Объект информационной безопасности: Объекты защиты в области информационной безопасности

Содержание

Защита субъектов и объектов КИИ — безопасность КИИ

Что такое Безопасность КИИ и почему необходимо выполнять требования законодательства?

Критическая информационная инфраструктура (КИИ) – совокупность объектов информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой, т.е. критически важных для экономической деятельности и безопасности государства и граждан.

Безопасность КИИ (критической информационной инфраструктуры) – это комплексный процесс по обеспечению устойчивого и бесперебойного функционирования критичных бизнес процессов предприятия. Данный процесс включает в себя мероприятия по защите информации в информационных системах, автоматизированных системах управления технологическими процессами (АСУ ТП) и информационно-телекоммуникационных сетях, которые решают следующие задачи:

  • оценка текущего состояния защищённости информационной инфраструктуры предприятия;
  • категорирование объектов критической информационной инфраструктуры;
  • разработка и внедрение комплексных систем защиты информации для значимых объектов КИИ предприятия;
  • сопровождение и эксплуатация программно-аппаратных средств защиты информации объектов КИИ;
  • обеспечение безопасности значимого объекта КИИ при выводе его из эксплуатации.

Создавая комплексную систему защиты информации значимых объектов КИИ, вы сводите к минимуму риски остановки производства из-за компьютерных инцидентов что может негативно повлиять на деятельность предприятия, а если нарушение работы привело к чрезвычайной ситуации, влияющей на безопасность сотрудников, то и от уголовной ответственности.

Но даже если вам повезет избежать киберинцидентов приводящих к чрезвычайной ситуации остаются надзорные структуры или регуляторы (ФСТЭК, ФСБ), которые за невыполнение требований нормативно-правовых актов по обеспечению безопасности объектов КИИ, могут применять санкции к организации.

Что регулирует законодательство?

1 января 2018 г. вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической ин-формационной инфраструктуры Российской Федерации». Закон направлен на обеспечение устойчивого и бесперебойного функционирования критической информационной инфраструктуры, а также для правового регулирования в сфере обеспечения информационной безопасности.

Кому необходимо исполнять требования ФЗ?

Требования необходимо выполнить субъектам КИИ, которыми согласно ФЗ №187 являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и функционирующие в определенных сферах экономической деятельности.

Каждый субъект КИИ на праве собственности, аренды или на ином законном основании владеет объектами КИИ.

СУБЪЕКТЫ КИИ:

    Банковская сфера и иные сферы финансового рынка
    Топливно-энергетический комплекс
    Атомная промышленность
    Военно-промышленный комплекс
    Ракетно-космическая промышленность
    Горнодобывающая промышленность
    Металлургическая промышленность
    Химическая промышленность
    Наука, транспорт, связь
    ЮЛ и ИП которые взаимодействуют с системами КИИ

ОБЪЕКТЫ КИИ:

    Информационные системы
    Информационно-телекоммуникационные сети
    Автоматизированные системы управления технологическими процессами (АСУ ТП)


Кто выполняет основное регулирование и надзор за исполнением требований?


ФСТЭК

  • Контролирует выполнение требований по категорированию объектов КИИ и обеспечению безопасности значимых объектов
  • Ведёт реестр значимых объектов КИИ
  • Проводит плановые и внеплановые проверки
  • Устанавливает требования по обеспечению безопасности значимых объектов КИИ

ФСБ

  • Главный центр ГосСОПКА
  • Устанавливает порядок информирования об объектах КИИ и инцидентах, определяет состав предоставляемой информации
  • Обеспечивает установку на объектах КИИ технических средств ГосСОПКА и устанавливает требования к ним
  • Проводит оценку безопасности объектов КИИ

Прокуратура РФ

  • Контролирует исполнение нормативно-правовых актов Российской Федерации



Ответственность за неисполнение требований

ДО 8 ЛЕТ лишения свободы

до 6 лет за невыполнение требований по обеспечению безопасности КИИ «нарушение правил эксплуатации» и до 8 лет в случае «группы лиц по предварительному сговору»

ДО 10 ЛЕТ лишения свободы

если невыполнение требований привело к инциденту с тяжкими последствиями или угрозой таких последствий

«Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ:

§Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль;

«Уголовный кодекс Российской Федерации” от 13.06.1996 N 63-ФЗ»:

§Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации;

Что мы предлагаем?

Специалисты нашей компании создадут вам комплексную систему защиты информации «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизим риски и угрозы вашего бизнеса до минимального уровня.

Будут проведены следующие работы:

  • предпроектное обследование и\или аудит информационной безопасности;
  • категорирование объектов критической информационной инфраструктуры;
  • анализ рисков, разработка модели угроз информационной безопасности;
  • формирование требований к средствам защиты информации, разработка технического задания;
  • проектно-изыскательские работы по созданию комплексных систем защиты информации значимых объектов КИИ;
  • разработка организационных мер по обеспечению безопасности значимых объектов КИИ;
  • внедрение организационных и программно-технических мер по обеспечению безопасности значимых объектов КИИ;
  • сопровождение программно-технических мер по обеспечению безопасности значимых объектов КИИ;
  • обучение и повышение компетенции в области информационной безопасности сотрудников.

Финансовые риски предприятия перевешивают риски информационной безопасности, поэтому мы всегда оцениваем риски ИБ исходя из целей бизнеса.

Объекты информационной безопасности: многоуровневая модель

Лучше понять комплекс имеющихся проблем, выстроить эффективную политику безопасности организации, а также политику работы с поставщиками услуг, помогает многоуровневая модель структуризации объектов информационной безопасности, суть которой состоит в следующем. Анализ информационной инфраструктуры организации позволяет выделить семь уровней технологий и реализуемых ими процессов, для которых принципиально различаются актуальные угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности и, наконец, терминология. Эта модель несколько условна. Не во всех случаях наличествуют все обозначенные уровни, однако в большой организации, владеющей собственной корпоративной сетью, все уровни прослеживаются совершенно определенно. Как правило, предложения по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и защищают от угроз, исходящих от субъекта НСД (несанкционированного доступа).


Уровни информационной безопасности семиуровневой модели объектов информационной безопасности

Однако парадокс ситуации заключается в том, что наиболее опасным субъектом угроз в организации является легальный пользователь, допущенный к ее ресурсам (в частности, это подтверждает статистика по преступлениям в банковской сфере – razgovorodele.ru.) Значение субъекта легального доступа резко возрастает от III к VI уровню – именно там, где практически нет специальных средств защиты и вся безопасность базируется на настройках систем управления доступом, аудита, обеспечения целостности программ и штатности выполняемых бизнес-процессов. На устойчивость обеспечивающих безопасность настроек влияет их доступность большому числу администраторов систем и программистов. Так как степеней свободы у специалистов данной категории много, а мониторинг их деятельности, как правило, весьма слаб, в этой зоне налицо отсутствие «прозрачности» и высокая степень риска.

Иными словами, на этих уровнях резко возрастает роль «человеческого фактора», самой нестабильной и изменчивой составляющей во всей совокупности проблем, влияющих на безопасность.

Еще тяжелее ситуация на VII уровне. Здесь царит так называемый «пользователь», т.е. «субъект легального доступа». Для него компьютер – не более чем вспомогательный инструмент на его рабочем столе, со средствами НСД он сталкивается только при наборе пароля на вход и при его замене, в чужие каталоги не лазает, о проблемах настроек маршрутизаторов сети и сетевой безопасности понятия не имеет. Кроме того, как правило, он располагает разнообразными средствами коммуникаций (факс, телефон, электронную почту, Internet) и, само собой, может скопировать данные на отчуждаемый носитель. ИТ-служба постоянно заботится о том, чтобы предоставить ему еще больше услуг, больше удобств.

