайн-безопасности

Октябрь считается Месяцем осведомленности по информационной безопасности – это ежегодная информационная кампания, направленная на повышение осведомленности пользователей компьютеров по вопросам информационной безопасности и защиты. Начатая еще в 2004 году Национальным альянсом по кибер-безопасности (NCSA) и Министерством внутренней безопасности США, в наши дни данная инициатива также охватывает и многие страны Европы и Латинской Америки, поскольку в последние годы существенно повысилась важность вопроса просвещения граждан о кибер-атаках.

В Европе (как в целом, так и на национальным уровне) мероприятия, кампании и другие инициативы проводятся Агентством Евросоюза по сетевой и информационной безопасности (ENISA), который уделяет особое внимание цифровым навыкам, образованию и новым технологиям. Например, в Великобритании будут проходить такие мероприятия, как European Cyber Security Challenge 2018 в Лондоне и Decisions and Disruptions: An Interactive Cyber Security Workshop в Бате.

Информационная безопасность: общая ответственность

В сегодняшнем взаимосвязанном мире информационная безопасность уже не может быть исключительной ответственностью специалистов по ИБ – она должна стать общей ответственностью, которая требует усилий на всех уровнях организаций, а в более общем плане и всего общества.

Сейчас как никогда требуются совместные усилия для противостояния вредоносным действиям в кибер-пространстве. В Panda Security также осознают свою ответственность как часть сектора ИБ.

Вот почему в сентябре Panda Security присоединилась к Cybersecurity Tech Accord – ключевому соглашению группы лидирующих компаний со всего мира в интересах защиты справедливой глобальной информационной безопасности. К этому соглашению присоединилось уже более 60 ведущих компаний в сфере технологий и безопасности.

Тем не менее, важно также признать, что достаточно трудно знать, что делать, если вы не являетесь специалистом по информационной безопасности. Учитывая данный аспект, участники Cybersecurity Tech Accord подготовили памятку с десятью простыми советами, которые помогут домашним пользователям и компаниям (особенно микро и малым предприятиям) защитить свою онлайн-безопасность:

1. Всегда меняйте ваши пароли по умолчанию, для каждого вашего аккаунта, после чего меняйте их хотя бы раз в год для обеспечения безопасности вашей персональной информации.

2. Используйте двухфакторную авторизацию каждый раз, когда это возможно, а также установите безопасные пароли для подтверждения вашей личности при подключении к своим аккаунтам.

3. Используйте файервол для блокировки несанкционированного доступа к компьютерам и устройствам.

4. Регулярно обновляйте вашу операционную систему, браузер и другие программы с помощью обновлений и патчей безопасности для сведения к минимуму угрозы со стороны вирусов и вредоносных программ.

5. Ограничивайте свои действия в публичных Wi-Fi и используйте ПО, которое создает безопасное Интернет-подключение, например, VPN, для безопасного соединения вне зависимости от вашего местоположения.

6. Практикуйте безопасный серфинг и шопинг в Интернете, проверяя, что в адресной строке вашего браузера адрес сайта начинается с “https”, а не с “http”.

7. Настройте параметры конфиденциальности и повысьте уровень настроек безопасности, который стоит по умолчанию в используемых вами программах.

8. Будьте избирательны при обмене персональной информацией, т.к. она может быть использована хакерами для подбора паролей и логинов.

9. Не загружайте пиратское ПО, и не только потому, что это противозаконно, но зачастую оно может содержать различные типы вредоносных программ.

10. Делайте резервные копии ваших данных на внешний жесткий диск или в облаке, т.к. это самый простой способ восстановления информации после атак шифровальщиков.

Месяц кибер-безопасности также создает уникальную возможность для более активного участия в различных инициативах по всему миру, направленных на повышение осведомленности по информационной безопасности.

Среди этих инициатив есть и официальные сертификационные программы, чтобы гарантировать высочайшие стандарты защиты и помочь пользователю иметь самые передовые уровни безопасности.

Например, если говорить про защиту предприятий, то Panda Adaptive Defense имеет сертификат «Common Criteria EAL-2», квалификацию «Qualified IT Security Product» Национального криптологического центра и классификацию «High ENS (National Security Framework)». Этот продукт единственное EDR-решение, обладающее всеми этими сертификатами, для выполнения всех новых требований европейского регламента по защите персональных данных GDPR.

 

Ожидается, что в ближайшие годы частота и сложность кибер-атак будут только возрастать. Участники соглашения Cybersecurity Tech Accord согласны с мнением о том, что Интернет – это общий ресурс, а его защита является общей ответственностью. Если все будут предпринимать коллективные действия для защиты нашей онлайн-среды, то цифровое общество, в котором мы все живем, станет сильнее, безопаснее и устойчивее в своей борьбе с кибера-атаками.

ТОП-12 нарушений политики информационной безопасности (с рекомендациями по их устранению)

1. Запись пароля доступа на мониторе, компьютере и на других близко расположенных предметах

Наиболее распространенное нарушение, по мнению экспертов, в этом замечен каждый пятый сотрудник.

Памятка: Не записывайте пароль в доступных местах, не называйте пароли вслух.

2. Оставленный без присмотра компьютер

Все самые дорогостоящие средства защиты информации не помогут, если кто-то посторонний может просто воспользоваться таким компьютером с открытым доступом к информации компании.

Памятка: Требуйте от сотрудников каждый раз отлучаясь с рабочего места нажимать сочетание клавиш Win+L

3. Открытие e-mail от незнакомцев

Доверие и любопытство заложено в самой природе человека. Пришедшее на почту письмо с интригующим заголовком заставляет даже разумных и ответственных людей делать глупость – открыть файл, пришедший из непроверенного источника.

Помните, что открытие писем от незнакомцев может привести к заражению компьютера вредоносной программой. По всему миру тратятся млрд. долларов на устранение повреждений, причиненных такими вирусами.

Памятка: не открывайте письма от непроверенных адресатов

4. Простые пароли, редкая смена пароля

Часто в качестве пароля сотрудники используют простые наборы подряд идущих цифр или букв. Не соблюдается режим регулярной смены паролей. Однако экспертами установлено, что регулярная смена используемых паролей повышает надежность защиты на 30%.

Памятка: Выбирайте пароли, которые трудно подобрать; только сложные комбинации цифр и букв; регулярно меняйте пароли.

5. Потеря переносных персональных устройств

Переносные компьютеры (Notebook) могут хранить в своей памяти большие секреты компании. В силу своих небольших размеров они весьма уязвимы для потери, воровства и других противоправных действий.

Памятка: Проявляйте осторожность при обращении с переносными персональными устройствами, рассматривайте их как хранилище важных документов и предусмотрите использование программного обеспечения по контролю над доступом. Также есть ряд программных решений позволяющих исключить утечку конфиденциальной информации при утере устройства. (за бесплатной консультацией можете обратиться к нашим экспертам)

6. Излишняя болтливость

Часто разговоры на служебные темы с использованием конфиденциальной информации происходят вне служебных помещений (в столовой, лифте, в спортивном зале и т.п.), где они могут быть легко услышаны посторонними людьми.

Избегайте обсуждения служебных вопросов вне служебных помещений, при обсуждении конфиденциальных вопросов убедитесь, что вас никто не подслушивает.

Памятка: пресекайте такие случаи, пропишите в договоре о неразглашении коммерческой тайны штрафные санкции в случае выявления факта утечки конфиденциальной информации.

7. Подключение без защиты

Весьма опасны подключения к внешним сетям через модемы минуя средства защиты (Firewall и другие общие меры безопасности). Тем самым создаются предпосылки для проникновения злоумышленников в корпоративную компьютерную сеть Компании.

Памятка: Прежде чем подключиться к внешним сетям обратитесь к специалисту по защите информации для решения всех вопросов по защите информационных ресурсов Компании

8. Сокрытие фактов нарушения информационной безопасности

Вы можете плохо знать общую политику информационной безопасности, но важно четко знать, что можно, а что нельзя.

Вы обязаны незамедлительно сообщать своему руководителю обо всех фактах нарушения политики информационной безопасности, которые стали вам известны.

Памятка: Помните, что успех компании (и ваша работа также) зависят от быстроты действий по предотвращению инцидентов безопасности. Требуйте от сотрудников незамедлительно сообщать такие факты при их выявлении.

9. Запоздалая реакция на изменение среды

В общем и прикладном программном обеспечении регулярно обнаруживаются уязвимости, способные привести к инцидентам безопасности.

Памятка: Важно не откладывать соответствующие модернизации программного обеспечения на потом, поскольку это может нанести Компании серьезные убытки.

10. Личная ответственность сотрудников

Большинство инцидентов безопасности (до 80%) возникают из-за действий собственных сотрудников компании, ее партнеров и подрядчиков.

Памятка: следует помнить, что любая информация, попавшая в чужие руки, может быть использована не по назначению и способна нанести ущерб ее репутации. Все члены нашего коллектива, а также наши партнеры, должны понять важность обеспечения безопасности при обращении с информацией, которая им доверена.

11. Подключение к сети предприятия посторонних носителей информации

Большинство инцидентов безопасности возникают из-за необдуманных действий собственных сотрудников Компании. Категорически запрещается приносить на рабочее место и работать на компьютерах, включенных в сеть Компании, любые личные накопители информации (диски, флэшки и подобное).

Памятка: все члены нашего коллектива, а также наши партнеры, должны обеспечить защиту от вредоносного ПО. Пользуйтесь исключительно носителями принадлежащими Компании и прошедшими проверку на безопасность.

12. Использование «левого» ПО

Часто предприниматели экономят на лицензионном ПО и работают на пиратском. Закон принят давно и с каждым днем шансы на его активизацию нарастают. Этим может и воспользоваться недобросовестные конкуренты….

«Если в первом акте пьесы на стене висит ружьё, то в последнем акте оно непременно должно выстрелить». А. П. Чехов.

Памятка: следует знать, что сегодня разработаны множество способов получения прав владения и использования ПО на легальной основе и за разумные деньги.

Получить бесплатную консультацию от наших экспертов вы можете по тел. 8-804-333-73-17 (звонок бесплатный из любой точки России).

Риски информационной безопасности (ИБ): что это, классификация

#Информационная безопасность

Риск информационной безопасности — это вероятность возникновения негативного события, которое нанесет ущерб организации или физическому лицу. Применительно к сфере информационной безопасности (ИБ) выделяют следующие последствия:

  • Утечка конфиденциальных данных в организации
  • Внешние атаки на информационные системы компании
  • Действия неблагонадежных сотрудников (человеческий фактор)
  • Доступ к потенциально опасным объектам во внешней сети
  • Получение информации при помощи технических средств
  • Вредоносное ПО (трояны, бэкдоры, блокировщики, шифраторы и т. д.)
  • Использование нелицензионных программных решений, зачастую содержащие не декларируемые возможности

Аудит информационной безопасности

Утечка данных в большинстве случаев связана с непониманием сотрудников возможных последствий при нарушении правил ИБ. Пример: рассылка коммерческой информации через незащищенный канал связи. Сетевые атаки, как правило, проводятся с целью воровства коммерческой тайны, шпионажа за конкурентами, вывода из строя критически важных для жертвы ресурсов и пр.

Человеческий фактор включает в себя не только ошибки сотрудников, но и умышленные действия, которые приводят к распространению конфиденциальной информации.

К опасным объектам относятся сайты, содержащие фишинговые скрипты, зловредное ПО или другие средства, которые нарушают информационную безопасность физического или юридического лица. К примеру, сотрудник зашел на веб-ресурс, созданный мошенниками, и оставил аутентификационные данные, которые в дальнейшем будут использоваться для шантажа.

Один из самых опасных типов вирусного ПО — шифровальщики. Они, например, могут зашифровать все важные служебные данные на компьютерах сотрудников. За дешифровку злоумышленники обычно требуют выкуп. Далеко не все антивирусные продукты способны обнаружить шифровальщика и тем более расшифровать зараженный файлы.

Инциденты ИБ могут сильно повредить бюджету и репутации компании, вплоть до банкротства. Для того, чтобы минимизировать вероятность инцидентов, проводится комплекс превентивных мероприятий, направленных на снижение рисков — аудит ИБ.

Аудит подразумевает анализ текущей ситуации в компании и выявление уязвимостей в ИТ-инфраструктуре. Разрабатывается концепция информационной безопасности объекта. Она включает в себя нормативные документы, политику информационной безопасности, а также приоритезацию рисков. Для повышения уровня ИБ применяют организационные и технические средства.

Как укрепить информационную безопасность в 2020 году?

{«id»:100046,»url»:»https:\/\/vc.ru\/u\/415486-activecloud\/100046-kak-ukrepit-informacionnuyu-bezopasnost-v-2020-godu»,»title»:»\u041a\u0430\u043a \u0443\u043a\u0440\u0435\u043f\u0438\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0432 2020 \u0433\u043e\u0434\u0443?»,»services»:{«facebook»:{«url»:»https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/u\/415486-activecloud\/100046-kak-ukrepit-informacionnuyu-bezopasnost-v-2020-godu»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.com\/share.php?url=https:\/\/vc.ru\/u\/415486-activecloud\/100046-kak-ukrepit-informacionnuyu-bezopasnost-v-2020-godu&title=\u041a\u0430\u043a \u0443\u043a\u0440\u0435\u043f\u0438\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0432 2020 \u0433\u043e\u0434\u0443?»,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/u\/415486-activecloud\/100046-kak-ukrepit-informacionnuyu-bezopasnost-v-2020-godu&text=\u041a\u0430\u043a \u0443\u043a\u0440\u0435\u043f\u0438\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0432 2020 \u0433\u043e\u0434\u0443?»,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc.ru\/u\/415486-activecloud\/100046-kak-ukrepit-informacionnuyu-bezopasnost-v-2020-godu&text=\u041a\u0430\u043a \u0443\u043a\u0440\u0435\u043f\u0438\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0432 2020 \u0433\u043e\u0434\u0443?»,»short_name»:»TG»,»title»:»Telegram»,»width»:600,»height»:450},»odnoklassniki»:{«url»:»http:\/\/connect.ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/vc.ru\/u\/415486-activecloud\/100046-kak-ukrepit-informacionnuyu-bezopasnost-v-2020-godu»,»short_name»:»OK»,»title»:»\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438″,&q

угроз информационной безопасности в организациях и обеспечение предотвращения и восстановления

В современных организациях стало обычным делом иметь обширную ИТ-инфраструктуру (информационные технологии), а также программные и аппаратные активы. Действительно, с полным внедрением ИТ организациями ни одна организация, достойная своего имени, не имеет ИТ-магистрали, какой бы небольшой она ни была. Это означает, что организации не могут функционировать без ИТ-систем.

Кроме того, ИТ стали критически важными и важными для обеспечения конкурентных преимуществ организаций, и без ИТ невозможно вести бизнес.

Сказав это, следует отметить, что наличие ИТ-системы не означает успеха или гарантированных результатов, если организации не предпримут шаги для обеспечения того, чтобы их протоколы и процедуры информационной безопасности были хорошо спроектированы, а их ИТ-активы были защищены от внешних и внутренних угроз. .

Действительно, , когда ИТ становятся повсеместными, так же как и многочисленные угрозы, такие как взлом со стороны внешних субъектов, кража конфиденциальной и частной информации внутренними участниками, включая сотрудников , кибератаки, которые делают ИТ-инфраструктуру уязвимой для финансовых потерь, и, прежде всего, всепроникающая угроза того, что все эти злоумышленники получат доступ к ИТ-системам организации и прибегнут к действиям, которые могут поставить под угрозу бизнес организаций.

Мы перечислили внешние и внутренние угрозы выше. Хотя хорошо известно, что внешние угрозы проявляются из-за того, что хакеры и киберпреступники используют лазейки и уязвимости в ИТ-системах и инфраструктуре, необходимо также отметить, что внутренние угрозы столь же опасны, как и угрозы извне.

Действительно, в последние годы наблюдается растущая тенденция киберпреступников получать помощь от внутренних субъектов в организациях, которые предоставляют им внутреннюю информацию и подробности об организационных системах и ИТ-инфраструктуре.

Более того, также было обнаружено, что чаще всего именно инсайдеры позволяют хакерам извне проникать в ИТ-системы организации и создавать хаос и сеять хаос.

С другой стороны, нельзя полностью игнорировать угрозы со стороны хакеров, которые стремятся проникнуть в ИТ-системы не только со скрытыми мотивами, но также со стороны конкурентов и других субъектов, которые теперь используют киберпространство для расширения своих конкурентных игр.

В самом деле, если не совсем так, угроза со стороны хакеров, которые верны своим конкурентам и коллегам, постепенно признается как законный повод для беспокойства среди профессионалов в области информационной безопасности.

Кроме того, , даже целые страны и их спецслужбы теперь занимаются кибер-взломами организаций своих стран-конкурентов, чтобы нанести им ущерб и экономические потери. это особенно актуально в контексте соперничества между США, Китаем и Россией, когда хакеры из всех стран, которым помогают и подстрекают их сторонники из коммерческих интересов и интересов национальной безопасности, взламывают системы своих соперников, чтобы нанести ущерб и причиняют экономический, финансовый и репутационный ущерб, не говоря уже о нарушении работы бизнеса.

Таким образом, все эти аспекты означают, что профессионалы в области ИБ в организациях должны защищать свои системы от неправильного обращения, чтобы обезопасить их от этих многочисленных угроз и обеспечить защиту своих ИТ-активов и оборудования, а также ИТ-инфраструктуры. Действительно, с таким количеством угроз, скрывающихся в киберпространстве, организации и ИТ-отделы нередко устанавливают межсетевые экраны и ограничивают доступ к своим системам из внешних источников.

Это также причина, по которой многие организации в последние годы предприняли шаги, которые ограничили бы использование Интернета своими сотрудниками, чтобы они не оставляли цифровых следов в киберпространстве, которые могут быть использованы злонамеренными хакерами и киберпреступниками.

Еще одна область, вызывающая беспокойство специалистов по ИБ, — это рост числа случаев фишинга и кражи личных данных, что гораздо серьезнее, когда речь идет об учетных записях менеджеров и руководителей высшего звена, помимо руководства в их организациях.

Хотя кража личных данных и фишинг могут нанести ущерб кому-либо и организациям, если они затрагивают старших сотрудников, они могут серьезно навредить целям организации, поскольку большинство этих сотрудников будут иметь строго засекреченную и конфиденциальную информацию, хранящуюся в их системах.

Это причина, по которой многие профессионалы в области ИБ теперь отстаивают безопасные и защищенные системы для менеджеров и старших руководителей, которые отличаются и более изолированы от систем, используемых рядовыми сотрудниками.

Действительно, с таким большим беспокойством по поводу этих аспектов, специалисты по ИБ также обеспечивают, чтобы выше определенного уровня в организациях доступ к ИТ и Интернету осуществлялся по выделенным и автономным линиям, а не по общему и общекорпоративному доступу, который есть у других сотрудников.

Наконец, как говорится, профилактика лучше лечения, а нападение — лучшая форма защиты, а это означает, что специалистам по ИБ следует принять меры по предотвращению, а не реагированию на кибер-нарушения, и занять агрессивную позицию против потенциальных хакеров. а также злобные инсайдеры вместо того, чтобы отреагировать после взлома или инцидента.

Кроме того, также бывает, что такие повседневные вещи, как запись паролей на листах, оставленных без присмотра и незапертых под замком, также могут вызывать нарушения ИБ.Кроме того, хотя кто-то думает, что взлом — это то, что происходит где-то там, так же простое, как посещение веб-сайта с неадекватными мерами безопасности, также может стать источником серьезного нарушения. В заключение следует помнить, что невнимательность и надзор лежат в основе рисков ИБ, и поэтому рекомендуется принять меры для минимизации этих аспектов.




Авторство / Ссылки — Об авторе (ах)

Статья написана «Прачи Джунджа» и проверена Management Study Guide Content Team .В состав группы MSG по содержанию входят опытные преподаватели, профессионалы и эксперты в предметной области. Мы являемся сертифицированным поставщиком образовательных услуг ISO 2001: 2015 . Чтобы узнать больше, нажмите «О нас». Использование этого материала в учебных и образовательных целях бесплатно. Укажите авторство используемого содержимого, включая ссылку (-ы) на ManagementStudyGuide.com и URL-адрес страницы содержимого.


Стандарты информационной безопасности — Университет Виктории

Эти стандарты безопасности позволяют университету управлять электронными информационными ресурсами в соответствии с политикой университета и предназначены для обеспечения конфиденциальности, целостности и доступности университетской информации.

Соответствие этим стандартам не означает полностью защищенную систему. Эти стандарты являются лишь частью обеспечения безопасности системы. Стандарты будут регулярно пересматриваться и обновляться.

Эти стандарты безопасности применяются ко всем членам сообщества UVic, ответственным за управление электронными информационными ресурсами UVic. Необходимые навыки и уровень знаний необходимы для поддержания соответствия стандартам; University Systems предлагает услуги по безопасному и надежному управлению электронными информационными ресурсами: Каталог услуг университетских систем.

Стандарты основаны на классификации данных IM7800 для информации, подверженной риску.

  1. Определите наивысший применимый уровень классификации данных, просмотрев Процедуры классификации информационной безопасности университета в политике IM7800. См. Приложение A для примеров классификации информации.
  2. Следуйте стандартам безопасности, приведенным в таблице ниже, чтобы обезопасить свои системы. По возможности, мы рекомендуем применять более строгие меры безопасности, чем текущий стандарт.

Откуда взялись стандарты безопасности UVic?

В июле 2018 года отдел внутреннего аудита UVic завершил свою самооценку общего контроля децентрализованных информационных технологий (ITGC) (Фаза 2) и рекомендовал «разработать минимальные стандарты безопасности, внедрить их в Политику информационной безопасности и довести до сведения всех заинтересованных сторон в университете». . »

University Systems привлекла студентов для получения степени магистра технических наук в области телекоммуникаций и информационной безопасности (MTIS) в рамках своего головного проекта, чтобы предоставить руководство по разработке стандартов информационной безопасности и управлению ИТ для UVic.Рекомендации студентов включали оба стандарта, которые следует перенять, а также хорошие примеры из других высших учебных заведений (например, Минимальные стандарты безопасности Стэнфордского университета).

Первоначальный проект стандартов безопасности UVic был разработан Кертисом Лесом, нашим старшим техническим аналитиком и аналитиком по информационной безопасности, в феврале 2019 года. Они основывались на вышеупомянутом исследовании, а также на последних стандартах аккредитованных организаций, включая Центр интернет-безопасности ( СНГ), Национальный институт стандартов и технологий (NIST) и Индустрия платежных карт (PCI).Где возможно, в проекты стандартов были включены ссылки на вспомогательные ресурсы UVic.

Затем проекты стандартов были рассмотрены членами Рабочей группы университетских систем по кибербезопасности. Проект стандартов был пересмотрен после тщательного рассмотрения этих отзывов. Для некоторых стандартов были разработаны действующие и будущие стандарты, поскольку были выявлены области разрыва между желаемым стандартом и текущими возможностями.

Черновики стандартов были разосланы членам ИТ-сообщества UVic для получения дополнительных отзывов и доработок.Мы рассмотрели и учли этот отзыв и опубликовали стандарты в декабре 2019 года. Если вы хотите оставить дополнительный отзыв, обратитесь в отдел стандартов информационной безопасности.

Конечная точка — это любой портативный компьютер, настольный компьютер или мобильное устройство, которое одновременно используется одним человеком. Конечные точки также включают сетевые принтеры, телефоны VOIP и многопользовательские компьютеры в лабораторных условиях.

Стандарты безопасности


Категория
Действующий стандарт
Будущий стандарт
Данные
Классификация
  1. Патч
  1. Примените критические исправления или исправления безопасности (ОС и приложения) в течение семи дней после выпуска.Обычные пластыри следует применять в течение 30 дней.
  2. Используйте службы управляемого обновления.
  3. Отслеживайте публикации об уязвимостях (например, US-Cert) и устраняйте уязвимые операционные системы и приложения.
  4. Оцените риск исправлений уязвимостей в обновленном микропрограммном обеспечении и исправьте микропрограммное обеспечение конечных точек в зависимости от степени риска.
  5. Используйте только активно поддерживаемые операционные системы и приложения (поставщики предоставляют исправления безопасности).
  6. Системы с неподдерживаемой (без будущих обновлений безопасности от поставщика) ОС или приложениями не могут быть напрямую подключены к UVic Network.
  1. Опись
  1. Ведение комплексной инвентаризации всех конечных устройств (настольных компьютеров, ноутбуков, мобильных устройств и сетевых устройств конечных пользователей, таких как принтеры).
  2. Поддерживать актуальность записей узла IPAdmin сетевых служб.
  1. Шифрование всего диска
  1. Включите FileFault2 для Mac и BitLocker для Windows с условным хранением ключей.
  2. Шифрование мобильных устройств.
  3. Зашифруйте внешние жесткие диски и USB-устройства хранения данных (не рекомендуется использовать эти устройства, если не требуется).
  1. Хранение данных
  1. Все данные, кроме общедоступных, должны храниться в системе с контролируемым доступом.
  2. Информация, классифицируемая как конфиденциальная или строго конфиденциальная, должна быть зашифрована.
  3. Внутреннее и общедоступное шифрование данных настоятельно рекомендуется во всех средах.
  1. Вся информация на конечных точках зашифрована.
  1. Межсетевой экран, обнаружение вторжений и защита от вредоносных программ
  1. Установите брандмауэр на основе хоста, обнаружение вторжений и защиту от вредоносных программ (для Mac и Windows требуется управляемая Symantec EndPoint Protection).
  1. Резервные копии
  1. Резервное копирование пользовательских данных ежедневно.
  2. Храните данные пользователей и UVic в сетевом файловом хранилище (предпочтительно) или используйте Tivoli Storage Manager.
  1. Физическая защита
  1. Храните все оконечные устройства в физически безопасном месте, когда персонал отсутствует.
  2. Физически защищенные портативные компьютеры и мобильные устройства, когда они не используются.
  3. Используйте средства управления физическим доступом, такие как ключи, карточки-ключи и будильники.
  1. Учетные данные и контроль доступа
  1. Учетные записи пользователей следуют принципу наименьших привилегий.
  2. Учетные записи локальных администраторов используют уникальные парольные фразы и отключаются, если они не требуются.
  3. Ежегодно проверяйте учетные записи и привилегии и применяйте надежные парольные фразы.
  4. Войдите в систему с учетными данными Netlink вместо локальных или общих учетных записей.
  1. Управление конфигурацией
  1. Управляйте безопасной конфигурацией оборудования и программного обеспечения (например, CIS Control 5) с помощью инструментов для развертывания и применения стандартных политик и настроек.Примеры включают Active Directory со стандартизованными групповыми политиками, System Center Configuration Manager, WSUS, JAMF, ActiveSync Policies.
  2. Следуйте аккредитованным отраслевым рекомендациям в отношении политик и настроек (например, CIS Benchmarks).
  3. Убедитесь, что все сетевые порты, протоколы, службы и конфигурация программного обеспечения, работающие в системе, соответствуют действующим бизнес-требованиям (CIS Control 9.2).
  1. Получите минимум 90% баллов CIS Benchmark для стандартных рабочих станций Windows и Mac.
  2. Зарегистрируйте все мобильные устройства в системе управления мобильными устройствами (NIST 800-124).
  1. Защита сети
  1. Настройте списки контроля доступа, чтобы разрешить только необходимый трафик.
  2. Используйте VPN для доступа к службам UVic на конечных точках за пределами кампуса или в ненадежной сети.
  1. Утилизация носителей
  1. Конечные точки должны быть очищены и надежно уничтожены в соответствии с политикой управления записями в IM7700.
  1. Регулируемый контроль безопасности данных
  1. Для обработки платежных карт используйте виртуальный платежный терминал, соответствующий стандарту PCI.
  1. Инциденты информационной безопасности
  1. Следуйте процедурам инцидентов информационной безопасности, подробно описанным в IM7800.
  2. Рабочая станция или мобильное устройство, подозреваемые на заражение, должны быть восстановлены с заведомо исправного носителя.
  1. Обучение вспомогательного персонала
  1. Персонал службы поддержки должен не реже одного раза в год проходить обучение, чтобы поддерживать знания о передовых методах защиты информации, связанных с их ролями.

Сервер определяется как хост, который предоставляет доступную по сети услугу.

Стандарты безопасности


Категория
Действующий стандарт
Будущий стандарт
Данные
Классификация
  1. Управление уязвимостями
  1. Имейте определенный процесс для оценки риска уязвимостей (например,CIS Controls 7.1–3.7, требование PCI-DSS 6.1).
  2. Выполняйте регулярное сканирование уязвимостей и устраняйте обнаруженные уязвимости.
  3. Отслеживайте публикации об уязвимостях (например, US-Cert) и исправляйте любые уязвимые операционные системы и приложения.
  1. Выполняйте ежемесячное или более частое сканирование уязвимостей с помощью инструмента, совместимого с SCAP; оценивать результаты сканирования и устранять обнаруженные уязвимости.
  1. Патч
  1. Примените критические исправления безопасности (ОС и приложения) в течение четырнадцати дней после выпуска.
  2. Примените некритические исправления безопасности по мере необходимости на основе оцененного риска. Это может быть частью графика обновления / обслуживания приложения.
  3. Используйте только активно поддерживаемые операционные системы и приложения (поставщики предоставляют исправления безопасности).
  4. Системы с неподдерживаемой (без будущих обновлений безопасности от поставщика) ОС или приложениями должны использовать компенсирующие меры, включая сегментацию сети, чтобы минимизировать риск.
  1. Примените критические исправления безопасности в течение семи дней после выпуска.
  2. Примените некритические исправления безопасности в течение тридцати дней после выпуска.
  1. Опись
  1. Поддерживайте актуальность инвентаризации сервера (например, обновляйте записи ConfigManager и Nets IPAdmin).
  1. Межсетевой экран, обнаружение вторжений и защита от вредоносных программ
  1. Установить и включить межсетевой экран на основе хоста в режиме запрета по умолчанию; разрешить только необходимые услуги.
  2. Установите управляемое вредоносное ПО и защиту от вторжений (например, Symantec EndPoint Protection).
  1. Учетные данные и контроль доступа
  1. Ежегодно проверяйте учетные записи и привилегии и применяйте надежные парольные фразы.
  2. Войдите в систему, используя Netlink или учетные данные привилегированной учетной записи вместо локальных или общих учетных записей.
  3. Доступ к учетной записи осуществляется по принципу минимальных прав.
  4. Многофакторная аутентификация (yubikey) требуется для всех привилегированных (root / администраторских) доступа.
  5. Внедрение плана управления доступом поставщиков. Не разрешайте поставщикам административный доступ к серверам без сопровождения.
  1. Многофакторная аутентификация требуется для всех учетных данных, имеющих доступ к конфиденциальным или строго конфиденциальным данным.
  1. Централизованное ведение журнала
  1. Включение и пересылка журналов в реальном времени на удаленный сервер журналов.Рекомендуется централизованное ведение журнала UVic Syslog.
  1. Обучение системного администратора
  1. Системные администраторы должны не реже одного раза в год проходить обучение, чтобы поддерживать знания о передовых методах защиты информации, связанных с их ролями.
  1. Резервные копии
  1. Серверы резервного копирования не реже чем раз в неделю.
  2. Тестовый сервер регулярно восстанавливается (не реже одного раза в год).
  1. Физическая защита
  1. Все серверы должны быть расположены в безопасном месте (рекомендуется Enterprise Data Center).
  2. Серверы должны быть защищены средствами контроля физического доступа.
  1. Защита сети
  1. Настройте списки управления доступом, сетевые брандмауэры и брандмауэры на основе хоста, чтобы разрешить только необходимый трафик в режиме запрета по умолчанию.
  2. Используйте VPN для управления серверами за пределами кампуса или в ненадежных сетях. Ограничьте доступ к VPN с помощью пулов VPN.
  1. Удаленный доступ
  1. Используйте усиленные службы удаленного доступа при доступе к серверам с конфиденциальными или строго конфиденциальными данными (терминальный сервер / безопасная рабочая станция администратора).
  2. Оборудование, принадлежащее и управляемое UVic, требуется для привилегированного доступа к учетной записи (уровень root / администратора).
  3. Для удаленного доступа требуется многофакторная аутентификация.
  1. Управление конфигурацией
  1. Используйте инструменты управления конфигурацией, такие как Active Directory, групповые политики, LDAP.
  2. Следуйте передовым отраслевым стандартам аккредитации, таким как стандарты NIST, стандарты ISO и стандарты CIS.
  3. Убедитесь, что все сетевые порты, протоколы, службы и конфигурация программного обеспечения, работающие в системе, соответствуют действующим бизнес-требованиям (CIS Control 9.2).
  1. Получите минимум 90% баллов CIS Benchmark для стандартных серверов Windows и Linux.
  1. Безопасность, конфиденциальность и юридическая проверка
  1. Выполните определенный процесс, чтобы определить, требуется ли оценка воздействия на конфиденциальность (PIA) и / или оценка угроз и рисков безопасности (STRA) для каждого приложения.
  2. При необходимости заполните PIA и / или STRA перед развертыванием.
  3. Просмотрите и обновите PIA и STRA перед внесением значительных изменений в приложение или данные, используемые приложением.
  1. Регулируемый контроль безопасности данных
  1. Примените элементы управления PCI или FIPPA, если применимо.
  1. Инциденты информационной безопасности
  1. Следуйте процедурам инцидентов информационной безопасности, подробно описанным в IM7800.
  2. Сервер, подозреваемый на заражение, необходимо перестроить с чистой резервной копии или заведомо исправного носителя.

Приложение определяется как программное обеспечение или служба, работающая на сервере, размещенном в UVic и доступном удаленно.

Стандарты безопасности


Категория
Действующий стандарт
Будущий стандарт
Данные
Классификация
  1. Управление уязвимостями
  1. Имейте определенный процесс для оценки риска уязвимостей (например,CIS Controls 7.1–3.7, требование PCI-DSS 6.1).
  2. Выполняйте регулярное сканирование уязвимостей и устраняйте обнаруженные уязвимости.
  3. Отслеживайте публикации об уязвимостях (например, US-Cert) и устраняйте любые уязвимые службы.
  1. Выполняйте ежемесячное или более частое сканирование уязвимостей с помощью инструмента, совместимого с SCAP; оценивать результаты сканирования и устранять обнаруженные уязвимости.
  1. Патч
  1. Примените критические исправления безопасности в течение четырнадцати дней после выпуска.
  2. Примените некритические исправления безопасности, если это необходимо, в зависимости от оцененного риска. Это может быть частью графика обновления / обслуживания приложения.
  3. Используйте только активно поддерживаемые приложения (поставщики предоставляют исправления безопасности).
  4. Системы с неподдерживаемым (без будущих обновлений безопасности от поставщика) приложением должны использовать компенсирующие меры, включая сегментацию сети, чтобы минимизировать риск.
  1. Примените критические исправления безопасности в течение семи дней после выпуска.
  2. Примените некритические исправления безопасности в течение тридцати дней после выпуска.
  1. Опись
  1. Ежеквартально вести инвентаризацию приложений (например, обновлять каталог приложений).
  1. Межсетевой экран
  1. Включить брандмауэры на уровне веб-приложений.
  1. Включить брандмауэры на уровне веб-приложений в режиме запрета / блокировки по умолчанию; разрешить только необходимые услуги.
  1. Элементы управления сетью
  1. Настройте списки управления доступом и сетевые брандмауэры, чтобы разрешить только необходимый трафик в режиме запрета по умолчанию.
  2. Приложения не должны быть доступны в Интернете по умолчанию, если это не требуется функционально.
  3. Используйте VPN для управления приложениями за пределами кампуса или из ненадежных сетей. Ограничьте доступ к VPN с помощью пулов VPN.
  1. Учетные данные и контроль доступа
  1. Ежегодно проверяйте учетные записи и привилегии и применяйте надежные парольные фразы.
  2. Войдите в систему, используя Netlink или учетные данные привилегированной учетной записи вместо локальных или общих учетных записей.
  3. По возможности интегрируйтесь со службами идентификации UVic, такими как CAS, LDAP, SAML или Active Directory.
  4. Доступ к любой учетной записи осуществляется по принципу наименьших привилегий.
  5. Многофакторная аутентификация (yubikey) требуется для всех привилегированных (root / администратор) доступа.
  6. Внедрение плана управления доступом поставщиков. Не разрешайте поставщикам административный доступ к приложениям без сопровождения.
  1. Многофакторная аутентификация требуется для всех учетных данных, имеющих доступ к конфиденциальным или строго конфиденциальным данным.
  1. Централизованное ведение журнала
  1. Включение и пересылка журналов на удаленный сервер журналов. Рекомендуется централизованное ведение журнала UVic Syslog.
  1. Включение и пересылка журналов в реальном времени на удаленный сервер журналов. Рекомендуется централизованное ведение журнала UVic Syslog.
  1. Выбор продукта
  1. Следуйте процессам UVic Purchasing Services для выбора продукта.
  2. Соблюдайте Политику защиты конфиденциальности (GV0235) и Политику услуг по закупкам (FM5105).
  3. Процесс выбора приложений, как для коммерческих приложений / приложений от поставщиков, так и для приложений с открытым исходным кодом, включает анализ рисков конфиденциальности и безопасности.
  4. Перед развертыванием приложения оцениваются на эксплуатационную готовность и ремонтопригодность.
  1. Безопасная разработка программного обеспечения
  1. Разработка программного обеспечения с учетом требований безопасности.Перед развертыванием проверьте весь код и исправьте выявленные недостатки безопасности. Рекомендуется использовать инструменты статического анализа кода.
  2. Используйте инструменты безопасности, такие как Acunetix и Burp Suite.
  3. Полностью протестируйте программное обеспечение перед использованием в производстве.
  1. Обучение разработчиков
  1. Разработчики должны не реже одного раза в год проходить обучение, чтобы поддерживать знания о передовых методах информационной безопасности, связанных с их ролями.
  1. Резервные копии
  1. Резервное копирование данных приложения не реже одного раза в неделю.
  2. Тестовые данные восстанавливаются регулярно (не реже одного раза в год).
  1. Удаленный доступ
  1. Используйте защищенные службы удаленного доступа при доступе к консолям приложений с конфиденциальными или строго конфиденциальными данными (терминальный сервер / безопасная рабочая станция администратора).
  2. Оборудование, принадлежащее и управляемое UVic, требуется для привилегированного доступа (уровень root / администратора).
  1. Обзор безопасности и конфиденциальности
  1. Выполните определенный процесс, чтобы определить, требуется ли оценка воздействия на конфиденциальность (PIA) и / или оценка угроз и рисков безопасности (STRA) для каждого приложения.
  2. При необходимости заполните PIA и / или STRA перед развертыванием.
  3. Просмотрите и обновите PIA и STRA перед существенными изменениями в приложении или данных, используемых приложением.
  1. Регулируемый контроль безопасности данных
  1. Примените элементы управления PCI или FIPPA, если применимо.

Облачная служба определяется как любое программное обеспечение как услуга (SaaS) или аналогичная услуга на базе Интернета.

Стандарты безопасности


Категория
Действующий стандарт
Будущий стандарт
Данные
Классификация
  1. Выбор продукта
  1. Следуйте процессам UVic Purchasing Services для выбора продукта.
  2. Соблюдайте Политику защиты конфиденциальности (GV0235) и Политику услуг по закупкам (FM5105).
  1. Передовой опыт и отраслевые стандарты
  1. Следуйте расписанию UVic Cloud Security Standards.
  2. Облачная служба должна соответствовать отраслевому стандарту инфраструктуры облачной безопасности — ISO 27017, NIST 800-53, CSA Cloud Controls Matrix (CCM).
  3. Подрядчик облачных услуг должен следовать лучшим отраслевым практикам для сети, серверов, конечных точек, баз данных, приложений, физических объектов, контроля и управления изменениями.
  1. Опись
  1. Ежеквартально вести инвентаризацию приложений (например, обновлять каталог приложений).
  1. Учетные данные и контроль доступа
  1. Проверяйте учетные записи и привилегии ежегодно.Используйте надежные парольные фразы.
  2. Выполните интеграцию с SSO и войдите в систему с учетными данными Netlink или привилегированной учетной записи вместо локальных или общих учетных записей. Придерживайтесь эквивалентных правил сложности пароля Netlink, если они не интегрированы с SSO / Netlink.
  3. Доступ к учетной записи осуществляется по принципу минимальных привилегий.
  4. Не сообщайте учетные данные и не используйте общие учетные записи.
  1. Многофакторная аутентификация требуется для всех учетных данных, осуществляющих доступ к конфиденциальным или строго конфиденциальным данным.
  1. Управление привилегированным счетом
  1. Многофакторная аутентификация требуется для привилегированного доступа (root / администратор) для облачных систем с конфиденциальными или строго конфиденциальными данными.
  1. Многофакторная аутентификация необходима для привилегированного доступа (root / admin) для всех облачных систем.
  1. Управление ключами
  1. Свернуть создание ключей API.Предоставляйте минимально необходимые привилегии, меняйте ключи API ежегодно, не кодируйте ключи API жестко.
  2. Используйте ключи API вместе с аутентификацией.
  1. Шифрование в состоянии покоя
  1. Использовать шифрование данных в состоянии покоя (предпочтительно шифрование всей базы данных).
  1. Шифрование при передаче
  1. Включено шифрование транспортного уровня TLS 1.1 или выше.
  2. Используйте строгие наборы шифров и порядок наборов шифров.
  1. Регистрация и аудит
  1. Включите любое доступное ведение журнала приложений, которое поможет в судебном расследовании в случае взлома. При необходимости обратитесь к поставщику или в Infosec.
  2. Обеспечьте по контракту точную регистрацию.
  1. Управление данными
  1. В соответствии с контрактом убедитесь, что обо всех информационных инцидентах, связанных с данными UVic, сообщается и расследуется UVic Information Security Office.
  2. Обеспечение управления данными по контракту, включая доступ к данным UVic и соответствующую очистку при расторжении соглашения.
  1. Удаленный доступ
  1. Используйте защищенные службы удаленного доступа при доступе к консолям приложений с конфиденциальными или строго конфиденциальными данными (терминальный сервер / безопасная рабочая станция администратора).
  2. Многофакторная аутентификация и оборудование, принадлежащее и управляемое UVic, требуется для привилегированного доступа (уровень root / администратора) к облачным системам с конфиденциальными или строго конфиденциальными данными.
  1. Используйте защищенные службы удаленного доступа при доступе к консоли приложения для всех классификаций данных (сервер терминалов / безопасная рабочая станция администратора).
  2. Многофакторная аутентификация и оборудование, принадлежащее и управляемое UVic, требуется для привилегированного доступа (уровень root / администратора) во всех облачных системах.
  1. Безопасность, конфиденциальность и юридическая проверка
  1. Выполните оценку угроз и рисков безопасности перед развертыванием и ежегодно.
  2. Завершите оценку воздействия на конфиденциальность перед развертыванием, проверьте и обновите PIA перед отправкой любых новых данных в облачную службу.
  1. Регулируемый контроль безопасности данных
  1. Обеспечьте, чтобы поставщики облачных услуг применяли средства контроля PCI или FIPPA в соответствии с контрактом.
  2. Используйте облачную службу в соответствии с требованиями FIPPA, включая минимальный сбор данных и получение соответствующих разрешений.
  1. Обучение администраторов
  1. Администраторы облачных служб должны проходить обучение не реже одного раза в год, чтобы поддерживать знания о передовых методах защиты информации, связанных с их ролями.

Сеть определяется как вся инфраструктура сетей передачи голоса и данных в кампусе.

Стандарты безопасности


Версия этих стандартов в формате Excel: uvicsecuritystandards.xlsx.

50 самых популярных вопросов на собеседовании по информационной безопасности [Обновлено на 2019 год]

Введение в 50 самых популярных вопросов на собеседовании

Посмотрим правде в глаза, на любом собеседовании нет недостатка в потенциальных вопросах по широкому кругу тем в области информационной безопасности. Вдобавок ко всему, InfoSec означает много разных вещей для множества людей.Например, информационная безопасность охватывает всех, от парня из Best Buy, использующего копию Norton, до криптомастеров в АНБ. В результате, единый список вопросов не может охватить все. При этом, однако, есть определенные уровни возможных вопросов, с которыми вы можете столкнуться, и это то, о чем это руководство.

Нельзя сказать, что эти вопросы не могут появляться на разных уровнях — вы вполне можете увидеть некоторые из вопросов уровня 1 во время собеседования на уровне 5.Скорее, это означает, что для того, чтобы достичь 5-го уровня, вы должны быть довольны всем до этого момента — не обязательно запоминать все наизусть, но, по крайней мере, иметь ресурс, из которого вы можете быстро получить ответы. Итак, без лишних слов, приступим.

Добро пожаловать на уровень 1: технология

должности начального уровня почти всегда связаны с навыками — что вы знаете прямо сейчас и что вы готовы сделать, чтобы улучшить эти навыки. К тому же, многие из этих вопросов могут помочь лучше понять, что делает вас, вами — вашу личность и ваши существующие предпочтения и мнения.На этом этапе вы все еще в значительной степени техник или сотрудник службы безопасности, но вы достигли точки, на которой хотите специализироваться, и для этого вам нужно начать больше узнавать о том, что делает то, что вы пытаетесь защитить. На этом этапе вы больше заботитесь о том, чтобы все работало, чем о безопасности, но вы также знаете, что хотите удерживать людей в целом от непослушных поступков. К сожалению, вы, вероятно, не знаете кунг-фу.

1- Каковы ваши ежедневные проверки новостей?

Похоже, что мы не можем прожить больше нескольких дней, не услышав о серьезном взломе, который на первый взгляд может показаться, что взламываются больше людей и мест, чем когда-либо прежде (что, честно говоря, правда).Тем не менее, это также показывает, что обнаружение атак и сообщение о них улучшаются в соответствии с требованиями как государственных органов, так и страховых компаний. В результате общественность и специалисты по безопасности лучше осведомлены о том, что они могут сделать, чтобы защитить себя, и следить за фальсифицированными платежами на своих счетах. Быть в курсе этих вопросов жизненно важно для всех, кто интересуется информационной безопасностью.

2- Что у вас в домашней сети?

Ничто не показывает вам, как что-то сломать и исправить, кроме тестовой среды, а для большинства людей это домашняя сеть.Будь то ноутбук с Windows с универсальным беспроводным маршрутизатором и телефоном, до 14 рабочих станций Linux, контроллер домена Active Directory, выделенный брандмауэр и подключенный к сети тостер — пока вы учитесь и возитесь с ним, вот что важно.

3- Каким личным достижением вы больше всего гордитесь?

По крайней мере, для меня этот простой — получение CISSP. Я учился месяцами, делал все возможное, чтобы улучшить свою память, и просил всех и каждого помогать задавать вопросы и изменять их таким образом, чтобы заставить меня думать по углам.У каждого есть по крайней мере одна вещь, которой они гордятся, и хотя этот и следующий вопрос могут быть одним и тем же ответом, все, что имеет значение, — это показать, что вы готовы двигаться вперед и хотите быть мотивированным.

4- Каким проектом вы гордитесь больше всего?

Для некоторых людей это будет первый компьютер, который они когда-либо построили, или когда они впервые модифицировали игровую консоль, или первую программу, которую они написали, список можно продолжать и продолжать. В моем случае это был бы проект, над которым я работал годами.Он начинался как электронная таблица Excel, которую инженерный отдел использовал для отслеживания своих чертежей AutoCAD, и в конечном итоге превратился в пару сотен статических HTML-страниц, базу данных Access и интерфейс, и, наконец, до полноценного веб-приложения, работающего в MySQL. и PHP. Эта простая мелочь в конечном итоге превратилась в целый веб-сайт со специальными веб-приложениями для проектирования, продаж и качества, которые используются компанией по всему миру, что просто показывает, что вы никогда не знаете, к чему что-то может привести.

5- Как traceroute поможет вам выяснить, где происходит сбой связи?

Tracert или traceroute, в зависимости от операционной системы, позволяет вам точно видеть, к каким маршрутизаторам вы прикасаетесь, когда вы перемещаетесь по цепочке соединений к конечному пункту назначения. Однако, если вы столкнетесь с проблемой, когда вы не можете подключиться или не можете проверить связь с конечным пунктом назначения, в этом отношении может помочь tracert, поскольку вы можете точно определить, где заканчивается цепочка подключений. Имея эту информацию, вы можете связаться с нужными людьми — будь то ваш собственный брандмауэр, ваш интернет-провайдер, интернет-провайдер пункта назначения или где-то посередине.

6- Почему вы хотите использовать SSH на ПК с Windows?

SSH (TCP-порт 22) — это безопасное соединение, используемое во многих различных системах и специализированных устройствах. Маршрутизаторы, коммутаторы, серверы SFTP и незащищенные программы, туннелируемые через этот порт, — все это может использоваться для защиты соединения от перехвата. Несмотря на то, что в большинстве случаев, когда вы слышите о том, что кто-то «вставляет SSH» в ящик, это связано с Linux, сам протокол SSH на самом деле реализован в самых разных системах, хотя и не по умолчанию в большинстве систем Windows.Такие программы, как PuTTY, Filezilla и другие, имеют доступные порты Windows, которые позволяют пользователям Windows с такой же простотой подключения к этим устройствам, что и пользователям Linux.

7- В чем разница между симметричным и асимметричным шифрованием?

Чтобы свести чрезвычайно сложную тему к нескольким коротким словам, симметричное шифрование использует один и тот же ключ для шифрования и дешифрования, в то время как асимметричное использует разные ключи для шифрования и дешифрования. Симметричный обычно намного быстрее, но его трудно реализовать в большинстве случаев из-за того, что вам придется передавать ключ по незашифрованному каналу.Поэтому много раз сначала устанавливается асимметричное соединение, а затем send создает симметричное соединение. Это подводит нас к следующей теме…

8- Что такое SSL и почему его недостаточно для шифрования?

SSL — это проверка личности, а не шифрование данных. Он разработан, чтобы доказать, что человек, с которым вы разговариваете на другом конце провода, является тем, кем они себя называют. SSL и его старший брат TLS используются почти всеми в сети, но проблема в том, что это огромная цель и в основном атакуются с помощью своей реализации (например, ошибка Heartbleed) и ее известной методологии.В результате SSL может быть отключен при определенных обстоятельствах, поэтому дополнительная защита данных в пути и данных в состоянии покоя — очень хорошая идея.

9- Как узнать, что означает POST-код?

POST — один из лучших инструментов, доступных, когда система не загружается. Обычно с помощью светодиодных индикаторов в более современных системах или традиционно с помощью звуковых сигналов эти конкретные коды могут сказать вам, что системе не нравится в ее текущих настройках. Из-за того, насколько редкими могут быть эти события, если вы не сидите на скамейке запасных изо дня в день, справочные материалы, такие как руководство по материнской плате и выбранная вами поисковая система, могут оказаться огромным преимуществом.Просто не забудьте убедиться, что все установлено правильно, у вас есть по крайней мере минимально необходимые компоненты для загрузки, и, что наиболее важно, все ваши соединения находятся на правильных контактах.

10- В чем разница между черной шляпой и белой шляпой?

Этот конкретный вопрос может привести к серьезным философским дебатам о свободе информации, и если что-то реализовано намеренно нарушенным способом, оно на самом деле не нарушает его и т. Д. И т. Д. Я слышал больше всего о классических джедаях. Пример — одни и те же инструменты, разные идеологии.Лично я знаю людей, которые работали по обе стороны линии, и все сводится к следующему — разница между черной и белой шляпой заключается в том, кто подписывает чек.

Уровень 2: Прерыватель / Ремонтник

Второстепенные должности обычно требуют немного больше опыта — немного больше беготни, немного больше времени, чтобы мыслить нестандартно и находить то, что заставляет вас думать «Ага. Это смешно.» У вас были ситуации, когда вам приходилось взламывать разные системы и задаваться вопросом, правильно ли вы поступили, и что вы знаете, что можете столкнуться с небольшими проблемами, если сделаете то же самое, чтобы сказать компьютер бухгалтера на 4-й этаж.Вы видели несколько высыпаний и знаете достаточно, чтобы не паниковать, когда видите предупреждение о вирусе. Наконец, когда вы выполняете очистку ящика, вы знаете, что хотите собрать информацию о том, как он там оказался, а также сохранить как можно больше данных, прежде чем удалять вредоносную инфекцию или уничтожать ящик. Необязательно полноценная цифровая криминалистика, но знание основ искусства очень поможет вам. Максим №1: «Грабить, ЗАТЕМ сжечь».

11- Вам необходимо сбросить конфигурацию BIOS, защищенную паролем.Чем ты занимаешься?

Хотя сам BIOS был заменен UEFI, большинство систем по-прежнему следуют той же конфигурации, что и параметры в хранилище. Поскольку сама BIOS является предзагрузочной системой, у нее есть собственный механизм хранения для своих настроек и предпочтений. В классическом сценарии простого извлечения батареи CMOS (дополнительный металл-оксид-полупроводник) будет достаточно, чтобы память, в которой хранятся эти настройки, потеряла питание, и в результате она потеряла свои настройки.В других случаях вам нужно использовать перемычку или физический переключатель на материнской плате. В других случаях вам нужно фактически удалить саму память из устройства и перепрограммировать ее, чтобы стереть ее. Однако самый простой способ — это: если BIOS поставляется с завода с активированным паролем по умолчанию, попробуйте «пароль».

12- Что такое XSS?

Межсайтовый скриптинг, кошмар Javascript. Поскольку Javascript может запускать страницы локально в клиентской системе, а не запускать все на стороне сервера, это может вызвать головную боль для программиста, если переменные могут быть изменены непосредственно на веб-странице клиента.Существует несколько способов защиты от этого, самый простой из которых — проверка ввода.

13- Как бы вы войти в Active Directory из Linux или Mac?

Хотя это может показаться странным, доступ к Active Directory можно получить из системы, отличной от Windows. Active Directory использует реализацию протокола SMB, к которому можно получить доступ из системы Linux или Mac с помощью программы Samba. В зависимости от версии это может обеспечить общий доступ, печать и даже членство в Active Directory.

14- Что такое соленые хэши?

Соль на самом фундаментальном уровне — это случайные данные. Когда правильно защищенная система паролей получает новый пароль, она создает хешированное значение для этого пароля, создает новое случайное значение соли, а затем сохраняет это комбинированное значение в своей базе данных. Это помогает защититься от атак по словарю и известных хэш-атак. Например, если пользователь использует один и тот же пароль в двух разных системах, если они использовали один и тот же алгоритм хеширования, они могли бы получить одинаковое значение хеш-функции.Однако, если хотя бы одна из систем использует соль со своими хешами, значения будут другими.

15- Что вы думаете о таких социальных сетях, как Facebook и LinkedIn?

Это глупо, и на этот вопрос существует огромное количество мнений. Многие думают, что это худшее, что когда-либо случалось с миром, а другие хвалят их существование. В сфере безопасности они могут быть источником серьезных утечек данных, если обрабатываются в их конфигурациях по умолчанию.Можно заблокировать разрешения для сайтов социальных сетей, но в некоторых случаях этого недостаточно из-за того, что серверная часть недостаточно защищена. Это также не поможет, если будет взломан чей-то профиль, который есть у вас в списке. Хранение важных данных вдали от сайтов такого типа является главным приоритетом, и связь только с теми, кому вы доверяете, также чрезвычайно полезно.

16- Каковы три способа аутентификации человека?

Что-то, что они знают (пароль), что-то, что у них есть (токен), и что-то, чем они являются (биометрия).Для двухфакторной аутентификации часто используется установка пароля и токена, хотя в некоторых случаях это может быть ПИН-код и отпечаток пальца.

17- Как вы можете определить, работает ли на удаленном сервере IIS или Apache?

Сообщения об ошибках часто разглашают то, что сервер работает, и много раз, если администратор веб-сайта не настроил пользовательские страницы ошибок для каждого сайта, он может выдать это так же просто, как просто ввести известный неверный адрес. В других случаях простого использования telnet может быть достаточно, чтобы увидеть, как он отреагирует.Никогда не недооценивайте объем информации, который можно получить, не получив правильный ответ, а задав правильные вопросы.

18- Что такое защита данных при передаче и защита данных при хранении?

Когда данные защищены, пока они просто хранятся в своей базе данных или на жестком диске, их можно рассматривать как неактивные. С другой стороны, пока он передается от сервера к клиенту, он находится в пути. Многие серверы используют те или иные защищенные базы данных SQL, VPN-соединения и т. Д., Однако не многие из них могут использовать и то, и другое в первую очередь из-за дополнительной утечки ресурсов.Тем не менее, по-прежнему рекомендуется делать и то и другое, даже если это займет немного больше времени.

19- Вы видите, что пользователь входит в систему как root для выполнения основных функций. Это проблема?

Учетная запись администратора Linux (root) имеет множество полномочий, которые не разрешены для обычных пользователей. При этом не всегда необходимо полностью входить в систему и снова входить в систему как root для выполнения этих задач. Например, если вы когда-либо использовали команду «запустить от имени администратора» в Windows, то вы будете знать основную концепцию «sudo» или «суперпользователь (root) do» для того, что вы хотите, чтобы он делал.Это очень простой и элегантный способ сократить время, необходимое для входа в систему в качестве привилегированного пользователя. Чем больше времени пользователь проводит с расширенными разрешениями, тем больше вероятность того, что что-то пойдет не так — случайно или намеренно.

20- Как защитить домашнюю точку беспроводного доступа?

Это еще один вопрос общественного мнения — существует множество различных способов защиты точки беспроводного доступа: использование WPA2, отсутствие широковещательной передачи SSID и использование фильтрации MAC-адресов являются самыми популярными среди них.Есть много других вариантов, но в типичной домашней обстановке эти три являются самыми большими.

Уровень 3: Сообразительность

К настоящему времени вы столкнулись с большим количеством проблем. У вас есть набор регулярно используемых программ, стандартный набор утилит защиты, вы хорошо разбираетесь в очистке, и вы потратили немало времени на то, чтобы обнаружить, что есть много способов добиться успеха. Вы также заметили, что для того, чтобы данные исчезли навсегда, не нужно много времени, и что вам нужна помощь, чтобы защитить их и управлять ими.На этом этапе вы, скорее всего, член команды, а не одинокая фигура, пытающаяся все решить, и в результате вы теперь находитесь на треке специализации. Однако вы можете иметь или не иметь остроконечную шляпу и предрасположенность к рому.

21- Каков простой способ настроить сеть, чтобы только один компьютер мог входить в систему через определенное гнездо?

Залипание портов — один из лучших друзей сетевого администратора и самая большая головная боль. Они позволяют настроить вашу сеть так, чтобы каждый порт на коммутаторе разрешал только одному (или указанному вами номеру) компьютеру подключаться к этому порту, привязав его к определенному MAC-адресу.Если к этому порту подключается какой-либо другой компьютер, порт отключается, и вы получаете сообщение о том, что он больше не может подключиться. Если вы тот, кто изначально запускал все сетевые подключения, то это не большая проблема, и точно так же, если это предсказуемая модель, то это тоже не проблема. Однако если вы работаете в сети, где хаос является нормой, вы можете потратить некоторое время на то, чтобы понять, к чему они подключаются.

22- Вы подключены к безголовой системе в удаленном месте.У вас нет физического доступа к оборудованию, и вам необходимо выполнить установку ОС. Чем ты занимаешься?

Есть несколько разных способов сделать это, но наиболее похожий сценарий, с которым вы столкнетесь, заключается в следующем: вам нужно настроить сетевой установщик, способный загружаться по сети через PXE (если вы когда-либо видел это во время загрузки вашей системы и задавался вопросом, для чего это было, тада). Среды с очень большим количеством систем чаще всего имеют возможность отправлять изображения по сети.Это сокращает количество рабочего времени, которое требуется для каждой системы, и делает установку более согласованной.

23- Почему в сети Windows проще взломать локальную учетную запись, чем учетную запись AD?

Локальные учетные записи Windows имеют большой багаж, связанный с ними, долгий путь к сохранению совместимости для учетных записей пользователей. Если вы используете пароли длиной более 13 символов, возможно, вы видели сообщение, относящееся к этому факту. Тем не менее, учетные записи Active Directory имеют большую степень безопасности, не последнюю из которых заключается в том, что система, фактически выполняющая аутентификацию, не та, на которой вы обычно сидите, когда являетесь обычным пользователем.Взломать систему Windows, если у вас есть физический доступ, на самом деле совсем не сложно, так как существует довольно много специализированных утилит именно для этой цели, однако это выходит за рамки того, что мы здесь собираемся.

24- Что такое треугольник ЦРУ?

Конфиденциальность, целостность, доступность. Это максимально приближенный к «кодексу» информационной безопасности, это сводная сущность InfoSec. Конфиденциальность — хранение данных в безопасности. Целостность — сохранение данных в неприкосновенности.Доступность — сохранение доступности данных.

25- В чем разница между HIDS и NIDS?

Оба аббревиатуры означают системы обнаружения вторжений, однако первое — это система обнаружения вторжений хоста, а второе — система обнаружения сетевых вторжений. HIDS работает как фоновая утилита, как, например, антивирусная программа, в то время как система обнаружения сетевых вторжений перехватывает пакеты, когда они проходят по сети, в поисках необычных вещей.Обе системы имеют два основных варианта: на основе сигнатур и на основе аномалий. Основанный на сигнатуре очень похож на антивирусную систему, которая ищет известные значения известных «плохих вещей», в то время как аномалия больше ищет сетевой трафик, который не соответствует обычному шаблону сети. Это требует немного больше времени, чтобы получить хорошую базу, но в долгосрочной перспективе может быть лучше для восприятия пользовательских атак.

26- Вы обнаружите, что в вашей сети есть активная проблема. Вы можете это исправить, но это вне вашей юрисдикции.Чем ты занимаешься?

Это важный вопрос. Правильный ответ заключается в том, что вы связываетесь с лицом, отвечающим за этот отдел, по электронной почте — обязательно сохраните это для своих записей — вместе с отправкой копии своему менеджеру. Может быть очень важная причина, по которой система настроена определенным образом, и ее блокировка может означать большие проблемы. Сообщить о своей проблеме ответственной стороне — лучший способ сообщить им, что вы видели потенциальную проблему, сообщить им об этом и одновременно прикрыть себя отметкой времени.

27- Вы работаете в техническом отделе на неуправляемой должности. Руководитель высокого уровня требует, чтобы вы нарушили протокол и разрешили ему использовать свой домашний ноутбук на работе. Чем ты занимаешься?

Вы будете удивлены, как часто это происходит, особенно в текущей среде BYOD. Тем не менее, самый простой способ выйти из этой ситуации — снова связаться с вашим менеджером и попросить его сказать «да» или «нет». Это дает полномочия и решения там, где они должны быть, и дает вам помощь, если отделу нужно дать отпор.Стресс может стать настоящим убийцей в положении, когда вы должны сказать «нет» людям, которым не нравится его слышать, поэтому перекладывание ответственности может быть вашим другом.

28- В чем разница между уязвимостью и эксплойтом?

Многие люди сказали бы, что они одно и то же, и в некотором смысле были бы правы. Однако одна проблема — потенциальная, а другая — активная. Подумайте об этом так: у вас есть сарай со сломанным замком, который не запирается должным образом. В некоторых областях, таких как крупные города, это будет серьезной проблемой, которую необходимо решить немедленно, в то время как в других, таких как сельские районы, это большая неприятность, которую можно устранить, когда вы доберетесь до нее.В обоих сценариях это будет уязвимость, в то время как сараи крупных городов будут примером эксплойта — в этом районе есть люди, активно использующие известную проблему.

29- Как бы вы поставили под угрозу «офисное рабочее место» в отеле?

Учитывая, насколько они обычно заражены, я бы не стал трогать их 10-футовым шестом. При этом USB-кейлоггер легко вставить в заднюю часть этих систем без особого уведомления, в то время как программа автозапуска сможет работать быстро и тихо, оставляя программное обеспечение для выполнения грязной работы.По сути, это сезон открытых эксплойтов в подобной среде.

Уровень 4: Ключник

На этом этапе, если у вас есть физический доступ к ящику, вы являетесь его владельцем. Однако у вас также достаточно этики, чтобы не врываться во все, чего вы касаетесь, и именно здесь личная этика начинает становиться огромным преимуществом, если вы знаете, где проводить черту. Вы видели много грязной стороны InfoSec, знаете, что ее можно использовать как во благо, так и во зло, как и все остальное, и, скорее всего, вы сделали что-то по обе стороны забора.Тем не менее, вы знаете истинность высказывания «Чтобы поймать вора», вы прошли через тестирование на проникновение и, возможно, являетесь частью обычной команды, выполняющей упражнения против вашей сети и ее сети. места. К сожалению, Гозер не зайдет за едой. Прости за это.

31- Что хуже при обнаружении брандмауэра: ложноотрицательный или ложноположительный? И почему?

Несомненно, ложный отрицательный результат. Ложное срабатывание раздражает, но с ним легко справиться — назвать законный фрагмент трафика плохим.Однако ложноотрицательный результат означает, что вредоносный трафик проходит без происшествий, что определенно плохо.

32- Что лучше, красная команда или синяя команда?

Еще один вопрос-мнение, больше касающееся ваших интересов. В сценариях тестирования на проникновение красная команда пытается прорваться, в то время как синяя команда защищается. Красные команды обычно считаются «круче» из двух, а синие команды обычно более сложны. Обычные правила применяются, как и в любой игре защиты: синяя команда должна быть хорошей каждый раз, а красная команда должна быть хорошей только один раз.Это не совсем верно, учитывая сложности, возникающие в большинстве сценариев, но достаточно близко, чтобы объяснить идею.

33- В чем разница между тестом «Белый ящик» и тестом «Черный ящик»?

Информация предоставлена ​​лицом, заказавшим испытание. Тест «Белый ящик» — это тест, в котором команде по тестированию пера предоставляется как можно больше информации об окружающей среде, в то время как тест «Черный ящик» — это… ну… черный ящик. Они не знают, что внутри.

34- В чем разница между защитой информации и обеспечением информации?

Защита информации — это то, что звучит как защита информации с помощью программного обеспечения для шифрования, обеспечения безопасности и других методов, предназначенных для обеспечения ее безопасности.Information Assurance, с другой стороны, больше занимается поддержанием надежности данных — конфигурациями RAID, резервным копированием, методами предотвращения отказа и т. Д.

35- Как бы вы заблокировали мобильное устройство?

Еще один вопрос-мнение и, как обычно, много разных возможных ответов. Однако базой для них будут три ключевых элемента: приложение для защиты от вредоносных программ, утилита удаленной очистки и шифрование всего диска. Почти все современные мобильные устройства, независимо от производителя, имеют доступную защиту от вредоносных программ и удаленную очистку, и очень немногие системы сейчас не поставляются с полным шифрованием диска, доступным в качестве опции непосредственно в ОС.

36- В чем разница между закрытым исходным кодом и открытым исходным кодом? Что лучше?

Еще один вопрос мнения. Closed-source — это типичная коммерчески разработанная программа. Вы получаете исполняемый файл, который запускается и выполняет свою работу, не имея возможности заглянуть под капот. Однако открытый исходный код предоставляет исходный код, чтобы иметь возможность проверять все, что он делает, а также иметь возможность самостоятельно вносить изменения и перекомпилировать код. У обоих есть аргументы за и против, большинство из которых связано с аудитами и подотчетностью.Сторонники закрытого исходного кода утверждают, что открытый исходный код вызывает проблемы, потому что каждый может точно увидеть, как он работает, и использовать слабые места в программе. Счетчик с открытым исходным кодом говорит, что, поскольку программы с закрытым исходным кодом не предоставляют возможности для их полной проверки, трудно найти и устранить проблемы в программах за пределами определенного уровня.

37- Что вы думаете о таких хактивистских группах, как Anonymous?

Вы, наверное, догадались, что этот уровень очень важен для формирования мнений и выводов, и были правы — это особенно важный вопрос.Как и любая крупная группа без центрального лидера, они кажутся в основном хаотичными, временами кажущимися силой добра, а иногда причиняющими опустошение невинным. Здесь очень внимательно подбирайте слова, так как они могут нарушить условия сделки.

38- Что такое трехстороннее рукопожатие? Как его можно использовать для создания DOS-атаки?

Трехстороннее рукопожатие является краеугольным камнем пакета TCP: SYN, SYN / ACK, ACK. SYN — это исходящий запрос на соединение от клиента к серверу. ACK — это подтверждение сервера клиенту, говорящее, что да, я вас слышу, давайте откроем соединение.SYN / ACK — это последнее соединение, которое позволяет обоим говорить. Проблема в том, что это можно использовать как очень простой тип атаки отказа в обслуживании. Клиент открывает SYN-соединение, сервер отвечает SYN / ACK, но затем клиент отправляет другой SYN. Сервер рассматривает это как новый запрос на соединение и сохраняет открытое предыдущее соединение. Поскольку это повторяется много раз очень быстро, сервер быстро насыщается огромным количеством запросов на соединение, что в конечном итоге приводит к перегрузке его способности подключаться к законным пользователям.

39- Зачем вам привлекать внешнего подрядчика для проведения теста на проникновение?

Это похоже на то, как по-новому взглянуть на проблему: иногда встречаются люди, которые не хотят видеть или не хотят признаваться в проблеме. Дополнительная помощь в качестве аудита может действительно помочь устранить проблемы, которые ваша команда не может решить самостоятельно. Конечно, они могут стоить небольшое состояние, но они очень хороши в своем деле.

40- Если бы вы собирались взломать веб-сайт, основанный на базе данных, как бы вы это сделали?

А вот и обратная сторона медали: научитесь взламывать свои собственные системы, чтобы вы могли сами проверить их на проникновение.Хотя точные методы различаются для каждого типа сервера базы данных и языка программирования, проще всего сначала проверить вектор атаки с помощью SQL-инъекции. Например, если поля ввода не стерилизованы, простого ввода определенного набора символов в поле формы может быть достаточно для получения данных. В качестве альтернативы, опять же, в зависимости от того, как написан сайт, использования специально созданного URL-адреса также может быть достаточно для получения данных. Предварительное сканирование сервера может помочь в решении этой задачи, если это не тот сервер, который вы построили сами.

Уровень 5: вдохновитель

На этом этапе вы, вероятно, будете руководить своим собственным отделом, и у вас будет выбранная команда для работы с вами. Вы тратите больше времени на изменение политики и руководство тем, где ваши люди будут через 12–36 месяцев, чем на написание кода, но вы с лихвой восполнили это юридическим джитсу. Защита организации на самом высоком уровне — теперь ваша работа, и деньги, к лучшему или худшему, останутся на вас. В результате вам нужно постоянно быть в игре и иметь как можно больше преимуществ перед посторонними и недовольными сотрудниками, желающими заявить о себе.

41- Почему внутренние угрозы зачастую более успешны, чем внешние?

Когда вы видите что-то изо дня в день, даже если это сначала шокирует вас, вы склонны к этому привыкать. Это означает, что если вы видите кого-то, кто ковыряется день за днем, месяц за месяцем, вы можете привыкнуть к тому, что ему просто любопытно. Вы теряете бдительность и не так быстро реагируете на возможные угрозы. С другой стороны, скажем, например, у вас есть раздраженный сотрудник, которого скоро уволят, и который хочет показать своему бывшему работодателю, что он может их уволить, поэтому он продает свои все еще действующие учетные данные и карточный ключ местному группировка, специализирующаяся на преступлениях среди служащих.Остальные лазутчики переодеваются курьером и бесцельно бродят по офисным зданиям, получая информацию из лежащих поблизости заметок и бумаг. Внешние угрозы не имеют доступа примерно к этому уровню информации о компании, и чаще всего не проникают, если кто-то потратил 20 долларов на подделку униформы UPS.

42- Что такое остаточный риск?

Я позволю Эду Нортону ответить на этот вопрос: «Новая машина, построенная моей компанией, уезжает куда-то со скоростью 60 миль в час.Задний дифференциал блокируется. Машина разбивается и горит, все внутри оказались в ловушке. Теперь должны ли мы инициировать отзыв? Возьмите количество транспортных средств в полевых условиях, A , умножьте на вероятность отказа, B , умножьте на среднее внесудебное урегулирование, C . A умножить на B умножить на C равно X . Если X меньше стоимости отзыва, мы его не делаем ». Остаточный риск — это то, что остается после того, как вы сделаете все, что является рентабельным для повышения безопасности, но пойти дальше — это пустая трата ресурсов.Остаточный риск — это то, чем компания готова жить в надежде, что этого не произойдет.

43- Почему удаленные данные не исчезают, когда вы их удаляете?

Когда вы нажимаете удалить файл, он никуда не девается. Бит в файле переворачивается, сообщая операционной системе, что этот файл больше не нужен и его можно перезаписать, если потребуется. Пока этого не произойдет, файл можно будет восстановить независимо от того, находится он в корзине или нет. Есть способы обойти это, например, использовать шредеры файлов и очистители дисков, но оба из них требуют довольно много времени, чтобы завершить свою работу в разумной степени.

44- Что такое цепочка поставок?

При отслеживании данных или оборудования для использования в судебных процессах оно должно оставаться в нетронутом состоянии. Следовательно, точное документирование того, кто и как долго имел доступ, имеет жизненно важное значение при работе с этой ситуацией. Любая компрометация данных может привести к юридическим проблемам для вовлеченных сторон и может привести к неправильному судебному разбирательству или неуважению к делу в зависимости от сценария.

45- Как бы вы навсегда устранили угрозу попадания данных в чужие руки?

Если данные находятся на физических носителях, таких как дискета, компакт-диск или даже бумага, существуют измельчители, измельчители и разрушители, которые могут превратить пластик и бумагу в конфетти.Однако для жестких дисков это становится немного сложнее. В большинстве мест будет применяться двойной метод обеспечения разрушения диска: сначала используется специально созданная программа очистки диска, разборка жесткого диска, удаление пластин, царапание их до неузнаваемости и последующее размагничивание с помощью мощного магнита. . Это гарантирует, что данные нельзя будет восстановить обычными средствами.

46- Что такое эксфильтрация?

Проникновение — это метод, с помощью которого вы проникаете в какое-либо место или проникаете в него контрабандой.Эксфильтрация — это как раз обратное: получение конфиденциальной информации или объектов из места без обнаружения. В среде с высокой степенью безопасности это может быть чрезвычайно сложно, но возможно. Мы снова обращаемся к нашим друзьям в фальшивой форме доставки, которые бродят по зданию, и видим, что да, есть способы войти и выйти без особых проблем.

47- Я запускаю SMB. У меня 4 человека во всей моей компании и интернет-магазин. У меня нет времени, терпения или рабочей силы, чтобы нанять компьютерщика.Почему меня должны волновать эксплойты и компьютерный треп?

Это классическая ситуация-уловка: у компании недостаточно денег для защиты своих сетей, но по той же причине они не могут позволить себе выплату в случае взлома. В то же время они действительно не могут позволить себе иметь специализированного компьютерного техника, не говоря уже о консультанте по безопасности. Если вы сможете объяснить (словами, которые не звучат так, будто вы просто разжигаете страх), представители малого и среднего бизнеса признают, что им нужно сделать, чтобы обеспечить безопасность своего магазина, и продолжат получать платежи, поскольку отслеживание денег будет способствовать двигаться дальше.

48. Я генеральный директор компании из списка Fortune 500. Я зарабатываю за день больше, чем вы зарабатываете за год. Меня не волнуют эти дурацкие вещи, связанные с безопасностью, они просто стоят времени и денег и все замедляют. Почему мне должно быть дело до этого барахла?

Это значительно сложнее — они привыкли, что люди регулярно лгут, обманывают и крадут у них, и когда кто-то приходит и говорит, что компания потеряет все эти деньги, если вы за это не заплатите, они наверное, скажу нет.Поэтому жизненно важно выполнить домашнюю работу и получить поддержку местной ИТ-команды, а не оттолкнуть их. Выполнение оценки сайта, составление резюме и построчной разбивки того, что и где идет, может помочь им лучше понять, что будет сделано, и продолжить проект.

49- Я — юридический совет крупной корпорации. У нас есть требования к документированию активов и изменений кода. У нас очень ограниченный бюджет для этой задачи. Как бы вы разрешили это?

На самом деле это один из самых простых способов — у вас есть информированная сторона, которая просит помощи в чем-то важном.Деньги на проект есть (пусть и небольшие), но это лучше, чем ничего. В самом низу спектра это может быть выполнено не более чем в Excel с большим количеством времени и вводом данных, продвигаясь по всей цепочке к автоматизированным сетевым сканерам, документирующим все, что они находят, в базе данных и программах, которые регистрируют и программы с версией и дельта-файлами. Все зависит от того, насколько велик проект и насколько велика компания.

50 — Я новичок. Раньше я был кодером на своей старой работе, и мой менеджер хочет, чтобы я создал несколько специальных программ.Для этой задачи мне нужны права администратора домена. Мой босс сказал, что все в порядке, и вы либо дадите мне то, что мне нужно, либо вас уволят, и он найдет того, кто это сделает. Как вы ответите?

К сожалению, вы хотя бы раз столкнетесь с хардболистом в своей карьере. Однако в этом случае, как и в других случаях, с которыми мы столкнулись, пора переместить его вверх по цепочке к менеджеру. Они смогут сказать «да» или «нет» в зависимости от того, что конкретно представляет собой проект, и смогут принять на себя основной удар атаки, если она произойдет.

Заинтересованы в дополнительных вопросах интервью? Ознакомьтесь со следующими статьями:

Топ-10 вопросов на собеседовании по вопросам этического взлома

25 лучших вопросов по безопасности + интервью

10 лучших вопросов на собеседовании по CISSP

Глава 1 — Почему информационная безопасность в образовании ?, из публикации NCES 98-297 (Национальный центр статистики образования)

Пропустить навигацию IES

NCES

Национальный центр статистики образования
  • Обзоры и программы
    • Годовые отчеты
      • Состояние образования Сборник статистики образования Статус и тенденции в образовании расовых и этнических групп Прогнозы статистики образования Показатели школьной преступности и безопасности Тенденции в показателях отсева и окончания средней школы в США
    • Национальные оценки
      • Национальная оценка образовательного прогресса (NAEP) Программа международной оценки компетенций взрослых (PIAAC)
    • Международные оценки
      • Программа международной деятельности (IAP)
    • Раннее детство
      • Лонгитюдное исследование в раннем детстве (ECLS) Национальное обследование домашнего образования (NHES)
    • Начальное / Среднее
      • Общее ядро ​​данных (CCD) Программа вторичных лонгитюдных исследований Демографические и географические оценки образования (EDGE) Национальный опрос учителей и директоров школ (NTPS) Больше…
    • Библиотека
      • Программа библиотечной статистики
    • Высшее
      • Бакалавриат и не только (B&B) Статистика карьеры / технического образования (CTES) Интегрированная система данных о послесреднем образовании (IPEDS) Национальное исследование помощи студентам послешкольного образования (NPSAS) Больше…
    • Системы данных, использование и конфиденциальность
      • Общие стандарты данных об образовании (CEDS) Национальный форум по статистике образования Программа грантов по системам продольных данных в масштабе штата — (SLDS) Больше…
    • ресурсов
      • Дистанционное обучение по набору данных Национальный кооператив послесреднего образования (NPEC) Программа статистических стандартов Больше…
  • Данные и инструменты
    • Загрузки Microdata / Raw Data
      • EDAT Проект Delta Cost Дата-центр IPEDS Как подать заявку на лицензию на ограниченное использование
    • Онлайн-анализ
      • Таблицы ASC-ED Лаборатория данных Элементарная вторичная информационная система Международный обозреватель данных Дата-центр IPEDS Проводник данных NAEP
    • Поиск школ и колледжей
      • Панель управления ACS Штурман колледжа Частные школы Районы государственных школ Общеобразовательные школы Искать школы и колледжи
    • Инструменты сравнения
      • Профили штатов NAEP (национальный отчет.правительство) Поиск коллег по финансам округа государственных школ Центр статистики финансирования образования Дата-центр IPEDS
    • Инструменты анкеты
      • Инструмент вопросов NAEP Инструмент вопросов NAAL
    • Географические инструменты
      • Панель управления ACS-ED Карты ACS-ED CollegeMap Поиск локали MapEd SAFEMap Школьный и районный навигатор
    • Прочие инструменты
      • Библиография Реестр данных ED
  • Быстрые факты
    • Оценки Раннее детство Начальная и средняя школа Библиотека Высшее и не только Ресурсы
  • Новости и события
    • Блог NCES Что нового в NCES Конференции / Обучение NewsFlash Возможности финансирования Пресс-релизы StatChat
  • Публикации и продукты

Определение информационной безопасности и синонимы информационной безопасности (английский)

Атрибуты информационной безопасности : или качества, т.е.е., Конфиденциальность, целостность и доступность (CIA). Информационные системы подразделяются на три основных части: аппаратное обеспечение, программное обеспечение и средства связи с целью выявления и применения отраслевых стандартов информационной безопасности как механизмов защиты и предотвращения на трех уровнях или уровнях: физическом, личном и организационном. По сути, процедуры или политики реализуются, чтобы сообщить людям (администраторам, пользователям и операторам), как использовать продукты для обеспечения информационной безопасности в организациях.

Информационная безопасность означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации, просмотра, проверки, записи или уничтожения. [1]

Термины «информационная безопасность», «компьютерная безопасность» и «информационное обеспечение» часто используются как синонимы. Эти области часто взаимосвязаны и разделяют общие цели защиты конфиденциальности, целостности и доступности информации; однако между ними есть некоторые тонкие различия.

Эти различия заключаются в основном в подходе к предмету, используемых методологиях и сферах концентрации внимания. Информационная безопасность связана с конфиденциальностью, целостностью и доступностью данных независимо от формы, которую данные могут принимать: электронная, печатная или другие формы. Компьютерная безопасность может быть сосредоточена на обеспечении доступности и правильной работы компьютерной системы, не заботясь о информации, хранящейся или обрабатываемой компьютером. Гарантия информации сосредотачивается на причинах уверенности в том, что информация защищена, и, таким образом, основывается на информационной безопасности.

Правительства, военные, корпорации, финансовые учреждения, больницы и частные компании накапливают большой объем конфиденциальной информации о своих сотрудниках, клиентах, продуктах, исследованиях и финансовом состоянии. Большая часть этой информации теперь собирается, обрабатывается и хранится на электронных компьютерах и передается по сетям на другие компьютеры.

Если конфиденциальная информация о клиентах или финансах компании или новой линейке продуктов попадет в руки конкурента, такое нарушение безопасности может привести к негативным последствиям.Защита конфиденциальной информации — это бизнес-требование, а во многих случаях также этическое и юридическое требование.

Для человека информационная безопасность оказывает значительное влияние на конфиденциальность, которая в разных культурах рассматривается по-разному.

В последние годы область информационной безопасности значительно выросла и эволюционировала. Есть много способов сделать карьеру в этой сфере. Он предлагает множество областей для специализации, в том числе: защита сети (сетей) и смежной инфраструктуры, защита приложений и баз данных, тестирование безопасности, аудит информационных систем, планирование непрерывности бизнеса, цифровая криминалистика и т. Д.

В этой статье представлен общий обзор информационной безопасности и ее основных понятий.

История

С первых дней написания статьи главы государств и военачальники поняли, что необходимо обеспечить некоторый механизм для защиты конфиденциальности письменной корреспонденции и иметь некоторые средства обнаружения фальсификации.

Юлию Цезарю приписывают изобретение шифра Цезаря ок. 50 г. до н.э., который был создан для того, чтобы его секретные сообщения не были прочитаны, если сообщение попадет в чужие руки.

Вторая мировая война принесла много успехов в области информационной безопасности и положила начало профессиональной сфере информационной безопасности.

Конец 20 века и начало 21 века ознаменовались быстрым развитием телекоммуникаций, вычислительного оборудования и программного обеспечения, а также шифрования данных. Доступность меньшего, более мощного и менее дорогого компьютерного оборудования сделала электронную обработку данных доступной для малого бизнеса и домашних пользователей.Эти компьютеры быстро стали взаимосвязаны через сеть, обычно называемую Интернетом.

Быстрый рост и широкое распространение электронной обработки данных и электронных деловых операций, проводимых через Интернет, наряду с многочисленными проявлениями международного терроризма, подпитывают потребность в более эффективных методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Академические дисциплины компьютерная безопасность, информационная безопасность и обеспечение информации возникли вместе с многочисленными профессиональными организациями — все они разделяют общие цели обеспечения безопасности и надежности информационных систем.

Основные принципы

Ключевые концепции

Триада ЦРУ (конфиденциальность, целостность и доступность) — один из основных принципов информационной безопасности. [2]

Продолжаются споры о расширении этого классического трио. [требуется ссылка ] Другие принципы, такие как подотчетность [3] , иногда предлагались для добавления — было указано [требуется ссылка ] , что такие вопросы, как отказ от авторства, не подходят для трех основных концепций, и по мере того, как регулирование компьютерных систем усиливается (особенно среди западных стран), Законность становится ключевым фактором для практических установок безопасности. [ требуется ссылка ]

В 1992 г. и пересмотренном в 2002 г. Руководство ОЭСР по безопасности информационных систем и сетей [4] предложило девять общепринятых принципов: осведомленность, ответственность, реагирование, этика, демократия, оценка рисков, разработка и реализация безопасности, управление безопасностью. , и переоценка. Основываясь на этих принципах, в 2004 году NIST «Инженерные принципы безопасности информационных технологий» [5] предложили 33 принципа.На основе каждого из этих руководств и практик.

В 2002 году Донн Паркер предложил альтернативную модель классической триады ЦРУ, которую он назвал шестью атомарными элементами информации. Элементами являются конфиденциальность, владение, целостность, подлинность, доступность и полезность. Достоинства гексады Паркера являются предметом споров среди профессионалов в области безопасности. [ требуется ссылка ]

Конфиденциальность

Конфиденциальность — это термин, используемый для предотвращения раскрытия информации неавторизованным лицам или системам.Например, транзакция по кредитной карте в Интернете требует, чтобы номер кредитной карты был передан от покупателя продавцу и от продавца в сеть обработки транзакций. Система пытается обеспечить конфиденциальность, шифруя номер карты во время передачи, ограничивая места, где он может отображаться (в базах данных, файлах журнала, резервных копиях, распечатанных квитанциях и т. Д.), А также ограничивая доступ к местам, где он хранится. . Если неавторизованная сторона каким-либо образом получает номер карты, происходит нарушение конфиденциальности.

Нарушение конфиденциальности принимает различные формы. Разрешить кому-либо смотреть через ваше плечо на экран вашего компьютера, пока на нем отображаются конфиденциальные данные, может быть нарушением конфиденциальности. Если портативный компьютер, содержащий конфиденциальную информацию о сотрудниках компании, будет украден или продан, это может привести к нарушению конфиденциальности. Предоставление конфиденциальной информации по телефону является нарушением конфиденциальности, если вызывающий абонент не уполномочен на получение такой информации.

Конфиденциальность необходима (но недостаточна) для сохранения конфиденциальности людей, чьи личные данные хранятся в системе. [ требуется ссылка ]

Целостность

В информационной безопасности целостность означает, что данные не могут быть изменены незаметно. [требуется ссылка ] Это не то же самое, что ссылочная целостность в базах данных, хотя ее можно рассматривать как частный случай согласованности, как она понимается в классической модели обработки транзакций ACID.Целостность нарушается, когда сообщение активно изменяется при передаче. Системы информационной безопасности обычно обеспечивают целостность сообщений в дополнение к конфиденциальности данных.

Наличие

Чтобы любая информационная система могла служить своей цели, информация должна быть доступна тогда, когда она необходима. Это означает, что вычислительные системы, используемые для хранения и обработки информации, меры безопасности, используемые для ее защиты, и каналы связи, используемые для доступа к ней, должны работать правильно.Системы высокой доступности стремятся оставаться доступными в любое время, предотвращая перебои в обслуживании из-за перебоев в подаче электроэнергии, отказов оборудования и обновлений системы. Обеспечение доступности также включает предотвращение атак типа «отказ в обслуживании».

Подлинность

В вычислительной технике, электронном бизнесе и информационной безопасности необходимо обеспечить подлинность данных, транзакций, сообщений или документов (электронных или физических). Для аутентичности также важно подтвердить, что обе вовлеченные стороны являются теми, кем они себя называют.

Отсутствие отказа от авторства

По закону неотказ от авторства подразумевает намерение выполнить свои обязательства по контракту. Это также подразумевает, что одна сторона транзакции не может отрицать получение транзакции, а другая сторона не может отрицать отправку транзакции.

Электронная коммерция использует такие технологии, как цифровые подписи и шифрование с открытым ключом, для установления подлинности и предотвращения отказа от авторства.

Управление рисками

Исчерпывающее рассмотрение темы управления рисками выходит за рамки данной статьи.Тем не менее, будет предоставлено полезное определение управления рисками, а также некоторая основная терминология и обычно используемый процесс управления рисками.

Руководство по обзору CISA 2006 дает следующее определение управления рисками: «Управление рисками — это процесс выявления уязвимостей и угроз для информационных ресурсов, используемых организацией для достижения бизнес-целей, и принятия решения о том, какие контрмеры, если таковые имеются, предпринять. снижение риска до приемлемого уровня, основанного на ценности информационного ресурса для организации.» [6]

В этом определении есть два момента, которые могут потребовать некоторого пояснения. Во-первых, процесс управления рисками — это непрерывный итеративный процесс. Это нужно повторять бесконечно. Бизнес-среда постоянно меняется, и каждый день появляются новые угрозы и уязвимости. Во-вторых, выбор контрмер (средств контроля), используемых для управления рисками, должен обеспечивать баланс между производительностью, стоимостью, эффективностью контрмер и стоимостью защищаемого информационного актива.

Анализ рисков и процессы оценки рисков имеют свои ограничения, поскольку инциденты безопасности возникают в контексте, а их редкость и даже уникальность порождают непредсказуемые угрозы. Анализ этих явлений, которые характеризуются поломками, неожиданностями и побочными эффектами, требует теоретического подхода, который способен исследовать и субъективно интерпретировать детали каждого инцидента [7] .

Риск — это вероятность того, что произойдет что-то плохое, что нанесет ущерб информационному активу (или потеряет актив).Уязвимость — это уязвимость, которая может быть использована, чтобы поставить под угрозу или нанести вред информационному активу. Угроза — это что-либо (созданное руками человека или стихийным бедствием), потенциально способное причинить вред.

Вероятность того, что угроза использует уязвимость для причинения вреда, создает риск. Когда угроза действительно использует уязвимость для нанесения вреда, она оказывает влияние. В контексте информационной безопасности последствиями являются потеря доступности, целостности и конфиденциальности, а также, возможно, другие потери (потерянный доход, гибель людей, потеря недвижимого имущества).Следует отметить, что невозможно идентифицировать все риски или устранить все риски. Остающийся риск называется остаточным риском .

Оценка рисков проводится группой людей, которые обладают знаниями в конкретных областях бизнеса. Состав команды может меняться с течением времени, поскольку оцениваются разные части бизнеса. В оценке может использоваться субъективный качественный анализ, основанный на информированном мнении, или, если доступны надежные долларовые цифры и историческая информация, анализ может использовать количественный анализ.

Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, разработчик или другой человек. [8] Практический кодекс ISO / IEC 27002: 2005 по менеджменту информационной безопасности рекомендует изучить следующее при оценке риска:

  • политика безопасности,
  • организация защиты информации,
  • управление активами,
  • кадровая безопасность,
  • физическая и экологическая безопасность,
  • Управление коммуникациями и операциями,
  • контроль доступа,
  • приобретение, разработка и обслуживание информационных систем,
  • Управление инцидентами информационной безопасности,
  • управления непрерывностью бизнеса и
  • соответствие нормативным требованиям.

В целом процесс управления рисками состоит из:

  1. Идентификация активов и оценка их стоимости. Включают: людей, здания, оборудование, программное обеспечение, данные (электронные, печатные, прочее), расходные материалы.
  2. Проведите оценку угроз. Включая: стихийные бедствия, военные действия, несчастные случаи, злонамеренные действия, исходящие изнутри или вне организации.
  3. Проведите оценку уязвимости и для каждой уязвимости рассчитайте вероятность того, что она будет использована.Оцените политики, процедуры, стандарты, обучение, физическую безопасность, контроль качества, техническую безопасность.
  4. Рассчитайте влияние каждой угрозы на каждый актив. Используйте качественный анализ или количественный анализ.
  5. Определите, выберите и внедрите соответствующие средства управления. Дайте пропорциональный ответ. Учитывайте производительность, экономическую эффективность и стоимость актива.
  6. Оцените эффективность мер контроля. Убедитесь, что средства управления обеспечивают необходимую экономичную защиту без заметной потери производительности.

Для любого данного риска высшее руководство может выбрать вариант принять риск , исходя из относительно низкой стоимости актива, относительно низкой частоты возникновения и относительно низкого воздействия на бизнес. Или руководство может решить снизить риск путем выбора и реализации соответствующих мер контроля для снижения риска. В некоторых случаях риск может быть передан другому бизнесу путем покупки страховки или передачи другому бизнесу. [9] Реальность некоторых рисков может быть оспорена. В таких случаях руководство может выбрать вариант , чтобы исключить риск .

Органы управления

Основная статья: меры безопасности

Когда руководство решает снизить риск, оно будет делать это путем внедрения одного или нескольких из трех различных типов контроля.

Административный

Административный контроль (также называемый процедурным контролем) состоит из утвержденных письменных политик, процедур, стандартов и руководств.Административный контроль формирует основу для ведения бизнеса и управления людьми. Они информируют людей о том, как следует вести бизнес и как следует вести повседневные операции. Законы и постановления, создаваемые государственными органами, также являются разновидностью административного контроля, поскольку они информируют бизнес. В некоторых отраслях промышленности есть политики, процедуры, стандарты и руководящие принципы, которым необходимо следовать — например, Стандарт безопасности данных индустрии платежных карт (PCI), требуемый Visa и Master Card.Другие примеры административного контроля включают корпоративную политику безопасности, политику паролей, политику найма и дисциплинарную политику.

Административные элементы управления образуют основу для выбора и реализации логических и физических элементов управления. Логический и физический контроль — это проявления административного контроля. Административный контроль имеет первостепенное значение.

Логический

Логические элементы управления (также называемые техническими элементами управления) используют программное обеспечение и данные для мониторинга и контроля доступа к информации и вычислительным системам.Например: пароли, брандмауэры на основе сети и хоста, системы обнаружения сетевых вторжений, списки контроля доступа и шифрование данных являются логическими элементами управления.

Важным логическим элементом управления, на который часто не обращают внимания, является принцип минимальных привилегий . Принцип минимальных прав требует, чтобы отдельному лицу, программе или системному процессу не предоставлялось больше прав доступа, чем необходимо для выполнения задачи. Наглядным примером несоблюдения принципа минимальных привилегий является вход в Windows как пользователь-администратор, чтобы читать электронную почту и просматривать веб-страницы.Нарушение этого принципа также может происходить, когда человек со временем собирает дополнительные права доступа. Это происходит, когда меняются должностные обязанности сотрудников, их переводят на новую должность или переводят в другой отдел. Привилегии доступа, требуемые их новыми обязанностями, часто добавляются к их уже существующим привилегиям доступа, которые могут больше не быть необходимыми или подходящими.

Физическое

Физические средства управления контролируют и контролируют среду на рабочем месте и вычислительных средствах.Они также отслеживают и контролируют доступ к таким объектам и из них. Например: двери, замки, отопление и кондиционирование воздуха, дымовая и пожарная сигнализация, системы пожаротушения, камеры, баррикады, ограждения, охрана, кабельные замки и т. Д. Разделение сети и рабочего места на функциональные зоны также является физическим контролем.

Важным физическим контролем, на который часто не обращают внимания, является разделение обязанностей . Разделение обязанностей гарантирует, что человек не сможет самостоятельно выполнить важную задачу.Например: сотрудник, который отправляет запрос на возмещение, также не должен иметь возможность авторизовать платеж или распечатать чек. Программист приложений не должен также быть администратором сервера или администратором базы данных — эти роли и обязанности должны быть отделены друг от друга. [10]

Глубокая защита

Информационная безопасность должна защищать информацию на протяжении всего жизненного цикла информации, от первоначального создания информации до окончательного удаления информации.Информация должна быть защищена как в движении, так и в состоянии покоя. В течение своего жизненного цикла информация может проходить через множество различных систем обработки информации и через множество различных частей систем обработки информации. Есть много разных способов, которыми может угрожать информация и информационные системы. Чтобы полностью защитить информацию в течение всего срока ее существования, каждый компонент системы обработки информации должен иметь свои собственные механизмы защиты. Наращивание, разделение и перекрытие мер безопасности называется глубокоэшелонированной защитой.Сила любой системы не превосходит ее самое слабое звено. При использовании стратегии глубокоэшелонированной защиты на случай неудачи одной из защитных мер существуют другие защитные меры, которые продолжают обеспечивать защиту.

Вспомните предыдущее обсуждение административных элементов управления, логических элементов управления и физических элементов управления. Эти три типа контроля могут использоваться для формирования основы для построения стратегии глубокоэшелонированной защиты. При таком подходе глубокоэшелонированная защита может быть представлена ​​в виде трех отдельных слоев или плоскостей, расположенных один поверх другого.Дополнительное понимание глубокоэшелонированной защиты может быть получено, если представить ее как формирование слоев луковицы, с данными в ядре луковицы, людьми на следующем внешнем уровне луковицы, а также сетевой безопасностью, безопасностью на основе хоста и безопасность приложений, образующих самые внешние слои лука. Обе точки зрения одинаково верны, и каждая дает ценную информацию о реализации хорошей стратегии глубокоэшелонированной защиты.

Классификация защиты информации

Важным аспектом информационной безопасности и управления рисками является признание ценности информации и определение соответствующих процедур и требований к защите информации.Не вся информация одинакова, поэтому не вся информация требует одинаковой степени защиты. Это требует присвоения информации классификации безопасности.

Первым шагом в классификации информации является определение члена высшего руководства как владельца конкретной информации, подлежащей классификации. Затем разработайте политику классификации. Политика должна описывать различные метки классификации, определять критерии для информации, которой должна быть назначена конкретная метка, и перечислять необходимые меры безопасности для каждой классификации.

Некоторые факторы, влияющие на то, какая классификационная информация должна быть назначена, включают, насколько эта информация имеет значение для организации, сколько ей лет и устарела ли информация. Законы и другие нормативные требования также являются важными факторами при классификации информации.

Тип выбранных и используемых классификационных меток информационной безопасности будет зависеть от характера организации, например:

  • В коммерческом секторе такие ярлыки, как: Public, Sensitive, Private, Confidential .
  • В государственном секторе такие ярлыки, как: Unclassified , Sensitive But Unclassified , Restricted , Confidential , Secret , Top Secret и их неанглийские эквиваленты.
  • В межотраслевых образованиях — протокол светофора, который состоит из: белого, зеленого, янтарного и красного .

Все сотрудники организации, а также деловые партнеры должны быть обучены работе со схемой классификации и понимать необходимые меры безопасности и процедуры обработки для каждой классификации.Присвоенная классификация конкретного информационного актива должна периодически пересматриваться, чтобы гарантировать, что классификация по-прежнему соответствует информации, и чтобы гарантировать наличие мер безопасности, требуемых классификацией.

Контроль доступа

Доступ к защищенной информации должен быть ограничен лицами, имеющими право доступа к информации. Компьютерные программы и, во многих случаях, компьютеры, обрабатывающие информацию, также должны быть авторизованы.Это требует наличия механизмов для контроля доступа к защищенной информации. Сложность механизмов контроля доступа должна соответствовать ценности защищаемой информации: чем более конфиденциальной или ценной является информация, тем надежнее должны быть механизмы контроля. Основа, на которой строятся механизмы контроля доступа, начинается с идентификации и аутентификации.

Идентификация — это утверждение, кто кто-то или что есть что-то.Если человек делает заявление «Здравствуйте, меня зовут Джон Доу» , он заявляет, кто он. Однако их утверждение может быть правдой, а может и нет. Прежде чем Джону Доу будет предоставлен доступ к защищенной информации, необходимо будет убедиться, что человек, называющий себя Джоном Доу, действительно является Джоном Доу.

Аутентификация — это акт проверки утверждения личности. Когда Джон Доу идет в банк, чтобы снять деньги, он говорит кассиру банка, что он Джон Доу (удостоверение личности).Кассир банка просит показать удостоверение личности с фотографией, поэтому он передает кассиру свои водительские права. Кассир банка проверяет лицензию, чтобы убедиться, что на ней напечатан Джон Доу, и сравнивает фотографию на лицензии с фотографией человека, который утверждает, что он Джон Доу. Если фотография и имя совпадают с именем человека, кассир подтвердил, что Джон Доу является тем, кем он себя назвал.

Существует три различных типа информации, которые могут использоваться для аутентификации: то, что вы знаете, что-то, что у вас есть, или то, чем вы являетесь. Примеры то, что вы знаете , включают такие вещи, как PIN-код, пароль или девичью фамилию вашей матери. Примеры то, что у вас есть , включают водительские права или магнитную карту. Что-то ты относится к биометрии. Примеры биометрии включают отпечатки ладоней, отпечатки пальцев, отпечатки голоса и сканирование сетчатки (глаз). Сильная аутентификация требует предоставления информации из двух из трех различных типов аутентификационной информации. Например, что-то, что вы знаете, плюс то, что у вас есть.Это называется двухфакторной аутентификацией.

В компьютерных системах, используемых сегодня, имя пользователя является наиболее распространенной формой идентификации, а пароль — наиболее распространенной формой аутентификации. Имена пользователей и пароли послужили своей цели, но в нашем современном мире их уже недостаточно. [ необходима ссылка ] Имена пользователей и пароли постепенно заменяются более сложными механизмами аутентификации.

После того, как человек, программа или компьютер были успешно идентифицированы и аутентифицированы, необходимо определить, к каким информационным ресурсам им разрешен доступ и какие действия им будет разрешено выполнять (запускать, просматривать, создавать, удалять или изменять).Это называется авторизацией .

Авторизация для доступа к информации и другим вычислительным услугам начинается с административных политик и процедур. Политики предписывают, к какой информации и компьютерным сервисам можно получить доступ, кто и на каких условиях. Затем настраиваются механизмы контроля доступа для применения этих политик.

Различные вычислительные системы оснащены различными механизмами контроля доступа — некоторые из них могут даже предлагать на выбор различные механизмы контроля доступа.Предлагаемый системой механизм управления доступом будет основан на одном из трех подходов к управлению доступом или может быть получен из комбинации трех подходов.

Недискреционный подход объединяет весь контроль доступа в рамках централизованного администрирования. Доступ к информации и другим ресурсам обычно зависит от функции (роли) человека в организации или задач, которые он должен выполнять. Дискреционный подход дает создателю или владельцу информационного ресурса возможность контролировать доступ к этим ресурсам.В подходе к обязательному управлению доступом доступ предоставляется или запрещается на основании классификации безопасности, назначенной информационному ресурсу.

Примеры распространенных механизмов управления доступом, используемых сегодня, включают управление доступом на основе ролей, доступное во многих передовых системах управления базами данных, простые права доступа к файлам, предоставляемые в операционных системах UNIX и Windows, объекты групповой политики, предоставляемые в сетевых системах Windows, Kerberos, RADIUS, TACACS , а также простые списки доступа, используемые во многих межсетевых экранах и маршрутизаторах.

Чтобы быть эффективными, политики и другие меры безопасности должны быть реализованы и поддерживаться. Эффективная политика гарантирует, что люди несут ответственность за свои действия. Все неудачные и успешные попытки аутентификации должны регистрироваться, и любой доступ к информации должен оставлять некоторый контрольный след. [ требуется ссылка ]

Кроме того, при обсуждении контроля доступа необходимо учитывать принцип необходимости знать . Принцип служебной необходимости дает человеку права доступа для выполнения своих служебных функций.Этот принцип используется в правительстве при устранении различий. Несмотря на то, что у двух сотрудников в разных отделах есть сверхсекретный допуск, они должны знать, чтобы обмениваться информацией. В рамках принципа служебной необходимости сетевые администраторы предоставляют сотруднику минимальные привилегии, чтобы предотвратить доступ сотрудников к большему количеству, чем то, что от них предполагается, и выполнение им своих действий. Необходимость знать помогает обеспечить соблюдение триады «конфиденциальная целостность-доступность» (C-I-A). Необходимость знать напрямую влияет на конфиденциальную область триады.

Криптография

Информационная безопасность использует криптографию для преобразования полезной информации в форму, которая делает ее непригодной для использования кем-либо, кроме авторизованного пользователя; этот процесс называется шифрованием. Информация, которая была зашифрована (сделана непригодной для использования), может быть преобразована обратно в ее исходную пригодную для использования форму авторизованным пользователем, который обладает криптографическим ключом, посредством процесса дешифрования. Криптография используется в информационной безопасности для защиты информации от несанкционированного или случайного раскрытия, когда информация находится в пути (электронном или физическом) и пока информация находится в хранилище.

Криптография обеспечивает защиту информации с другими полезными приложениями, включая улучшенные методы аутентификации, дайджесты сообщений, цифровые подписи, защиту от авторства и зашифрованные сетевые коммуникации. Старые менее безопасные приложения, такие как telnet и ftp, постепенно заменяются более безопасными приложениями, такими как ssh, которые используют шифрованную сетевую связь. Беспроводная связь может быть зашифрована с использованием таких протоколов, как WPA / WPA2 или более старый (и менее безопасный) WEP.Проводная связь (например, ITU-T G.hn) защищена с помощью AES для шифрования и X.1035 для аутентификации и обмена ключами. Программные приложения, такие как GnuPG или PGP, могут использоваться для шифрования файлов данных и электронной почты.

Криптография может вызвать проблемы с безопасностью, если она реализована неправильно. Криптографические решения должны быть реализованы с использованием принятых в отрасли решений, которые прошли тщательную экспертную оценку независимых экспертов в области криптографии. Длина и надежность ключа шифрования также являются важным фактором.Слабый или слишком короткий ключ приведет к слабому шифрованию. Ключи, используемые для шифрования и дешифрования, должны быть защищены с той же степенью строгости, что и любая другая конфиденциальная информация. Они должны быть защищены от несанкционированного раскрытия и уничтожения и должны быть доступны при необходимости. Решения PKI решают многие проблемы, связанные с управлением ключами.

Процесс

Термины разумный и осмотрительный человек , должная осмотрительность и должная осмотрительность уже много лет используются в сферах финансов, ценных бумаг и права.В последние годы эти термины нашли применение в области вычислений и информационной безопасности. Федеральные правила вынесения приговоров в США теперь позволяют привлекать корпоративных должностных лиц к ответственности за невыполнение должной осмотрительности и должной осмотрительности при управлении своими информационными системами.

В деловом мире акционеры, клиенты, деловые партнеры и правительства ожидают, что должностные лица корпорации будут вести бизнес в соответствии с принятой деловой практикой, законами и другими нормативными требованиями.Это часто называют правилом «разумного и расчетливого человека». Благоразумный человек должным образом заботится о том, чтобы было сделано все необходимое для ведения бизнеса в соответствии с разумными принципами ведения бизнеса и с соблюдением этических норм. Благоразумный человек также прилежен (внимателен, внимателен и постоянен) в должной заботе о бизнесе.

В области информационной безопасности Harris [11] предлагает следующие определения должной заботы и должной осмотрительности :

«Надлежащая осторожность — это шаги, которые предпринимаются, чтобы показать, что компания взяла на себя ответственность за действия, которые происходят внутри корпорации, и предприняла необходимые шаги для защиты компании, ее ресурсов и сотрудников.« И, [комплексная проверка] » — постоянная деятельность, обеспечивающая постоянное поддержание и работоспособность механизмов защиты ».

Следует обратить внимание на два важных момента в этих определениях. Во-первых, при должной осторожности предпринимаются шаги к показать — это означает, что шаги можно проверить, измерить или даже создать ощутимые артефакты. Во-вторых, при должной осмотрительности существует непрерывных действий — это означает, что люди на самом деле что-то делают для мониторинга и поддержания механизмов защиты, и эти действия продолжаются.

Управление безопасностью

Институт программной инженерии Университета Карнеги-Меллона в публикации под названием «Управление безопасностью предприятия (GES)» определяет характеристики эффективного управления безопасностью. К ним относятся:

  • Общий выпуск
  • Руководители подотчетны
  • Считается бизнес-требованием
  • На основе риска
  • Определение ролей, обязанностей и разделения обязанностей
  • Адресовано и применяется в политике
  • Выделено достаточных ресурсов
  • Персонал осведомлен и обучен
  • Требования к жизненному циклу разработки
  • Планируемые, управляемые, измеримые и измеряемые
  • Проверено и проаудировано

Планы реагирования на инциденты

Основная статья: Управление инцидентами компьютерной безопасности

От 1 до 3 абзацев (не технических), в которых обсуждается:

  • Отбор членов команды
  • Определите роли, обязанности и распределение полномочий
  • Определение инцидента безопасности
  • Определите инцидент, о котором необходимо сообщить
  • Обучение
  • Обнаружение
  • Классификация
  • Обращение
  • Изолятор
  • Искоренение
  • Документация

Управление изменениями

Основная статья: Управление изменениями (ITSM)

Управление изменениями — это формальный процесс для направления и контроля изменений в среде обработки информации.Это включает в себя изменения настольных компьютеров, сети, серверов и программного обеспечения. Цели управления изменениями — снизить риски, связанные с изменениями в среде обработки информации, и повысить стабильность и надежность среды обработки по мере внесения изменений. Целью управления изменениями не является предотвращение или препятствование внедрению необходимых изменений.

Любое изменение среды обработки информации вносит элемент риска.Даже кажущиеся простыми изменения могут иметь неожиданные последствия. Одна из многих обязанностей менеджеров — это управление рисками. Управление изменениями — это инструмент для управления рисками, вызванными изменениями в среде обработки информации. Часть процесса управления изменениями гарантирует, что изменения не будут реализованы в неподходящее время, когда они могут нарушить критические бизнес-процессы или помешать другим внедряемым изменениям.

Не каждое изменение требует управления. Некоторые виды изменений являются частью повседневной рутины обработки информации и соответствуют заранее определенной процедуре, что снижает общий уровень риска для среды обработки.Создание новой учетной записи пользователя или развертывание нового настольного компьютера — это примеры изменений, которые обычно не требуют управления изменениями. Однако перемещение общих файловых ресурсов пользователей или обновление сервера электронной почты создают гораздо более высокий уровень риска для среды обработки и не являются обычной повседневной деятельностью. Важнейшими первыми шагами в управлении изменениями являются (а) определение изменения (и передача этого определения) и (б) определение объема системы изменений.

Управление изменениями обычно контролируется Советом по обзору изменений, состоящим из представителей ключевых областей бизнеса, безопасности, сетей, системных администраторов, администрирования баз данных, разработки приложений, поддержки настольных компьютеров и службы поддержки.Задачи Совета по обзору изменений можно облегчить с помощью приложения для автоматизированного рабочего процесса. В обязанности Совета по анализу изменений входит обеспечение соблюдения организацией задокументированных процедур управления изменениями. Процесс управления изменениями выглядит следующим образом:

  • Запрошено: Любой может запросить изменение. Лицо, делающее запрос на изменение, может быть или не быть тем же лицом, которое выполняет анализ или реализует изменение. Когда запрос на изменение получен, он может пройти предварительную проверку, чтобы определить, совместимо ли запрошенное изменение с бизнес-моделью и практикой организации, а также для определения количества ресурсов, необходимых для внедрения изменения.
  • Утверждено: Руководство управляет бизнесом и контролирует распределение ресурсов, поэтому руководство должно утверждать запросы на изменения и назначать приоритет для каждого изменения. Руководство может отклонить запрос на изменение, если изменение несовместимо с бизнес-моделью, отраслевыми стандартами или передовой практикой. Руководство также может отклонить запрос на изменение, если изменение требует больше ресурсов, чем может быть выделено для изменения.
  • Запланировано: Планирование изменения включает в себя определение масштаба и воздействия предлагаемого изменения; анализ сложности изменения; выделение ресурсов и разработка, тестирование и документирование планов реализации и отката.Необходимо определить критерии, по которым будет принято решение об отказе.
  • Проверено: Каждое изменение должно быть протестировано в безопасной тестовой среде, которая точно отражает фактическую производственную среду, прежде чем изменение будет применено к производственной среде. План отката также должен быть протестирован.
  • Запланировано: Часть ответственности совета по анализу изменений заключается в оказании помощи в планировании изменений путем проверки предложенной даты внедрения на предмет потенциальных конфликтов с другими запланированными изменениями или критически важными бизнес-действиями.
  • Передано: После того, как изменение было запланировано, о нем необходимо сообщить. Коммуникация предназначена для того, чтобы дать другим возможность напомнить совету по обзору изменений о других изменениях или важных бизнес-действиях, которые могли быть упущены при планировании изменения. Связь также служит для информирования службы поддержки и пользователей о предстоящих изменениях. Еще одна обязанность комиссии по обзору изменений — убедиться, что запланированные изменения были должным образом доведены до сведения тех, кто будет затронут этим изменением или иным образом заинтересован в нем.
  • Реализовано: В назначенные дату и время изменения должны быть реализованы. Частью процесса планирования была разработка плана внедрения, плана тестирования и плана возврата. Если реализация изменения не удалась, или, если тестирование после внедрения завершилось неудачно, или были выполнены другие «офигительные» критерии, должен быть реализован план отката.
  • Документировано: Все изменения должны быть задокументированы. Документация включает в себя первоначальный запрос на изменение, его одобрение, присвоенный ему приоритет, планы внедрения, тестирования и отката, результаты критики совета по обзору изменений, дату / время внедрения изменения, кто его реализовал и было ли изменение реализовано успешно, неудачно или отложено.
  • Проверка после изменения: Совет по обзору изменений должен провести проверку изменений после внедрения. Особенно важно просмотреть неудачные и отклоненные изменения. Комиссия по обзору должна попытаться понять возникшие проблемы и найти области для улучшения.

Процедуры управления изменениями, которым легко следовать и которые легко использовать, могут значительно снизить общие риски, возникающие при внесении изменений в среду обработки информации.Хорошие процедуры управления изменениями улучшают общее качество и успех изменений по мере их внедрения. Это достигается посредством планирования, экспертной оценки, документации и общения.

ISO / IEC 20000, Руководство Visible OPS: внедрение ITIL за 4 практических и проверяемых шага [12] (Полный обзор книги), [13] и Библиотека инфраструктуры информационных технологий — все они предоставляют ценные рекомендации по внедрению эффективного и действенного информационная безопасность программы управления изменениями.

Непрерывность бизнеса

Непрерывность бизнеса — это механизм, с помощью которого организация продолжает управлять своими критически важными бизнес-подразделениями во время запланированных или внеплановых сбоев, влияющих на нормальные бизнес-операции, посредством выполнения запланированных и управляемых процедур.

В отличие от того, что думает большинство людей, непрерывность бизнеса не обязательно является ИТ-системой или процессом, просто потому, что это касается бизнеса. Сегодня катастрофы или сбои в бизнесе — это реальность. Независимо от того, является ли бедствие естественным или вызванным человеком, оно влияет на нормальную жизнь и, следовательно, на бизнес.Так почему же планирование так важно? Давайте посмотрим правде в глаза, что «все предприятия выздоравливают», независимо от того, планировали они выздоровление или нет, просто потому, что бизнес — это зарабатывание денег для выживания.

Планирование просто становится все лучше подготовленным к встрече с ней, полностью зная, что лучшие планы могут потерпеть неудачу. Планирование помогает снизить затраты на восстановление, операционные накладные расходы и, что наиболее важно, легко решить некоторые более мелкие проблемы.

Для создания эффективных планов предприятиям необходимо сосредоточиться на следующих ключевых вопросах.Большинство из них общеизвестны, и любой может выполнить BCP.

  1. Если случится катастрофа, что я должен сделать в первую очередь? Стоит ли мне звонить людям, чтобы узнать, все ли у них в порядке, или звонить в банк, чтобы узнать, в безопасности ли мои деньги? Это экстренное реагирование. Службы экстренного реагирования помогают принять первый удар, когда происходит бедствие, и если бедствие достаточно серьезное, командам экстренного реагирования необходимо быстро сформировать группу управления кризисными ситуациями.
  2. Какие части моего бизнеса мне следует восстановить в первую очередь? Тот, который приносит мне больше всего денег, тот, на который я трачу больше всего, или тот, который обеспечит мне стабильный рост в будущем? Выявленные разделы являются критически важными бизнес-единицами.Здесь нет волшебной пули, ни один ответ не удовлетворяет всех. Компаниям необходимо найти ответы, соответствующие бизнес-требованиям.
  3. Как скоро я должен нацеливаться на восстановление своих критически важных бизнес-единиц? На техническом жаргоне BCP это называется целевым временем восстановления или RTO. Эта цель определит, какие затраты придется потратить бизнесу на восстановление после сбоя. Например, восстановить бизнес за 1 день дешевле, чем за 1 час.
  4. Что мне нужно для восстановления бизнеса? ИТ, техника, записи… еда, вода, люди … Так много аспектов, на которых стоит остановиться. Фактор стоимости теперь становится более ясным … Бизнес-лидерам необходимо обеспечивать непрерывность бизнеса. Оставайтесь на линии. Мой ИТ-менеджер потратил 200000 долларов в прошлом месяце и создал DRP (план аварийного восстановления), что с этим случилось? DRP касается продолжения работы ИТ-системы и является одним из разделов комплексного плана обеспечения непрерывности бизнеса. Подробнее об этом см. Ниже.
  5. И где мне восстановить свой бизнес… Будет ли бизнес-центр давать мне место для работы, или он будет затоплен множеством людей, выстраивающихся в очередь по тем же причинам, что и я.
  6. Но как только я восстановлюсь после аварии и буду работать с ограниченными производственными мощностями, поскольку мои основные рабочие сайты недоступны, как долго это может продолжаться. Как долго я смогу обходиться без своих оригинальных сайтов, систем, людей? это определяет степень устойчивости бизнеса, которую может иметь бизнес.
  7. Теперь, когда я знаю, как восстановить свой бизнес. Как мне убедиться, что мой план работает? Большинство экспертов BCP рекомендуют тестировать план не реже одного раза в год, проверять его на соответствие и переписывать или обновлять планы либо ежегодно, либо при изменении бизнеса.

Планирование аварийного восстановления

В то время как план обеспечения непрерывности бизнеса (BCP) использует широкий подход к устранению последствий аварии в масштабах всей организации, план аварийного восстановления (DRP), который является частью плана обеспечения непрерывности бизнеса, вместо этого сосредоточен на принятии необходимых шагов. как можно быстрее возобновить нормальную деловую деятельность. План аварийного восстановления выполняется сразу после аварии и подробно описывает шаги, которые необходимо предпринять для восстановления критически важной инфраструктуры информационных технологий. [14] Планирование восстановления после стихийных бедствий включает создание группы планирования, выполнение оценки рисков, установление приоритетов, разработку стратегий восстановления, подготовку инвентаризаций и документации плана, разработку критериев и процедур проверки и, наконец, реализацию плана. [15]

Законы и правила

Ниже приведен частичный список европейских, британских, канадских и американских государственных законов и постановлений, которые имеют или будут иметь значительное влияние на обработку данных и информационную безопасность.Также были включены важные отраслевые нормативные акты, когда они оказывают значительное влияние на информационную безопасность.

  • Закон Великобритании о защите данных 1998 г. содержит новые положения, регулирующие обработку информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации. Директива Европейского Союза о защите данных (EUDPD) требует, чтобы все члены ЕС приняли национальные правила для стандартизации защиты конфиденциальности данных для граждан на всей территории ЕС.
  • Закон 1990 года о неправомерном использовании компьютеров — это закон парламента Великобритании, квалифицирующий компьютерные преступления (например, взлом) как уголовное преступление. Закон стал моделью, на которую несколько других стран, включая Канаду и Ирландию, черпали вдохновение при разработке своих собственных законов об информационной безопасности.
  • Законы
  • ЕС о хранении данных требуют, чтобы интернет-провайдеры и телефонные компании хранили данные о каждом отправленном электронном сообщении и телефонном звонке в течение от шести месяцев до двух лет.
  • Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) (20 U.S.C. § 1232 g; 34 CFR Part 99) — это федеральный закон США, который защищает конфиденциальность записей об образовании учащихся. Закон распространяется на все школы, получающие средства в рамках действующей программы Министерства образования США. Как правило, школы должны иметь письменное разрешение от родителей или подходящего учащегося, чтобы выпустить любую информацию из учебной документации учащегося.
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года требует принятия национальных стандартов для электронных транзакций здравоохранения и национальных идентификаторов поставщиков, планов медицинского страхования и работодателей.Кроме того, это требует, чтобы поставщики медицинских услуг, страховые компании и работодатели обеспечивали безопасность и конфиденциальность медицинских данных.
  • Закон Грамма-Лича-Блили 1999 г. (GLBA), также известный как Закон о модернизации финансовых услуг 1999 г., защищает конфиденциальность и безопасность частной финансовой информации, которую финансовые учреждения собирают, хранят и обрабатывают.
  • Закон Сарбейнса – Оксли 2002 г. (SOX). Раздел 404 закона требует от публично торгуемых компаний оценивать эффективность своих механизмов внутреннего контроля для финансовой отчетности в годовых отчетах, которые они представляют в конце каждого финансового года.Директора по информационным технологиям несут ответственность за безопасность, точность и надежность систем, которые управляют финансовыми данными и предоставляют отчеты. Закон также требует от публичных компаний привлекать независимых аудиторов, которые должны подтверждать достоверность своих оценок и сообщать о них.
  • Стандарт безопасности данных индустрии платежных карт (PCI DSS) устанавливает комплексные требования для повышения безопасности данных платежных счетов. Он был разработан основателями платежных брендов Совета по стандартам безопасности PCI, включая American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International, чтобы способствовать широкому внедрению последовательных мер безопасности данных на глобальной основе.PCI DSS — это многогранный стандарт безопасности, который включает требования к управлению безопасностью, политикам, процедурам, сетевой архитектуре, дизайну программного обеспечения и другим важным мерам защиты.
  • Законы об уведомлении о нарушениях безопасности штата (Калифорния и многие другие) требуют, чтобы компании, некоммерческие организации и государственные учреждения уведомляли потребителей, когда незашифрованная «личная информация» могла быть скомпрометирована, потеряна или украдена.
  • Закон о защите личной информации и электронных документах (PIPEDA) — Закон о поддержке и продвижении электронной торговли путем защиты личной информации, которая собирается, используется или раскрывается при определенных обстоятельствах, путем обеспечения использования электронных средств для передачи или записи информации или транзакций. и путем внесения поправок в Закон Канады о доказательствах, Закон о нормативных актах и ​​Закон о пересмотре статута.

Источники стандартов

Основная статья: Стандарты кибербезопасности

Международная организация по стандартизации (ISO) — это консорциум национальных институтов стандартизации из 157 стран, работа которого координируется через секретариат в Женеве, Швейцария. ISO — крупнейший в мире разработчик стандартов. ISO 15443: «Информационные технологии — Методы безопасности — Основа для обеспечения безопасности ИТ», ISO / IEC 27002: «Информационные технологии — Методы безопасности — Свод правил управления информационной безопасностью», ISO-20000: «Информационные технологии — Управление услугами» , и ISO / IEC27001: «Информационные технологии — Методы безопасности — Системы менеджмента информационной безопасности — Требования» представляют особый интерес для профессионалов в области информационной безопасности.

Национальный институт стандартов и технологий США (NIST) является ненормативным федеральным агентством в составе Министерства торговли США. Подразделение компьютерной безопасности NIST разрабатывает стандарты, показатели, тесты и программы проверки, а также публикует стандарты и руководства для повышения безопасности планирования, внедрения, управления и эксплуатации ИТ. NIST также является хранителем публикаций Федерального стандарта обработки информации США (FIPS).

Internet Society — это профессиональное членское общество, в которое входят более 100 организаций и более 20 000 индивидуальных членов в более чем 180 странах.Он обеспечивает лидерство в решении проблем, с которыми сталкивается будущее Интернета, и является центром организации для групп, отвечающих за стандарты инфраструктуры Интернета, включая Инженерную группу Интернета (IETF) и Совет по архитектуре Интернета (IAB). ISOC размещает запросы на комментарии (RFC), которые включают официальные стандарты интернет-протокола и руководство по безопасности сайта RFC-2196.

Форум информационной безопасности — это глобальная некоммерческая организация, объединяющая несколько сотен ведущих организаций в сфере финансовых услуг, производства, телекоммуникаций, потребительских товаров, правительства и других сферах.Он проводит исследования в области информационной безопасности и предлагает рекомендации в своем стандарте передовой практики, который выходит раз в два года, а также более подробные рекомендации для членов.

Каталоги базовой защиты ИТ или каталоги IT-Grundschutz («Руководство по базовой защите ИТ» до 2005 г.) представляют собой собрание документов Федерального управления безопасности в информационных технологиях Германии (FSI), полезные для обнаружения и борьбы с проблемами безопасности. слабые места в ИТ-среде (ИТ-кластер). Коллекция включает более 3000 страниц с введением и каталогами.

Профессионализм

Основная статья: Профессионализм информационной безопасности

Профессионализм в области информационной безопасности — это набор знаний, навыков и трудовой этики, которыми должны обладать люди, работающие в области Информационная безопасность и аналогичных областях (обеспечение информации и компьютерная безопасность). Некоторые выступают за то, чтобы эти характеристики подтверждались сертификатами уважаемых организаций. Другие ставят под сомнение зрелость и эффективность существующих сегодня сертификатов.

Заключение

Информационная безопасность — это непрерывный процесс проявления должной осторожности и должной осмотрительности для защиты информации и информационных систем от несанкционированного доступа, использования, раскрытия, уничтожения, модификации, нарушения или распространения. Бесконечный процесс информационной безопасности включает в себя постоянное обучение, оценку, защиту, мониторинг и обнаружение, реагирование на инциденты и устранение, документирование и анализ. Это делает информационную безопасность неотъемлемой частью всех бизнес-операций в различных областях.

См. Также

Ученые, работающие в области

Дополнительная литература

  • Андерсон К., «Специалисты в области ИТ-безопасности должны развиваться в условиях меняющегося рынка», журнал SC, 12 октября 2006 г.
  • Асейтуно В., «О парадигмах информационной безопасности», журнал ISSA, сентябрь 2005 г.
  • Диллон, Г., «Принципы безопасности информационных систем: текст и кейсы», John Wiley & Sons, 2007.
  • Easttom, C., «Основы компьютерной безопасности (2-е издание)» Pearson Press, 2011.
  • Ламбо, Т. «ISO / IEC 27001: будущее сертификации информационной безопасности», ISSA Journal, ноябрь 2006 г.

Примечания и ссылки

Внешние ссылки

Библиография

  • Аллен, Джулия Х. (2001). Руководство CERT по методам обеспечения безопасности системы и сети . Бостон, Массачусетс: Аддисон-Уэсли. ISBN 0-201-73723-X.
  • Krutz, Ronald L .; Рассел Дин Вайнс (2003). The CISSP Prep Guide (Gold Edition ed.). Индианаполис, ИН: Wiley.ISBN 0-471-26802-X.
  • Лейтон, Тимоти П. (2007). Информационная безопасность: проектирование, реализация, измерение и соответствие . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-7087-8.
  • Макнаб, Крис (2004). Оценка сетевой безопасности . Севастополь, Калифорния: О’Рейли. ISBN 0-596-00611-X.
  • Пельтье, Томас Р. (2001). Анализ рисков информационной безопасности . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 0-8493-0880-1.
  • Пельтье, Томас Р.(2002). Политики, процедуры и стандарты информационной безопасности: рекомендации по эффективному управлению информационной безопасностью . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 0-8493-1137-3.
Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *