В наши дни самым ценным ресурсом становится не золото и не нефть. Самое ценное, что есть сегодня у человечества — это информация. И поэтому на первый план сегодня выходят не сверхнадежные банки и сейфы с мудреными замками, а вопросы информационной безопасности
В наши дни самым ценным ресурсом становятся не золото и нефть. Гораздо более важное, что есть сегодня у человечества, – это информация. Защита информации становится приоритетной задачей. И поэтому на первый план сегодня выходят не сверхнадежные банки и сейфы с мудреными замками, а вопросы информационной безопасности.
Мы часто слышим дискуссии, посвященные ей. Но что это? И как она измеряется? Как определить, достаточен ли уровень информационной безопасности у сервиса, которому мы доверяем личные данные? Какова ответственность компаний, которые не способны их сберечь? Расскажем в статье.
Что такое информационная безопасность
Информационная безопасность – это комплекс мер, которые призваны защищать информацию. Ее защищают буквально от всего. От воздействий естественного или искусственного характера, от преднамеренных или случайных действий. В общем, от действий и факторов, которые могут раскрыть ее, дать к ней несанкционированный доступ, исказить, исследовать, записать или уничтожить. Как видно, это довольно широкое понятие.
И, тем не менее, правильно выбирая средства защиты, можно гарантировать информационную безопасность. Выбор зависит от поставленных целей, от того, какую информацию нужно защищать и какие опасности ей могут грозить. Попробуем с этим разобраться.
Три кита информационной безопасности
Информационная безопасность преследует три цели, которые помогают сохранить информацию под защитой.
Это конфиденциальность, целостность и доступность.
Конфиденциальность
Под конфиденциальностью понимается сохранение в секрете критичной информации. Доступ к такой информации должен иметь только тот, у кого есть на это право. Например, пароль на смартфоне или пароль от электронной почты позволяют сохранить Ваш архив в секрете. ПИН-код от банковской карты помогает сохранить Ваши деньги. Если же кто-то сможет получить доступ к вашему смартфону или к почте, то конфиденциальность информации будет нарушена.
Целостность
Допустим, Вы написали по электронной почте письмо с отчетом своему начальнику, но сохранили его в черновиках, а не отправили сразу. А теперь представьте, что кто-то получил доступ к Вашей электронной почте и переписал все цифры в Вашем отчете. Так что получился не отчет, а абсурд.
В этом случае была нарушена целостность вашей информации. Говоря о целостности, мы имеем в виду, что информация сохраняется в неизменном виде в полном объеме. То есть она не удаляется, не изменяется и не подвергается корректировке.
Доступность
Если киберпреступники взломали сервер Вашей почты, то Вы не сможете получить к ней доступ. То есть нарушится принцип доступности информации. Это одна из целей, которую преследует информационная безопасность. Ведь доступность информации предполагает, что каждый, кто имеет право на доступ к данным, должен его получить.
Какая бывает информация
Информационная безопасность может быть разной в зависимости от ситуации. Иногда необходимо достижение всех трех целей. А бывает, что достаточно только двух или одной. Смотря о какой информации идет речь. Ведь, согласитесь, данные тоже бывают разными. Есть рекламные объявления, а есть исключительно личная переписка.
Итак, информация бывает общедоступной и конфиденциальной. Из названий понятно, что общедоступная информация носит открытый публичный характер. Доступ к ней может получить любой человек. Однако и она нуждается в защите. Как минимум, необходимо обеспечить для неё целостность и доступность.
Что касается конфиденциальной информации, то при её защите необходимо учитывать все три цели информационной безопасности. При этом первая цель – конфиденциальность, то есть секретность, выходит на первый план. Поговорим о конфиденциальной информации подробнее.
Что такое конфиденциальная информация
Главное отличие конфиденциальной информации от общедоступной заключается в том, что её неправомерное распространение создает угрозы экономического и иного характера её обладателю. По сути, конфиденциальная информация – это информация, доступ к которой есть только у определенного круга лиц, или у лиц определенной категории.
Такая информация – всегда особенная тайна. Но защита конфиденциальных данных гарантирована законом. В частности, в ст. 2 Федерального закона «Об информации» говорится, что к сведениям ограниченного доступа относятся данные, которые нельзя передать третьему лицу без согласия обладателя этих сведений.
Существует несколько видов конфиденциальной информации:
- Служебная тайна;
- Коммерческая тайна;
- Персональные данные;
- Тайна уголовного судопроизводства;
- Судебная тайна;
- Профессиональная тайна.
Персональные данные
Нас в большей степени будут интересовать персональные данные. Ведь с таким видом конфиденциальной информации так или иначе сталкиваются сегодня очень многие компании в интернете. Как только Вы просите посетителей сайта связаться с Вами, оставить данные, заказать что-либо онлайн, Вы сразу сталкиваетесь с вопросом безопасности персональных данных. К персональным данным относятся:
- ФИО;
- номер телефона;
- паспортные данные, семейное положение, физиологические особенности;
- и все другие данные, которые характеризуют этого человека.
Защита персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных». В законе перечисляются требования по работе с персональными данными и определяется необходимый уровень защиты этой информации.
Виды угроз информационной безопасности
Угрозы могут подразделяться по различным критериям. Разберём, какие они бывают.
Угрозы по составляющим информационной безопасности
- Угрозы конфиденциальности. Это когда кто-то, кто не имеет на это право, пытается получить (или даже получает) доступ к закрытой секретной информации. Это необязательно должна быть хакерская атака. Просто, например, один сотрудник делегировал другому сотруднику, не имеющему доступа к служебной тайне, выполнить какие-то действия. Или могли произойти сбои системы, и вдруг пользователям стала видна служебная информация. Но в некоторых случаях речь действительно может идти о государственной тайне и о хакерской атаке.
- Угрозы целостности. Это угрозы неправомерного изменения или удаления информации. К этим угрозам относятся и непрофессионализм сотрудников, и выход из строя оборудования.
- Угрозы доступности, которые приводят к нарушению доступа к информации.
По месторасположению угрозы
Угрозы могут быть:
- Внутренние – когда источник угрозы находится внутри информационной системы;
- Внешние – когда источник угрозы находится снаружи.
Угрозы могут различаться по своей природе
В этом случае угрозы подразделяются на:
- Естественные, к которым могут относиться, например, стихийные природные явления;
- Искусственные, которые возникают в результате действий человека.
Искусственные угрозы, в свою очередь, подразделяются на несколько групп:
- Непреднамеренные. Например, когда персонал допускает ошибку или если отказывает техника;
- Преднамеренные, или умышленные, угрозы имеют под собой определенные цели, связанные с преодолением информационной безопасности. Например, желание получить доступ к базе данных, уничтожить сведения, внедрение вируса и так далее.
Виды источников угроз
Источники информационных угроз условно делятся на три большие группы:
- Антропогенные источники. В этом случает причиной угроз является человек, который преднамеренно или нечаянно нарушает принципы информационной безопасности;
- Техногенные источники. В этом случае источниками угроз является техника;
- Стихийные источники. К этой группе источников относят стихийные бедствия, катастрофы, другие обстоятельства непреодолимой силы, которые приводят к нарушению информационной безопасности.
Технологии защиты информации
Существуют различные способы защиты информации. Мы же остановимся на основных группах, в которые можно объединить существующие технические средства и технологии защиты информации.
Читайте о том, как защищали информацию в древности, в статье «Криптография. Зашифрованные послания».
Инженерно-технические средства защиты
К этой группе относятся все средства, которые позволяют технически снизить информационные угрозы. Например, такие, как:
- Система видеонаблюдения;
- Физическая защита серверов от внешнего негативного воздействия при стихийных бедствиях — толстые стены, бронированные двери и так далее;
- Ограниченный доступ сотрудников. Это когда только у определенной категории людей есть магнитный ключ от некоторых помещений, где хранится информация;
- Противопожарная защита и так далее.
Организационно-правовая защита
К этой группе относят договоры, нормативные акты, различные официальные стандарты в области защиты информации. В качестве примера можно привести «Договор о неразглашении информации», который обычно подписывают компании, прежде чем начать обмениваться конфиденциальными данными.
Криптографическая защита
Криптографию используют для шифрования данных. Это дает возможность впоследствии даже передавать конфиденциальную информацию, используя открытые каналы связи. Также криптография позволяет подтвердить подлинность информации и защищает программное обеспечение от копирования и использования третьими лицами.
Комментариев: 0 обсудить?