Совсем иная картина в сфере безопасности. Подразделение безопасности информационных систем доступные ему инструменты уже применило, все остальное, как правило, формально не подпадает под его компетенцию. В компетенцию какой службы попадает проблема злоупотребления легальным доступом? Тут нет готовых решений. К сожалению, можно дать рекомендации лишь общего характера. В организации должна существовать детальная административная политика в отношении персонала. Эта политика должна подробно регламентировать и минимизировать права доступа сотрудников к информации, цели этого доступа, требования по регламенту использования доступной информации. Административная политика должна подкрепляться не менее детальным аудитом действий пользователя с доверенной ему информацией. Таким аудитом должны быть охвачены не одни пользователи, но все, кто имеет легальные права доступа к информации, настройкам оборудования, базам данных, операционным системам и т.д.

Расхождение административной политики и аудита означает наличие «конфликта интересов» организации и ее сотрудника. Необходимо соблюдение принципа «прозрачности»: сотрудник должен внятно объяснить все свои действия с информацией, выявленные системой аудита. Должен существовать свод корпоративных морально-этических требований, четко регламентирующих правила поведения сотрудника, позволяющих выявить «конфликт интересов» и дающих возможность руководству применить, в случае необходимости, административные меры взыскания. С персоналом должна проводиться воспитательная работа, целью которой является выработка у людей этики корпоративного поведения и отношения к ресурсам организации.

На каждом уровне иерархии специалисты, работающие с информационными ресурсами, используют свою, присущую только этому уровню терминологию. Из нее и формируется понятийный аппарат в области безопасности. При этом такой аппарат не может быть применен на соседнем уровне, а специалисты I и VII уровней просто не понимают друг друга. Действительно, можно ли требовать от специалиста, осуществляющего регистрацию документа, даже в электронной форме, чтобы он знал и понимал, в чем выражается, что означает и каким должно быть переходное затухание сигнала при совместном пробеге кабелей связи?

Многоуровневая модель позволяет учесть и присутствие легального пользователя. При этом с каждым следующим уровнем данный фактор становится все значительнее. Очевидно и то, что говорить о каких-либо гарантиях безопасности без конкретной привязки к конкретному уровню модели бессмысленно. Хотелось бы отметить в этой связи, что говорить о равнопрочности защиты можно только в том случае, если необходимый уровень безопасности достигнут на каждом «этаже». Ну а уровень безопасности достигается путем применения набора адекватных модели угроз и свойственных рассматриваемому уровню инструментов защиты. Таким образом, многое зависит от имеющегося инструментария. До III уровня дела обстоят совсем неплохо.

Вопросы технической защиты от НСД неплохо проработаны, имеются достаточно эффективные сертифицированные средства обеспечения безопасности. Вопрос только в их стоимости и удобстве эксплуатации. Дальше ситуация серьезно меняется. На уровнях выше III практически нет специальных сертифицированных средств защиты, безопасность целиком базируется на программных настройках систем управления доступом, аудита, обеспечения целостности программ и платности бизнес-процессов.

На устойчивость обеспечивающих безопасность настроек влияет две группы факторов. Качество работы администраторов систем, которые должны отслеживать все изменения административной политики подразделения, своевременно внося изменения в настройки системы управления доступом – razgovorodele.ru. Практика показывает, что со временем это качество ослабевает, а политика управления доступом, предоставленные пользователям права и пароли перестают соответствовать административной политике. Доступность настроек, особенно при построении сетей на персональных компьютерах, как правило, имеющих избыточные и не нужные простому пользователю автономные возможности по их администрированию, доступные большому числу пользователей, администраторов систем и программистов. Решением в данной ситуации является переход к централизованной обработке и централизованному управлению безопасностью, развитие аудита событий в системе с обязательным оперативным разбором информации с целью обеспечения их прозрачности для службы безопасности, а также усиление административного компонента в управлении персоналом.

Именно это демонстрируют крупнейшие ИТ-корпорации» которые добились практически полной централизации не только обработки, но и администрирования ресурсов, исключив из этого процесса собственно пользователей и поставив под контроль и аудит администраторов. Это, в свою очередь, требует наличия понятной и логичной политики безопасности, разработанной для конкретной организации и с учетом ресурсов, которые являются для нее критическими. Так, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет одним, а в банках, которые пользуются этой системой, – совершенно иным. Естественно, что и политики безопасности в этих организациях отличаются, включая в первом случае одну группу уровней модели, а во втором – другую группу. Но в таком случае они отличаются и по видам угроз, и по агентам этих угроз, и по методам защиты, и по критериям оценки безопасности. При кажущейся внешней схожести и общей сфере деятельности двух этих организаций, безопасность информационных систем в них разительно различается.

Объекты и субъекты информационной безопасности

Этот раздел определяет, что именно понимается под состоянием защищенности в конкретной компании. Кроме того, в нем описывается информация, которая требует защиты, мотивируется необходимость ее защиты и указывается, кто именно осуществляет работу с защищаемой информацией, т.е. субъекты информационной безопасности:

  1. сотрудники компании;
  2. подразделения компании;
  3. организации, которым передается или от которых получается информация;
  4. клиенты компании;
  5. злоумышленники;
  6. прочие лица.

Для компании — оператора сотовой связи стандарта GSM выделим следующие типовые бизнес-процессы:

  1. Организация рассылки продукции в регионы: экспедиторские процессы; учет отгрузки.
  2. Производство услуг.
  3. Мониторинг производства услуг.
  4. Контроль качества производства услуг: контроль действий персонала при производстве услуг.
  5. Внедрение новых услуг: разработка; вывод на рынок; сопровождение.
  6. Продажа услуг и обслуживание абонентов.
  7. Мониторинг обслуживания абонентов.
  8. Контроль качества обслуживания абонентов.
  9. Контроль действий персонала при обслуживания абонентов.
  10. Расторжение договора по инициативе абонента.
  11. Расторжение договора по инициативе компании.
  12. Взаимодействие с филиалами и представительствами.
  13. Проведение внутреннего аудита.
  14. Управление документацией.
  15. Организация внутреннего обучения сотрудников компании.
  16. Мониторинг дилерского обслуживания.
  17. Регулирование дебиторской задолженности дилеров.
  18. Взаимодействие подразделений компании при обслуживании абонентов.
  19. Внедрение АСУП.
  20. Заключение и сопровождение договоров.
  21. Документооборот.

Типовые технические средства операторской компании:

  1. Каналы связи: собственные; арендуемые.
  2. Коммутационное и каналообразующее оборудование: маршрутизаторы; коммутаторы; мосты.
  3. Центры хранения и обработки данных: архивы электронные и бумажные; серверы.
  4. Абонентское оборудование: модемы; телефонные аппараты.
  5. Рабочие места (рабочие станции).

Из приведенных перечней видно, что операторская компания характеризуется высокой сложностью организации как со стороны технических средств, так и со стороны бизнес-логики. Также очевидно, что и сама организационная структура компании оператора является весьма нетривиальной.

Из вышесказанного следует, что для данной компании оптимальной будет являться КИБ смешанного типа.

Раздел «Объекты и субъекты информационной безопасности (уровень ПИБ)». В данном разделе описывается, как осуществляется привязка информации, подлежащей защите, к конкретным техническим средствам и носителям информации, используемым в компании.

Устанавливается соответствие вида: защищаемая информация→цель защиты (конфиденциальность, целостность или доступность)→технический ресурс (ресурсы), в котором обрабатывается, хранится или циркулирует информация.

Далее осуществляется привязка защищаемой информации к субъектам информационной безопасности.

Устанавливается соответствие вида: информация→технический ресурс→права доступа (полный доступ, только чтение и т.д.) →объект информационной безопасности.

Составляется общая структурная схема информационной системы компании.

Пример архитектуры информационной системы для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета, приведен на рис. 3.1.

Рис. 3.1. Пример архитектуры КИС для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета

Объекты критической информационной инфраструктуры и их безопасность

С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который накладывает ряд обязанностей на организации и учреждения, являющиеся субъектами критической инфраструктуры.

Основными задачами системы безопасности значимого объекта критической информационной инфраструктуры являются:

  • предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
  • недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта критической информационной инфраструктуры;
  • восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;
  • непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Алгоритм выполнения требований

  1. Осуществить категорирование всех имеющихся объектов критической информационной инфраструктуры и произвести оценку защищенности.
  2. Выполнить существующие требования по обеспечению информационной безопасности:
    • Приказ ФСТЭК России от 14 марта 2014 г. № 31 для организаций, использующих АСУ ТП.
    • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 для информационных систем персональных данных.
    • Приказ ФСТЭК России от 11 февраля 2013 г. № 17 для государственных информационных систем.
    • Нормативные документы Центрального банка России для финансовых организаций.
  3. Присоединиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
  4. Приобрести сертифицированные средства защиты информации.
  5. В соответствии с нормативными документам ФСБ выстроить процесс реагирования на компьютерные атаки.
  6. В случае инцидентов компьютерных атак обязательно информировать ГосСОПКА.
  7. Обязательный сбор и хранение сведений об инцидентах информационной безопасности.
  8. Создание или аутсорсинг «первого отдела» в случае работы с информацией, составляющей государственную тайну.
  9. Обязательно планомерно проводить обучение персонала по вопросам информационной безопасности.

Получить подробные сведения об услуге, перечне категорий значимости объектов КИИ, примерах ИТ-решений и начать сотрудничество можно, позвонив нам по контактному номеру (или оставив заявку ниже).

О Конференции — ИБ АСУ ТП КВО

Категорирование кончилось, да здравствует защита!

17–18 марта в Москве состоялась IX конференция «Информационная безопасность АСУ ТП критически важных объектов», на которой традиционно обсуждались наиболее актуальные вопросы обеспечения защиты промышленных объектов и критической инфраструктуры от киберугроз.

Мероприятие прошло при поддержке ФСТЭК России. В конференции приняли участие 382 представителя государственных и коммерческих промышленных холдингов, производителей решений для защиты АСУ ТП и разработчиков АСУ ТП, научных центров и учебных заведений. Партнерами конференции стали компании «АйТи БАСТИОН», ООО «Сайберлимфа», InfoWatch, Positive Technologies, АО «Лаборатория Касперского», «Ростелеком-Солар», АМТ-ГРУП, «ДиалогНаука», АО «ИнфоТеКС», «Доктор Веб», R-Vision, ООО «УЦСБ», ЗАО «НОРСИ-ТРАНС», «Гарда Технологии», «Газинформсервис», ООО «КСБ-СОФТ» и RuSIEM. Организатор мероприятия – Издательский дом «КОННЕКТ».

Первый день конференции был посвящен обсуждению текущей ситуации с реализацией Федерального закона №187 «О безопасности КИИ»,  современных технологий обеспечения защиты промышленных объектов,      научного подхода к моделированию кибератак и расчету рисков. С ключевым докладом первого дня      выступила заместитель начальника Управления ФСТЭК России Елена Торбенко, которая рассказала о последних разработках регулятора в части регулирования защиты промышленных АСУ – методических рекомендациях по расчету экономических, социальных и экологических показателей. Кроме того, она затронула проблемы категорирования и следующих за ней проектов по обеспечению защиты объектов КИИ.

В докладах участников рынка были рассмотрены вопросы комплексной защиты промышленных сегментов сетей и интеграции промышленных средств защиты различных классов, что говорит о зрелости российского рынка средств защиты АСУ ТП.

Второй день открыла дискуссионная панель по вопросам импортозамещения в сфере ИБ АСУ ТП, на которой обсуждались темы влияния импортозамещения и открытого ПО на процесс обеспечения информационной безопасности, внедрения доверенных АСУ ТП и средств защиты, а также безопасной организации обновлений. В большинстве своем российские компании вынуждены доверять тем обновлениям, которые разработчики им предоставляют, поскольку у них нет ресурсов для всесторонней их проверки. Однако наиболее опасные злоумышленники, контролируемые иностранными государствами, уже начинают осваивать технологии атаки через посредников, в число которых попадают и разработчики, в частности,      промышленного ПО.

Участники дискуссии отметили, что назрел вопрос о централизованной проверке обновлений, особенно поставляемых зарубежными компаниями, в интересах защиты ключевой информационной инфраструктуры РФ. Своим опытом проверки приложений для промышленных систем поделился заместитель начальника отдела ИБ АСУ ТП ПАО «Транснефть» Дмитрий Кобзев. В его компании сформирован отдел анализа защищенности кода, который выполняет проверку обновлений перед их загрузкой на промышленные объекты и позволяет в год провести до 600 испытаний для новых приложений. Компания даже ведет разработку статистического анализатора для языка программирования, который используется в ПЛК. В     ведение этой организационной единицы в строй позволило сократить количество обновлений ПО и сделать их более надежными.

«Изюминкой» конференции «Информационная безопасность АСУ ТП критически важных объектов» всегда были      выступления пользователей средств защиты промышленных объектов, которых традиционно было достаточно много. В этом году своим опытом проведения категорирования, импортозамещения и построения защиты поделились такие компании и организации, как: АО «ОЭК», АО «НИИАС», АО «Транснефть», ОАО «ММК-МЕТИЗ», ПАО «НЛМК», ПАО «ТМК», ФГУП «НТЦ “     Заря”», ОАО «РЖД», АО «ВНИИАЭС», АО «НПП “Исток”  им. Шокина».

Начальник отдела мониторинга информационной безопасности ФГУП «НТЦ “Заря» Олег Графеев      рассказал о построении отраслевого центра мониторинга КС СОПКА “Роскосмос”,  построенного на базе его предприятия. До декабря 2020 г. этот центр функционировал в пилотном режиме, а сейчас он заключает договоры с компаниями, находящимися под контролем “Роскосмоса”, на предоставление услуг мониторинга информационной безопасности из КС СОПКА “Роскосмос”. Животрепещущую тему обучения специалистов по защите промышленных технологий осветили на конференции представители профильных организаций ФУМО СПО ИБ и НИУ МИЭТ.

Наиболее остро проблему оценки опасности взломов компьютерных систем поставил заместитель руководителя Центра кибербезопасности АО «НИИАС», доктор технических наук, профессор Борис Безродный. Его институт занимался моделированием последствий компьютерных атак, направленных на нарушение штатного функционирования систем железнодорожной автоматики. Предложенная методика оценки сложных последствий компьютерных атак на железнодорожную инфраструктуру и стала предметом активного обсуждения. Тем не менее, в целом можно отметить, что у большинства собравшихся на конференции специалистов уже есть понимание процедуры категорирования, и теперь более насущными проблемами становятся импортозамещение средств защиты и АСУ ТП, а также организация комплексной системы обеспечения безопасности, гарантирующей безопасность использования информационных технологий на предприятиях в целом. В некоторых случаях опыт, полученный при построении защиты в промышленных сегментах, был распространен на все информационные системы предприятия.

В рамках конференции была организована выставка, где специалисты могли ознакомиться с последними достижениями отечественных разработчиков. Кроме того, было проведено анкетирование слушателей, и организовано голосование за лучший доклад. Лидерами по результатам подсчета голосов стали заместитель генерального директора по научно-технической работе «УЦСБ» Николай Домуховский, заместитель руководителя Центра кибербезопасности  АО «НИИАС», доктор технических наук, профессор Борис Безродный и начальник отдела информационной безопасности ЗАО «НОРСИ-ТРАНС» Артем Минаков. Поздравляем победителей!

Подробный отчет о конференции и результаты анкетирования будут опубликованы на страницах журнала «CONNECT. Мир информационных технологий».

Единая система безопасности значимых объектов критической информационной инфраструктуры

Располагая соответствующим опытом и проработанной методологией, НТЦ «Вулкан» предлагает создание «Единой системы безопасности значимых объектов критической информационной инфраструктуры (ЕСБ ЗОКИИ)», представляющей собой комплекс взаимосвязанных методологических, организационных и технических решений для управления процессами защиты объектов КИИ и повышения эффективности защиты значимых объектов КИИ на всех этапах их жизненного цикла.

В рамках проекта создания ЕСБ ЗОКИИ будут выполнены следующие основные блоки работ:

  • Категорирование объектов КИИ предприятия

  • Разработка Технического задания и техническое проектирование систем защиты информации значимых объектов КИИ

  • Внедрение систем защиты информации значимых объектов КИИ

  • Создание Центра мониторинга и управления инцидентами информационной безопасности и его интеграция с ГосСОПКА

В рамках создания Центра мониторинга и управления инцидентами информационной безопасности НТЦ «Вулкан» выполнит:

          –   внедрение (в т.ч. поставку программно-аппаратных решений) / развитие системы анализа и мониторинга событий безопасности, включая: разработку корреляционных правил, подключение источников событий, в том числе штатно неподдерживаемых, разработку отчетности и настройку дашбордов, разработку технической, эксплуатационной и организационной документации системы,

          –  поставку, интеграцию и внедрение средств корпоративного сегмента ГосСОПКА,

          –  разработку и внедрение процессов и регламентов функционирования Центра мониторинга и управления инцидентами, включая регламенты взаимодействия с ГосСОПКА,

          –  обучение ответственного персонала служб ИБ и ИТ, включая проведение киберучений.

  • Создание единой информационной платформы консолидации данных об эксплуатируемых на предприятии объектах КИИ, средствах и системах защиты информации значимых объектов КИИ (ИТ- и ИБ-активах), включая ОРД систем защиты информации, и их соответствию актуальной законодательной и нормативной базе Российской Федерации, а также российским и международным стандартам в области защиты информации.

В ходе реализации проекта создания Единой системы безопасности значимых объектов КИИ на всех этапах взаимодействия предприятия с ФСТЭК России и ФСБ России НТЦ «Вулкан» обеспечит консультационную поддержку и сопровождение.

Внедрение «Единой системы безопасности значимых объектов КИИ» позволит:

–  обеспечить соответствие требованиям Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», реализовать требуемые меры по подключению к государственной системе обнаружения, предотвращения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации,

–  минимизировать риски штрафных санкций и предписаний со стороны регулирующих органов, а также возникновения административной и уголовной ответственности работников организации, возникающие при выявлении нарушений требований законодательства,

–  регламентировать процессы защиты информации объектов КИИ и процессы реагирования на инциденты информационной безопасности, персонализировать ответственность за нарушения в области обработки и защиты информации объектов КИИ,

–  повысить уровень осведомленности персонала в области информационной безопасности,

–  повысить эффективность системы обеспечения информационной безопасности за счет модернизации устаревших средств защиты информации и создания Центра мониторинга и управления инцидентами информационной безопасности,

–  оптимизировать затраты на обеспечение соответствия требованиям законодательства и поддержание необходимого уровня защиты информационной инфраструктуры, входящей в состав значимых объектов КИИ, за счет создания инструментов контроля и управления безопасностью на всех этапах жизненного цикла объектов КИИ,

–  снизить технологические, репутационные, экономические и социальные риски, связанные с безопасностью информации объектов КИИ предприятия.

В настоящее время проекты, ориентированные на обеспечение соответствия положениям Федерального закона №187-ФЗ, выполняются НТЦ «Вулкан» для ряда крупных российских организаций, в числе которых: ПАО «РусГидро», ПАО «Мосэнерго», предприятия ГК Роскосмос, ПАО «МТС», ПАО «Мегафон», ПАО «Вымпелком», ООО «Т2 Мобайл». В активе НТЦ «Вулкан» успешный опыт реализации масштабных проектов в сфере создания систем управления безопасностью информации для предприятий – субъектов КИИ, таких как ПАО «Ростелеком», ПАО Сбербанк и ряда прочих.

Информационная безопасность – Безопасность – Отчет группы «ЛУКОЙЛ» о деятельности в области устойчивого развития за 2019 г.

Обеспечение информационной безопасности становится все более актуальной задачей для нефтегазовой отрасли. Угрозы информационной безопасности повышают риск возникновения аварий и масштабы их последствий.

В «ЛУКОЙЛ-Технологии» создано подразделение по информационной безопасности, укомплектованное высококвалифицированными специалистами. В соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в организациях Группы «ЛУКОЙЛ» проведено категорирование объектов критической информационной инфраструктуры: проведена качественная оценка потенциального ущерба от потери ее целостности, конфиденциальности и доступности.

Центр мониторинга проводит непрерывную работу по раннему обнаружению уязвимостей в зависимости от степени критичности информационного ресурса, планируются и предпринимаются мероприятия по снижению рисков.

Требования по соблюдению правил информационной безопасности включены в договоры с подрядчиками (нарушения являются основанием для наложения штрафных санкций) и в должностные инструкции работников. Несоблюдение правил является серьезным нарушением трудовой дисциплины и должностных обязанностей. По факту каждого инцидента предпринимаются расследования.

Для обеспечения надежности информационных систем проводится анализ уязвимостей перед вводом в эксплуатацию и в процессе эксплуатации, внедряются методы безопасной разработки программного обеспечения.

Обеспечение безопасности персональных данных является важным направлением клиентоориентированной политики Компании. Для этого используются средства разграничения доступа на сетевом, прикладном и общесистемном уровнях и средства регистрации и учета действий пользователей, применяются антивирусные средства защиты, системы паролей при работе в сети и в информационных системах обработки персональных данных, средства межсетевого экранирования и контроля физического доступа. Обеспечение безопасности персональных данных достигается также через обучение работников и оказание им методической помощи.

8 целей информационной безопасности для управления рисками

Киберпреступность продолжает расти по частоте и серьезности, поскольку хакеры используют новые и старые способы взлома систем управления информационной безопасностью. Киберпреступления могут дорого обойтись и разрушить репутацию организации. Согласно отчету Ponemon Institute «Стоимость утечки данных» (спонсируемому IBM Security), глобальные средние затраты на утечку данных за последние пять лет увеличились на 12%.

Каковы основы информационной безопасности?

Основная цель информационной безопасности — защитить информационные активы от угроз и уязвимостей, которым может быть подвержена поверхность атаки организации.Взятые вместе, угрозы и уязвимости составляют информационный риск. Обеспечение достижения целей безопасности и снижения рисков принесет пользу организации, внося свой вклад в:

  • Непрерывность бизнеса
  • Операционная эффективность
  • Экономическая эффективность

Надлежащая программа кибербезопасности должна не только защищать внутренние данные, которые предприятие считает конфиденциальными и / или собственными, но и защищать личную информацию (PII) своих клиентов.Примером PII является номер социального страхования потребителя, номер водительского удостоверения и даже его или ее адрес электронной почты.

CISO вынуждены внедрять меры кибербезопасности, которые обеспечат безопасность обрабатываемой информации и соблюдение стандарта, известного как триада ЦРУ:

Конфиденциальность — обеспечение конфиденциальности является важной задачей безопасности данных. Конфиденциальность предполагает ограничение данных только теми, кому нужен доступ к ним. Шифрование и установка паролей — это способы обеспечения конфиденциальности и соблюдения мер безопасности.

Целостность — гарантирует, что данные, которыми располагает организация, являются точными, надежными и защищены от несанкционированных изменений, подделки, уничтожения или потери.

Доступность Личная информация доступна любому, кто имеет к ней доступ, например, когда клиент запрашивает просмотр своего профиля.

Директора по информационной безопасности должны гарантировать, что организация достигает фундаментальных целей информационной безопасности, что также включает в себя неотвратимость информации.При обязательном соблюдении отказа от авторства у компании будет возможность доказать, что транзакция или коммуникация произошли. Обе стороны, отправляющие и / или получающие информацию, соглашаются с тем, что обмен произошел. Цифровые сертификаты с криптографией могут служить официальным доказательством.

Восемь советов по обеспечению целей информационной безопасности
1. Краткое описание стратегии информационной безопасности

Эффективная стратегия представляет собой экономическое обоснование внедрения программы информационной безопасности.Описание целей безопасности поможет определить функцию безопасности организации. Взятые вместе, функции безопасности должны давать четкие полезные результаты, соответствующие ключевым бизнес-целям, например: возврат инвестиций (ROI) за счет снижения рисков.

После того, как ваша функция безопасности будет определена, измерьте ее влияние на бизнес. Составьте требования безопасности и узнайте, какие люди, процессы и инфраструктура необходимы для их выполнения.

2.Определите цели безопасности на раннем этапе

Чем раньше вы установите меры безопасности и ограничения, тем лучше вы сможете предотвратить утечку данных. Планирование целей безопасности будет определять всю будущую деятельность по кибербезопасности, включая принятие решений.

Пример цели безопасности: предоставить безопасное и надежное хранилище облачного стека для всей организации и для уполномоченных третьих сторон с гарантией того, что платформа подходит для обработки конфиденциальной информации.При написании целей информационной безопасности используйте простой, краткий и логичный язык.

3. Измерение результатов функции информационной безопасности

Разработка показателей для установки базовых уровней зрелости кибербезопасности и для измерения возможностей системы управления информационной безопасностью (СМИБ) в сравнении с возможностями будущего состояния, как определено в бизнес-требованиях организации. Метрики помогут директорам по информационным технологиям определить свои стратегии кибербезопасности и определить приемлемый уровень риска информационной безопасности предприятия с учетом вероятности и воздействия.

Используйте установленный глобальный стандарт, такой как ISO 27001, для определения показателей качества, например время безотказной работы системы с целевой доступностью 99,5%. Установите ключевые показатели эффективности (KPI), чтобы убедиться, что ваши цели в области кибербезопасности достигаются.

4. Проведите анализ затрат

Оцените запланированные затраты и потенциальные риски. Например, директор по информационной безопасности будет делать упор на эксплуатационные расходы, понимая потенциальные затраты, связанные с катастрофическими событиями. Учитывайте объективные затраты на безопасность, такие как защита активов, судебно-медицинское расследование и / или судебные разбирательства.

5. Определите свою политику информационной безопасности

Внедрение политики безопасности позволит четко определить информационные активы и системы, которые ваша организация должна защищать. Политика должна применяться к физической, кадровой, административной и сетевой безопасности. Политика информационной безопасности будет устанавливать правила и ожидания для пользователей по защите информационных активов и систем. Он также обеспечивает основу для планирования безопасности систем и приложений.

6.Обеспечьте четыре уровня информационной безопасности

Четыре уровня представляют способ потоков информации внутри систем и между ними. Защита каждого из четырех уровней включает: настройку приложения , инфраструктуры и физического доступа с ограничениями и обеспечение защиты данных в движении. Один из методов защиты четырех уровней — это шифрование.

7. Внедрить СМИБ

СМИБ включает в себя документы, людей, процессы и технологии, обеспечивающие информационную безопасность внутри организации.Внедрение СМИБ занимает много времени и требует вклада и участия всей организации.

К счастью, участие высшего руководства и другого ключевого персонала требует только практических знаний в области кибербезопасности, а не знания предметной области. Например, инновации в моделировании угроз с помощью ThreatModeler позволяют создавать нестандартные архитектурные блок-схемы процессов. В то время как технические специалисты в предметной области используют автоматическое моделирование угроз для построения представлений об архитектуре, руководители по информационной безопасности, заинтересованные стороны и члены правления извлекают выгоду из отчетов ThreatModeler для принятия финансовых или стратегических решений.

Весь задействованный персонал будет работать над управлением, мониторингом и постоянным улучшением СМИБ. Будьте готовы оценить результаты внедрения вашей СМИБ. Помимо создания документации, создание СМИБ включает:

  • Проведение анализа разрывов
  • Объем СМИБ
  • Проведение оценки рисков
  • Выбор адекватных средств контроля (для заявления о применимости)
  • Составление плана обработки рисков
  • Создание программы обучения и информирования персонала
  • Внедрение, управление и постоянный анализ СМИБ
Знайте свои возможности и результаты информационной безопасности

Ваши показатели безопасности помогут вашей организации сформулировать свои возможности безопасности, на основе которых можно будет определить способы улучшения СУИБ организации.Четко понимать любые ограничения, такие как положения, установленные законодательством. Ведите документацию, в которой четко отражены такие результаты, как события утечки данных (или их отсутствие).

Знайте стоимость каждого результата, например стоимость судебных разбирательств, приведших к кибератаке. Чтобы измерить репутацию предприятия, рассмотрите возможность проведения опросов об удовлетворенности клиентов. Текущие возможности и результат будут определять будущие стратегии информационной безопасности.

Воспользуйтесь ведущим в отрасли инструментом моделирования угроз для снижения рисков безопасности

ThreatModeler Cloud Edition позволяет пользователям, практически не имеющим опыта в предметной области, создавать модели угроз, которые описывают угрозы безопасности облачной инфраструктуры.Используя автоматизацию, ThreatModeler может устранять потенциальные угрозы в различных облачных средах, включая AWS и Microsoft Cloud Azure. Получите представление обо всей поверхности атаки вашей организации, чтобы управлять рисками кибербезопасности.

Чтобы узнать больше о ThreatModeler как важной платформе для вашего предприятия, запросите бесплатную оценку или свяжитесь с нами, чтобы поговорить с экспертом по моделированию угроз приложений сегодня.

объект компьютерной безопасности — Глоссарий

Ресурс, инструмент или механизм, используемый для поддержания состояния безопасности в компьютеризированной среде.Эти объекты определяются в терминах атрибутов, которыми они обладают, операций, которые они выполняют или выполняются с ними, и их отношений с другими объектами.
Источник (и):
CNSSI 4009-2015 под объектом компьютерной безопасности из FIPS 188

Информационный объект, используемый для поддержания состояния безопасности в компьютеризированной среде.Примеры: представления ресурсов компьютера или систем связи, семантика метки защиты, режимы работы криптографических алгоритмов и функции одностороннего хеширования.
Источник (и):
NISTIR 5308

Цель безопасности

— обзор

4.1 Технологии для безопасных надежных систем

Для обеспечения безопасности на самом базовом уровне технология криптографии использует ключ , позволяющий преобразовать входные данные в неразборчивый материал, который невозможно эффективно расшифровать для получения исходных данных без использования ключ. Таким образом, если ключ может оставаться конфиденциальным, зашифрованные данные считаются защищенными от раскрытия или разглашения сторонам, не имеющим доступа к исходному ключу.

Доступные методы криптографии можно в общих чертах разделить на криптографию с секретным ключом и криптографию с открытым ключом.В криптографии с секретным ключом секрет (или ключ) совместно используется отправителем и получателем. Этот общий секрет используется для обработки данных на каждом конце связи. Без обладания секретом шифрование или дешифрование данных должно быть невозможным с вычислительной точки зрения. В криптографии с открытым ключом ключ для пользователя x состоит из пары, (открытый (x), частный (x)) . Для шифрования владелец ключа использует частный, тогда как все остальные используют public (x) .Вдобавок должно быть невозможно с вычислительной точки зрения обнаружить private (x) , учитывая только значение public (x) . С небольшими изменениями вышеупомянутая система может также использоваться для обеспечения неподделанных цифровых подписей [12].

Как часть надежности, многие приложения в бизнесе и коммуникациях требуют конфиденциальности сообщений, которыми обмениваются системы. Конфиденциальность также является ключевым атрибутом надежных систем, как это определено такими исследователями, как [5,13].Например, бизнес-клиенты, участвующие в покупках в Интернете с использованием кредитных карт, не хотят разглашать номера своих кредитных карт третьим лицам. Точно так же содержимое электронных писем должно оставаться в безопасности во время передачи через маршрутизаторы. Криптография решает проблему передачи такой информации по общедоступным каналам, то есть каналам, которые могут контролироваться третьей стороной, чтобы наблюдать, какие данные передаются по ней. Существует компромисс между уровнем безопасности и эффективностью конкретных протоколов шифрования, и желаемый уровень надежности может определять выбор протокола.Таким образом, после взлома DES правительство США обязало использовать AES во всех чувствительных установках и системах.

Другой атрибут надежности, целостность данных , гарантирует точность данных, которые хранятся или обмениваются между системами. Проверяемая точность данных — требование многих надежных систем. Данные могут быть повреждены по многим причинам: из-за физических явлений, таких как излучение, тепло, свет, магнитная или электрическая индукция и вибрации; из-за ошибочных или неожиданных системных взаимодействий из-за недостатков в протоколах; или умышленное повреждение данных злоумышленниками.Целостность особенно важна с точки зрения финансовых транзакций, количественных данных, текстовых данных и критически важных данных, таких как данные, используемые для управления и обратной связи встроенных систем реального времени в транспортном и промышленном управлении. Некоторым приложениям могут потребоваться другие атрибуты надежности, но до некоторой степени допускается потеря целостности. Например, снижение разрешения или добавление шума в аудио- или видеоданные может поставить под угрозу целостность, но все же в определенной степени может быть приемлемым.Эффективным средством измерения целостности данных является использование криптографических хэшей . «Отпечаток» исходного файла данных создается и упаковывается вместе с источником. Получатель может сгенерировать отпечаток полученного файла и сопоставить его с вложенным отпечатком, чтобы определить, было ли какое-либо изменение источника [14]. Многие поставщики публикуют программное обеспечение или исправления вместе с хешами, чтобы предотвратить несанкционированное изменение своих опубликованных файлов.

Аутентификация источника имеет важное значение для предотвращения атак олицетворения, когда злоумышленник маскируется под настоящего принципала.В сегодняшнем мире с высокой степенью связи было бы желательно иметь двустороннюю взаимную аутентификацию, то есть как источник, так и пункт назначения аутентифицируют друг друга до того, как между ними может быть установлена ​​полная связь.

Отсутствие отказа необходимо для предотвращения отказа принципалом от предыдущего обязательства перед другим принципалом. Таким образом, в случае спора третья сторона, такая как судья в суде, должна иметь возможность установить и подтвердить личности заинтересованных сторон в контексте данной сделки.

Для безопасного обмена данными с аутентификацией в различных сферах бизнеса или правительства часто требуются все вышеперечисленные атрибуты. Например, для безопасных и проверяемых публичных транзакций (таких как голосование на общенациональном референдуме) с использованием инфраструктуры открытого ключа (PKI) потребуется надежная система со всеми вышеперечисленными атрибутами транзакции. Для обеспечения конфиденциальности каждый принципал мог проголосовать после шифрования голоса с помощью закрытого ключа избирателя. В целях проверки каждый конкретный голос может быть легко проверен с использованием открытого ключа соответствующего избирателя.Этот процесс может повторяться сколько угодно раз разными организациями.

С другой стороны, большое количество голосов можно разделить на партии гораздо меньших заданий, и эти задания можно будет обрабатывать параллельно. Таким образом, сообщество может потенциально ускорить процесс подсчета голосов до любой желаемой скорости. Мы видим, что у нас есть порядочность, поскольку фальсификация информации для голосования фактически уничтожит ее; отказ от отказа, поскольку закрытый ключ известен только заинтересованному избирателю; и проверяемость, поскольку любой может использовать открытый ключ и проверить конкретный голос.Что касается конфиденциальности, это вопрос политики. При необходимости конфиденциальность может быть обеспечена либо путем использования шифрования с секретным ключом, либо путем отказа от публикации открытых ключей, за исключением заинтересованных сторон, таких как избирательные комиссии и судьи. Дальнейшее развитие можно найти в стандартных текстах, таких как [14].

Основные цели информационной безопасности

Каковы основные цели информационной безопасности? И как они работают для защиты критически важных данных вашего бизнеса? Прочтите этот пост и узнайте больше?

Триада ЦРУ: фундаментальные цели информационной безопасности

В мире информационной безопасности мы часто слышим термин «Триада ЦРУ.«ЦРУ представляет собой то, к чему мы стремимся. Это относится к конфиденциальности, целостности и доступности.

Эти 3 объединяющих атрибута программы информационной безопасности. Более того, каждый из этих атрибутов представляет собой фундаментальную цель информационной безопасности.

Но что означает каждый из этих атрибутов? И насколько они важны? Что ж, давайте обсудим каждый из них.

Конфиденциальность

Большинство из нас не любит раскрывать финансовую информацию или информацию о здоровье незнакомцам.Точно так же владельцы бизнеса не любят раскрывать важную информацию о своем бизнесе. Особенно конкурентам или киберпреступникам.

Информация ценная. Итак, здесь важна конфиденциальность. Конфиденциальность означает защиту информации от неавторизованных людей и процессов.

Каждая организация должна помнить, что преступники всегда ищут пути. И они готовы использовать слабые места. Это может быть дизайн сети, программное обеспечение, каналы связи или люди.

Кроме того, они не всегда аутсайдеры. Даже у инсайдеров может возникнуть соблазн защитить копии информации, к которой они имеют доступ. Тогда используйте это для финансовой выгоды.

Вот почему конфиденциальность важна. И он защищает любую важную информацию от несанкционированного доступа или использования.

Целостность

Честность — один из высших идеалов личного характера. Честный человек живет в соответствии с этическим кодексом. Поэтому мы можем доверять ему определенное поведение в определенной ситуации.

Тот же принцип применяется к информационной безопасности. Целостность означает защиту информации от преднамеренного или случайного изменения. Таким образом, вы можете рассчитывать на то, что информация такая же, как и должна быть.

Кроме того, целостность применяется как к данным, так и к системе. Целостность данных гарантирует, что информация и программы остаются такими же, какими они были. Изменения касаются только указанного и разрешенного способа.

Системная целостность, с другой стороны, гарантирует выполнение своей предполагаемой функции.Таким образом, дает уверенность в том, что он свободен от преднамеренных несанкционированных манипуляций.

Наличие

Это третий компонент триады ЦРУ. Но что это значит? Доступность означает уверенность в том, что хранимая информация доступна и доступна. Но только авторизованным пользователем, особенно при необходимости.

Если авторизованный пользователь не может получить доступ к нужным ему данным, когда он ему нужен. Значит, это небезопасно. Таким образом, доступность гарантирует, что все уполномоченные лица могут получить доступ к данным в любое время.

Угрозы доступности:

  • Потеря способности обработки из-за стихийных бедствий
  • Аппаратные сбои
  • Ошибки программирования
  • Человеческие ошибки
  • Заболевание, травмы или смерть ключевого персонала
  • DDoS-атаки, а также
  • Вредоносные коды

Обеспечение доступности включает:

  • Контроль доступа
  • Мониторинг
  • Резервирование данных
  • Виртуализация
  • Устойчивые системы
  • Кластеризация серверов
  • Контроль окружающей среды
  • Непрерывность планирования операций и
  • Готовность к реагированию на инциденты

Заключение

Мы обсудили основы информационной безопасности.Вы можете задаться вопросом, какая из них самая важная. Однако, как мы видим, все эти 3 очень важны. Таким образом, организации должны распределять свои ресурсы пропорционально.

Нажмите, чтобы оценить этот пост!

[Всего: 0 Среднее: 0]

целей кибербезопасности — javatpoint

Целью кибербезопасности является защита информации от кражи, взлома или атак. Кибербезопасность можно измерить по крайней мере по одной из трех целей —

.
  1. Защитите конфиденциальность данных.
  2. Сохранять целостность данных.
  3. Продвигайте доступность данных для авторизованных пользователей.

Эти цели составляют триаду конфиденциальности, целостности и доступности (CIA), которая составляет основу всех программ безопасности. Триада CIA — это модель безопасности, разработанная для руководства политиками информационной безопасности внутри организации или компании. Эта модель также называется триадой AIC (доступность, целостность и конфиденциальность) , чтобы избежать путаницы с Центральным разведывательным управлением.Элементы триады считаются тремя наиболее важными составляющими безопасности.

Критерии CIA — это критерии, которые используют большинство организаций и компаний, когда они устанавливают новое приложение, создают базу данных или гарантируют доступ к некоторым данным. Чтобы данные были полностью безопасными, все эти цели безопасности должны быть выполнены. Это политики безопасности, которые работают вместе, и поэтому может быть неправильным упускать из виду одну политику.

Триада ЦРУ —

1.Конфиденциальность

Конфиденциальность примерно эквивалентна конфиденциальности и позволяет избежать несанкционированного раскрытия информации. Он включает в себя защиту данных, предоставляя доступ тем, кому разрешено их видеть, при этом не позволяя другим узнавать что-либо о его содержании. Это предотвращает попадание важной информации не тем людям, одновременно гарантируя, что нужные люди могут ее получить. Шифрование данных — хороший пример обеспечения конфиденциальности.

Инструменты для конфиденциальности

Шифрование

Шифрование — это метод преобразования информации с целью сделать ее нечитаемой для неавторизованных пользователей с помощью алгоритма.Преобразование данных использует секретный ключ (ключ шифрования), так что преобразованные данные могут быть прочитаны только с использованием другого секретного ключа (ключа дешифрования). Он защищает конфиденциальные данные, такие как номера кредитных карт, путем кодирования и преобразования данных в нечитаемый зашифрованный текст. Эти зашифрованные данные можно прочитать только путем их расшифровки. Асимметричный ключ и симметричный ключ — два основных типа шифрования.

Контроль доступа

Контроль доступа определяет правила и политики для ограничения доступа к системе или к физическим или виртуальным ресурсам.Это процесс, с помощью которого пользователям предоставляется доступ и определенные привилегии к системам, ресурсам или информации. В системах контроля доступа пользователям необходимо предоставить учетные данные, прежде чем им будет предоставлен доступ, например имя человека или серийный номер компьютера. В физических системах эти учетные данные могут иметь разные формы, но учетные данные, которые нельзя передать, обеспечивают максимальную безопасность.

Аутентификация

Аутентификация — это процесс, который обеспечивает и подтверждает личность пользователя или роль, которую кто-то имеет.Это можно сделать разными способами, но обычно это комбинация —

  • что-то, что есть у человека (например, смарт-карта или радиоключ для хранения секретных ключей),
  • что-то, что знает человек (например, пароль),
  • то, что есть человек (например, человек с отпечатком пальца).

Аутентификация является необходимостью каждой организации, поскольку она позволяет организациям обеспечивать безопасность своих сетей, разрешая только аутентифицированным пользователям доступ к своим защищенным ресурсам.Эти ресурсы могут включать компьютерные системы, сети, базы данных, веб-сайты и другие сетевые приложения или службы.

Авторизация

Авторизация — это механизм безопасности, который дает разрешение делать или иметь что-то. Он используется для определения того, кому или системе разрешен доступ к ресурсам на основе политики контроля доступа, включая компьютерные программы, файлы, службы, данные и функции приложений. Обычно ему предшествует аутентификация для проверки личности пользователя.Системным администраторам обычно назначаются уровни разрешений, охватывающие все системные и пользовательские ресурсы. Во время авторизации система проверяет правила доступа аутентифицированного пользователя и либо предоставляет, либо отказывает в доступе к ресурсам.

Физическая охрана

Физическая безопасность описывает меры, разработанные для предотвращения несанкционированного доступа к ИТ-активам, таким как помещения, оборудование, персонал, ресурсы и другое имущество, от повреждения. Он защищает эти активы от физических угроз, включая кражу, вандализм, пожар и стихийные бедствия.


2. Целостность

Целостность относится к методам обеспечения достоверности, точности и защиты данных от несанкционированного изменения пользователем. Это свойство заключается в том, что информация не может быть изменена несанкционированным образом и что источник информации является подлинным.

Инструменты для обеспечения целостности

Резервные копии

Резервное копирование — это периодическое архивирование данных. Это процесс создания копий данных или файлов данных для использования в случае потери или уничтожения исходных данных или файлов данных.Он также используется для создания копий в исторических целях, таких как лонгитюдные исследования, статистика или исторические записи, или для выполнения требований политики хранения данных. Многие приложения, особенно в среде Windows, создают файлы резервных копий с расширением .BAK.

Контрольные суммы

Контрольная сумма — это числовое значение, используемое для проверки целостности файла или передачи данных. Другими словами, это вычисление функции, которая отображает содержимое файла в числовое значение.Обычно они используются для сравнения двух наборов данных, чтобы убедиться, что они одинаковы. Функция контрольной суммы зависит от всего содержимого файла. Он разработан таким образом, что даже небольшое изменение во входном файле (например, переворот одного бита) может привести к другому выходному значению.

Коды коррекции данных

Это метод хранения данных, позволяющий легко обнаруживать небольшие изменения и автоматически исправлять их.


3. Наличие

Доступность — это свойство, при котором информация доступна и может быть своевременно изменена лицами, уполномоченными на это.Это гарантия надежного и постоянного доступа уполномоченных лиц к нашим конфиденциальным данным.

Инструменты обеспечения доступности

  • Физическая защита
  • Вычислительная избыточность

Физическая защита

Физическая защита означает сохранение доступной информации даже в случае физических проблем. Это обеспечивает размещение конфиденциальной информации и важнейших информационных технологий в безопасных местах.

Вычислительная избыточность

Применяется как отказоустойчивый от случайных неисправностей.Он защищает компьютеры и запоминающие устройства, которые служат резервом в случае сбоев.


Что такое политика информационной безопасности?

Люди — самая слабая часть системы безопасности любой организации. Вы можете потратить месяцы на разработку безупречных процессов и инвестирование в самые современные технологии, но и то, и другое работает, только если люди, использующие их, знают, что делают.

Вот почему политика информационной безопасности является одним из важнейших элементов защиты организации.

Они содержат список инструкций для персонала, которым следует следовать в различных сценариях, и охватывают ряд тем, таких как допустимые пароли и частота резервного копирования данных.

Что делают политики информационной безопасности?

Политики информационной безопасности обычно являются результатом оценки рисков, в ходе которой выявляются уязвимости и выбираются меры безопасности.

Каждая политика направлена ​​на конкретный риск и определяет шаги, которые организация должна предпринять для его снижения.
В соответствующих случаях в политике также объясняется, как сотрудники будут обучаться, чтобы лучше справляться с рисками.

Например, в случае угрозы фишинга политика должна объяснять, что такое фишинг, и указывать сотрудникам, к кому обращаться, если они подозревают, что подверглись фишинговому мошенничеству.

Также будет подробно описано, покрывает ли организация фишинг в рамках обучения своего персонала, и когда эти курсы будут проводиться.

Если организация имеет доступ к курсу электронного обучения персонала, политика должна включать ссылку на соответствующий модуль.

Что следует включить в политику информационной безопасности Политика

может включать все, что имеет отношение к вашей организации. Но в качестве отправной точки вы должны включить следующие разделы:

1. Область применения

Где вы храните конфиденциальную информацию — как физическую, так и цифровую? Как люди могут получить к нему доступ?

Ваша политика информационной безопасности должна касаться любой конфиденциальной информации, программ, систем, средств или другой инфраструктуры, которые окажут пагубное влияние на вашу организацию в случае компрометации.

Таким образом, первое требование — задокументировать каждый из них, чтобы вы знали, какие части вашей организации необходимо защитить.

2. Цели

Чтобы определить, работает ли ваша политика информационной безопасности так, как задумано, вам необходимо установить цели для достижения успеха.

Там, где это возможно, их следует измерить, поскольку индивидуальное суждение потенциально может привести к неточным отчетам и, возможно, даже к предвзятости — либо со стороны тех, кто хочет больших инвестиций в информационную безопасность, либо тех, кто утверждает, что существующие меры эффективны.

Но что именно вы должны измерять и как вы это измеряете? ISMS.online рекомендует организациям помнить о трех ключевых принципах ISO 27001: конфиденциальность, целостность и доступность.

В нем говорится: «Ключевым критерием успеха для нас является доступность наших систем для использования клиентами. Таким образом, у нас есть цель по времени безотказной работы 99,5% (или SLA с клиентами) в качестве одного из показателей, которые мы отслеживаем каждый месяц с помощью наших систем мониторинга времени безотказной работы ».

Другие ежемесячные цели, перечисленные в нем, включают отсутствие сбоев в резервном копировании и отсутствие необходимости выполнять корректирующие действия.

Выбранные вами цели будут различаться в зависимости от вашей отрасли и степени зрелости вашей системы управления информационной безопасностью. Они, вероятно, также будут развиваться со временем, поэтому важно их отслеживать. Если вы постоянно добиваетесь поставленной цели, вам следует обновить ее соответствующим образом или сосредоточиться на других областях.

3. Политика контроля доступа

Политика информационной безопасности обычно имеет иерархическую структуру. Старшие сотрудники имеют большую свободу и ответственность в отношении конфиденциальной информации, тогда как у сотрудников более низкого уровня меньше обязанностей.

Поэтому организации должны создавать политики контроля доступа, чтобы только утвержденные пользователи могли просматривать и изменять определенные записи.

Контроль доступа следует использовать для защиты информации, где бы она ни хранилась. Скорее всего, это касается цифровых записей, которые могут быть защищены паролями или другими техническими средствами защиты, но также должны быть реализованы средства контроля для защиты физических записей.

Дополнительная литература: Как написать политику управления доступом ISO 27001

4.Классификация информации

Классификация информации — это процесс определения уровня защиты данных.

Организации обычно классифицируют информацию с точки зрения конфиденциальности, используя типичную систему, содержащую четыре уровня конфиденциальности:

  • Конфиденциально (доступ есть только у высшего руководства)
  • Ограничено (доступ есть у большинства сотрудников)
  • Внутренняя (доступ есть у всех сотрудников)
  • Общедоступная информация (доступ есть у всех)

Дополнительная литература: Что такое классификация информации и какое отношение это имеет к ISO 27001?

5.Обучение персонала

Сотрудники всегда подвержены ошибкам. Это может быть просто небрежность, или они могут быть использованы киберпреступниками.

Например, злоумышленники часто атакуют организации, используя фишинговые электронные письма. Это позволяет обойти многие меры, которые организации принимают для защиты своей организации, вместо этого полагаясь на неспособность сотрудников обнаружить поддельное сообщение.

Ваша политика информационной безопасности должна включать положения, обеспечивающие обучение сотрудников осведомленности.

Дополнительная литература: Обучение персонала ISO 27001 — соответствие требованиям


В дополнение к этим вы также можете включить информацию о:

Нужна помощь в создании политик?

Документирование политик требует много времени и усилий, и вы все равно можете упустить из виду ключевые политики или не решить критические проблемы.

Однако вы можете избежать этих проблем с помощью нашего популярного шаблона политики информационной безопасности.

Этот настраиваемый инструмент позволяет создать шаблон информационной безопасности, соответствующий лучшим практикам, изложенным в ISO 27001.

Если вы хотите быть уверенным в том, что у вас есть полное представление о вашей информационной безопасности, или просто хотите ускорить процесс документирования, этот шаблон — идеальный ресурс.


Версия этого блога была первоначально опубликована 11 января 2019 года.

концепций информационной безопасности | Компьютеры в опасности: безопасные вычисления в век информации

для сохранения жизней (e.g., управление воздушным движением или автоматизированные медицинские системы). Планирование на случай непредвиденных обстоятельств связано с оценкой рисков и разработкой планов предотвращения или восстановления после неблагоприятных событий, которые могут сделать систему недоступной.

Традиционное планирование на случай непредвиденных обстоятельств для обеспечения доступности обычно включает реагирование только на стихийные бедствия (например, землетрясения) или случайные антропогенные события (например, утечка токсичного газа, препятствующая проникновению на объект). Однако планирование на случай непредвиденных обстоятельств должно также включать обеспечение реагирования на злонамеренные действия, а не просто стихийные бедствия или несчастные случаи, и как таковое должно включать явную оценку угрозы, основанную на модели реального противника, а не на вероятностной модели природы.

Например, простая политика доступности обычно формулируется следующим образом: «В среднем терминал должен отключаться менее чем на 10 минут в месяц». Конкретный терминал (например, банкомат или клавиатура и экран агента по бронированию) работает, если он правильно отвечает в течение одной секунды на стандартный запрос на обслуживание; в противном случае он не работает. Эта политика означает, что время безотказной работы на каждом терминале, в среднем по всем терминалам, должно составлять не менее 99,98 процента.

Политика безопасности, обеспечивающая доступность, обычно принимает другую форму, как в следующем примере: «Никакие входы в систему со стороны любого пользователя, который не является авторизованным администратором, не должны приводить к прекращению обслуживания системой какого-либо другого пользователя.»Обратите внимание, что в этой политике ничего не говорится о сбоях системы, за исключением случаев, когда они могут быть вызваны действиями пользователя. Вместо этого она определяет конкретную угрозу, злонамеренные или некомпетентные действия обычного пользователя системы и требует В нем ничего не говорится о других способах, которыми враждебная сторона может отказать в обслуживании, например, перерезав телефонную линию; для каждой такой угрозы требуется отдельное утверждение, указывающее степень сопротивления этой угрозе. считается важным.

Примеры требований безопасности для различных приложений

Точные потребности систем в безопасности будут варьироваться от приложения к приложению даже в пределах одного приложения. В результате организации должны понимать свои приложения и продумывать соответствующие варианты для достижения необходимого уровня безопасности.

Автоматизированная кассовая система, например, должна сохранять конфиденциальность личных идентификационных номеров (ПИН-кодов) как в хост-системе, так и во время передачи для транзакции.Он должен защищать целостность учетных записей и отдельных транзакций.

Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *