Informačná bezpečnosť a ochrana informácií jednoduchými slovami. Informačná bezpečnosť

Zakladateľ kybernetiky Norbert Wiener veril, že informácie majú jedinečné vlastnosti a nemožno ich pripísať ani energii, ani hmote. Špeciálny status informácie ako fenoménu dal vznik mnohým definíciám.

V slovníku normy ISO / IEC 2382: 2015 "Informačné technológie" je uvedený nasledujúci výklad:

Informácie (v oblasti spracovania informácií)- akékoľvek údaje prezentované v elektronickej forme, napísané na papieri, vyjadrené na stretnutí alebo na akomkoľvek inom médiu, používané finančnou inštitúciou na prijímanie rozhodnutí, presúvanie finančných prostriedkov, stanovovanie sadzieb, poskytovanie úverov, spracovanie transakcií atď., vrátane systému spracovania komponentov softvér.

Informáciou sa pre rozvoj koncepcie informačnej bezpečnosti (IS) rozumie informácia, ktorá je k dispozícii na zhromažďovanie, uchovávanie, spracovanie (úpravu, transformáciu), používanie a prenos rôznymi spôsobmi, a to aj v počítačových sieťach a iných informačných systémoch.

Takéto informácie majú vysokú hodnotu a môžu sa stať predmetom zásahu zo strany tretích strán. Túžba chrániť informácie pred hrozbami je základom vytvárania systémov informačnej bezpečnosti.

Právny základ

V decembri 2017 Rusko prijalo doktrínu informačnej bezpečnosti. IS je v dokumente definovaný ako stav ochrany národných záujmov v informačnej sfére. Národné záujmy sú v tomto prípade chápané ako súhrn záujmov spoločnosti, jednotlivca a štátu, pričom každá skupina záujmov je nevyhnutná pre stabilné fungovanie spoločnosti.

Doktrína je koncepčný dokument. Právne vzťahy súvisiace s informačnou bezpečnosťou upravujú federálne zákony „O štátnom tajomstve“, „O informáciách“, „O ochrane osobných údajov“ a iné. Na základe základných normatívnych aktov sa vypracúvajú nariadenia vlády a rezortné normatívne akty o súkromných otázkach ochrany informácií.

Definícia informačnej bezpečnosti

Pred vypracovaním stratégie informačnej bezpečnosti je potrebné prijať základnú definíciu samotného pojmu, ktorá umožní použiť určitý súbor metód a spôsobov ochrany.

Odborníci z praxe navrhujú, aby sa informačná bezpečnosť chápala ako stabilný stav bezpečnosti informácií, ich nosičov a infraštruktúry, ktorý zabezpečuje integritu a stabilitu procesov súvisiacich s informáciami proti úmyselným alebo neúmyselným vplyvom prirodzeného a umelého charakteru. Dopady sú klasifikované ako hrozby IS, ktoré môžu poškodiť subjekty informačných vzťahov.

Pod ochranou informácií sa teda bude rozumieť súbor právnych, administratívnych, organizačných a technických opatrení zameraných na predchádzanie skutočným alebo domnelým hrozbám informačnej bezpečnosti, ako aj odstraňovanie následkov incidentov. Kontinuita procesu ochrany informácií by mala zaručiť boj proti hrozbám vo všetkých fázach informačného cyklu: v procese zhromažďovania, uchovávania, spracovania, používania a prenosu informácií.

Informačná bezpečnosť v tomto chápaní sa stáva jednou z charakteristík výkonu systému. Systém musí mať v každom okamihu merateľnú úroveň bezpečnosti a zaistenie bezpečnosti systému musí byť nepretržitý proces, ktorý sa vykonáva vo všetkých časových intervaloch počas životnosti systému.

Subjekty informačnej bezpečnosti sa v teórii informačnej bezpečnosti chápu ako vlastníci a používatelia informácií, a to nielen používatelia priebežne (zamestnanci), ale aj používatelia, ktorí v ojedinelých prípadoch pristupujú k databázam, napríklad orgány štátnej správy požadujúce informácie. V mnohých prípadoch, napríklad v štandardoch bezpečnosti bankových informácií, sú vlastníkmi informácií akcionári – právnické osoby, ktoré vlastnia určité údaje.

Podporná infraštruktúra z hľadiska základov informačnej bezpečnosti zahŕňa počítače, siete, telekomunikačné zariadenia, priestory, systémy na podporu života a personál. Pri analýze bezpečnosti je potrebné študovať všetky prvky systémov, pričom osobitnú pozornosť treba venovať personálu ako nositeľovi väčšiny vnútorných hrozieb.

Pre riadenie informačnej bezpečnosti a hodnotenie škôd sa používa charakteristika prijateľnosti, teda poškodenie je určené ako prijateľné alebo neprijateľné. Pre každú spoločnosť je užitočné stanoviť si vlastné kritériá prípustnosti škody v peňažnej forme alebo napríklad vo forme prijateľného poškodenia dobrého mena. Vo verejných inštitúciách si možno osvojiť aj iné charakteristiky, napríklad vplyv na proces riadenia či odraz miery poškodenia života a zdravia občanov. Kritériá významnosti, dôležitosti a hodnoty informácií sa môžu počas životného cyklu informačného poľa meniť, preto by sa mali včas revidovať.

Informačná hrozba v užšom zmysle je objektívna možnosť ovplyvniť predmet ochrany, čo môže viesť k úniku, odcudzeniu, prezradeniu alebo šíreniu informácií. V širšom zmysle budú hrozby informačnej bezpečnosti zahŕňať priame informačné dopady, ktorých účelom je poškodiť štát, organizáciu a jednotlivca. Medzi takéto hrozby patrí napríklad ohováranie, úmyselné zavádzanie a nevhodná reklama.

Tri hlavné otázky koncepcie informačnej bezpečnosti pre každú organizáciu

Čo chrániť?

Aké typy hrozieb prevládajú: vonkajšie alebo vnútorné?

Ako sa chrániť, akými metódami a prostriedkami?

IS systém

Systém informačnej bezpečnosti pre spoločnosť - právnickú osobu zahŕňa tri skupiny základných pojmov: integritu, dostupnosť a dôvernosť. Pod každým sú pojmy s mnohými charakteristikami.

Pod bezúhonnosť znamená odolnosť databáz, iných informačných polí proti náhodnému alebo úmyselnému zničeniu, neoprávneným zmenám. Na integritu sa dá pozerať takto:

• statické, vyjadrené v nemennosti, autenticite informačných objektov k tým objektom, ktoré boli vytvorené podľa konkrétnej technickej úlohy a obsahujú množstvo informácií požadovaných užívateľmi pre ich hlavnú činnosť, v požadovanej konfigurácii a poradí;
• dynamické, čo znamená správne vykonávanie zložitých akcií alebo transakcií, čo neohrozuje bezpečnosť informácií.

Na kontrolu dynamickej integrity sa používajú špeciálne technické prostriedky, ktoré analyzujú tok informácií, napríklad finančných, a identifikujú prípady krádeže, duplikácie, presmerovania a zmeny poradia správ. Integrita ako kľúčová charakteristika sa vyžaduje, keď sa rozhodnutia prijímajú na základe prichádzajúcich alebo dostupných informácií, aby sa podnikli kroky. Porušenie poradia príkazov alebo postupnosti úkonov môže spôsobiť veľké škody v prípade popisovania technologických procesov, programových kódov a v iných podobných situáciách.

Dostupnosť je vlastnosť, ktorá umožňuje oprávneným subjektom prístup alebo výmenu údajov, ktoré ich zaujímajú. Kľúčová požiadavka legitimácie alebo autorizácie subjektov umožňuje vytvárať rôzne úrovne prístupu. Odmietnutie systému poskytnúť informácie sa stáva problémom pre akúkoľvek organizáciu alebo skupinu používateľov. Príkladom je neprístupnosť stránok verejných služieb v prípade zlyhania systému, čo mnohých používateľov pripravuje o možnosť získať potrebné služby alebo informácie.

Dôvernosť znamená vlastnosť informácií, ktoré majú byť dostupné týmto používateľom: subjektom a procesom, ku ktorým je pôvodne povolený prístup. Väčšina spoločností a organizácií vníma dôvernosť ako kľúčový prvok informačnej bezpečnosti, no v praxi je ťažké ju plne implementovať. Nie všetky údaje o existujúcich kanáloch úniku informácií majú autori koncepcií informačnej bezpečnosti k dispozícii a mnohé technické prostriedky ochrany, vrátane kryptografických, nie je možné voľne zakúpiť, v niektorých prípadoch je obrat obmedzený.

Rovnaké vlastnosti informačnej bezpečnosti majú pre používateľov rôzne hodnoty, preto existujú dve extrémne kategórie vo vývoji koncepcií ochrany údajov. Pre firmy či organizácie spojené so štátnym tajomstvom sa dôvernosť stane kľúčovým parametrom, pre verejné služby či vzdelávacie inštitúcie je najdôležitejším parametrom dostupnosť.

Prehľad bezpečnosti informácií

Mesačná zbierka užitočných publikácií, zaujímavých noviniek a udalostí zo sveta informačnej bezpečnosti. Odborné skúsenosti a reálne prípady z praxe SearchInform.

Chránené objekty v koncepciách informačnej bezpečnosti

Rozdielnosť subjektov vyvoláva rozdiely v predmetoch ochrany. Hlavné skupiny chránených objektov:

• informačné zdroje všetkého druhu (zdrojom sa rozumie hmotný predmet: pevný disk, iné médium, dokument s údajmi a podrobnosťami, ktoré ho pomáhajú identifikovať a odkazovať na určitú skupinu subjektov);
• práva občanov, organizácií a štátu na prístup k informáciám, možnosť ich získavania v rámci zákona; prístup môže byť obmedzený len regulačnými právnymi aktmi, organizovanie akýchkoľvek prekážok porušujúcich ľudské práva je neprípustné;
• systém na vytváranie, používanie a distribúciu údajov (systémy a technológie, archívy, knižnice, regulačné dokumenty);
• systém formovania povedomia verejnosti (médiá, internetové zdroje, sociálne inštitúcie, vzdelávacie inštitúcie).

Každý objekt predpokladá osobitný systém opatrení na ochranu pred ohrozením informačnej bezpečnosti a verejného poriadku. Zabezpečenie informačnej bezpečnosti v každom prípade by malo byť založené na systematickom prístupe, ktorý zohľadňuje špecifiká zariadenia.

Kategórie a pamäťové médiá

Ruský právny systém, prax presadzovania práva a zavedené spoločenské vzťahy klasifikujú informácie podľa kritérií prístupnosti. To vám umožní objasniť základné parametre potrebné na zaistenie informačnej bezpečnosti:

• informácie, ku ktorým je prístup obmedzený na základe zákonných požiadaviek (štátne tajomstvo, obchodné tajomstvo, osobné údaje);
• informácie vo verejnej sfére;
• verejne dostupné informácie, ktoré sa poskytujú za určitých podmienok: platené informácie alebo údaje, na ktoré potrebujete vystaviť vstupné, napríklad čitateľský preukaz;
• nebezpečné, škodlivé, nepravdivé a iné typy informácií, ktorých obeh a distribúcia je obmedzená buď požiadavkami zákonov alebo podnikových noriem.

Informácie z prvej skupiny majú dva spôsoby ochrany. Štátne tajomstvo, podľa zákona ide o štátom chránené informácie, ktorých bezplatné šírenie môže poškodiť bezpečnosť krajiny. Ide o údaje z oblasti vojenstva, zahraničnej politiky, spravodajstva, kontrarozviedky a ekonomickej činnosti štátu. Vlastníkom tejto skupiny údajov je samotný štát. Orgánmi oprávnenými prijímať opatrenia na ochranu štátneho tajomstva sú Ministerstvo obrany, Federálna bezpečnostná služba (FSB), Zahraničná spravodajská služba a Federálna služba technickej a exportnej kontroly (FSTEC).

Dôverné informácie- mnohostrannejší predmet regulácie. Zoznam informácií, ktoré môžu predstavovať dôverné informácie, je obsiahnutý v prezidentskom dekréte č. 188 „O schválení zoznamu dôverných informácií“. Ide o osobné údaje; utajenie vyšetrovania a súdneho konania; úradné tajomstvo; služobné tajomstvo (lekárske, notárske, advokátske); obchodné tajomstvo; informácie o vynálezoch a úžitkových vzoroch; informácie obsiahnuté v osobných spisoch odsúdených, ako aj informácie o nútenom výkone súdnych úkonov.

Osobné údaje existujú v otvorenom a dôvernom režime. Súčasťou osobných údajov otvorených a prístupných všetkým používateľom je krstné meno, priezvisko, priezvisko. Podľa FZ-152 „O osobných údajoch“ majú subjekty osobných údajov právo:

• informačné sebaurčenie;
• získať prístup k osobným údajom a vykonávať ich zmeny;
• na blokovanie osobných údajov a prístupu k nim;
• odvolať sa proti nezákonnému konaniu tretích osôb spáchaných v súvislosti s osobnými údajmi;
• nahradiť spôsobenú škodu.

Právo na to je zakotvené v predpisoch o štátnych orgánoch, federálnych zákonoch, licenciách na prácu s osobnými údajmi vydaných Roskomnadzorom alebo FSTEC. Do registra, ktorý vedie Roskomnadzor, musia vstúpiť firmy, ktoré profesionálne pracujú s osobnými údajmi širokého spektra ľudí, napríklad telekomunikační operátori.

Samostatným objektom v teórii a praxi informačnej bezpečnosti sú nosiče informácií, ku ktorým je prístup otvorený a uzavretý. Pri vývoji koncepcie informačnej bezpečnosti sa metódy ochrany vyberajú v závislosti od typu média. Hlavné pamäťové médium:

• tlačené a elektronické médiá, sociálne siete, iné zdroje na internete;
• zamestnanci organizácie, ktorí majú prístup k informáciám na základe ich priateľských, rodinných, profesionálnych väzieb;
• komunikačné prostriedky, ktoré prenášajú alebo uchovávajú informácie: telefóny, automatické telefónne ústredne, iné telekomunikačné zariadenia;
• dokumenty všetkých typov: osobné, úradné, vládne;
• softvér ako nezávislý informačný objekt, najmä ak bola jeho verzia upravená špeciálne pre konkrétnu spoločnosť;
• elektronické pamäťové médiá, ktoré spracúvajú údaje automatickým spôsobom.

Na účely rozvoja koncepcií informačnej bezpečnosti sa prostriedky informačnej bezpečnosti zvyčajne delia na normatívne (neformálne) a technické (formálne).

Neformálnymi prostriedkami ochrany sú dokumenty, pravidlá, udalosti, formálnymi prostriedkami sú špeciálne technické prostriedky a softvér. Vymedzenie pomáha rozdeliť oblasti zodpovednosti pri vytváraní systémov informačnej bezpečnosti: pri všeobecnom riadení ochrany implementujú administratívni pracovníci normatívne metódy a IT špecialisti technické.

Základy informačnej bezpečnosti znamenajú vymedzenie právomocí nielen z hľadiska využívania informácií, ale aj z hľadiska práce s ich ochranou. Toto vymedzenie právomocí si tiež vyžaduje niekoľko úrovní kontroly.

Formálne opravné prostriedky

Široká škála technických prostriedkov informačnej bezpečnosti zahŕňa:

Fyzické ochranné prostriedky. Ide o mechanické, elektrické, elektronické mechanizmy, ktoré fungujú nezávisle od informačných systémov a vytvárajú bariéry prístupu k nim. Zámky, vrátane elektronických, clony, žalúzie sú navrhnuté tak, aby vytvárali prekážky pre kontakt destabilizujúcich faktorov so systémami. Skupinu dopĺňajú bezpečnostné systémy, napríklad videokamery, videorekordéry, senzory snímajúce pohyb alebo prekročenie stupňa elektromagnetického žiarenia v oblasti umiestnenia technických prostriedkov na vyhľadávanie informácií, vstavané zariadenia.

Hardvérová ochrana. Ide o elektrické, elektronické, optické, laserové a iné zariadenia, ktoré sú zabudované v informačných a telekomunikačných systémoch. Pred zavedením hardvéru do informačných systémov je potrebné zabezpečiť kompatibilitu.

softvér sú jednoduché a systémové, komplexné programy určené na riešenie špecifických a zložitých problémov súvisiacich s informačnou bezpečnosťou. Príkladom komplexných riešení sú tiež: prvé slúžia na zabránenie úniku, preformátovanie informácií a presmerovanie informačných tokov, druhé poskytujú ochranu pred incidentmi v oblasti informačnej bezpečnosti. Softvér je náročný na výkon hardvérových zariadení a pri inštalácii je potrebné zabezpečiť dodatočné rezervy.

TO konkrétne prostriedky informačná bezpečnosť zahŕňa rôzne kryptografické algoritmy, ktoré šifrujú informácie na disku a sú presmerované cez externé komunikačné kanály. Transformácia informácií môže nastať pomocou softvérových a hardvérových metód fungujúcich v podnikových informačných systémoch.

Všetky prostriedky, ktoré zaručujú bezpečnosť informácií, by sa mali používať v kombinácii po predbežnom posúdení hodnoty informácie a jej porovnaní s nákladmi na zdroje vynaložené na bezpečnosť. Návrhy na použitie finančných prostriedkov by preto mali byť formulované už v štádiu vývoja systémov a schvaľovanie by malo prebiehať na úrovni manažmentu, ktorý je zodpovedný za schvaľovanie rozpočtov.

Pre zaistenie bezpečnosti je potrebné sledovať všetok moderný vývoj, prostriedky ochrany softvéru a hardvéru, hrozby a promptne vykonávať zmeny vo vlastných systémoch ochrany pred neoprávneným prístupom. Len primeranosť a rýchlosť reakcie na hrozby pomôže dosiahnuť vysokú mieru dôvernosti pri práci spoločnosti.

Neformálne opravné prostriedky

Neformálne prostriedky nápravy sa delia na normatívne, administratívne a morálno-etické. Na prvom stupni ochrany sú regulačné prostriedky, ktoré regulujú informačnú bezpečnosť ako proces v činnosti organizácie.

• Regulačné prostriedky

Vo svetovej praxi sa pri vývoji regulačných nástrojov riadia normami ochrany IS, hlavným je ISO / IEC 27000. Štandard vytvorili dve organizácie:

• ISO - Medzinárodná komisia pre normalizáciu, ktorá vyvíja a schvaľuje väčšinu medzinárodne uznávaných metodík certifikácie kvality výroby a procesov riadenia;
• IEC - International Energy Commission, ktorá do normy zaviedla svoje chápanie systémov informačnej bezpečnosti, prostriedkov a metód jej zabezpečenia

Aktuálna verzia ISO / IEC 27000-2016 ponúka hotové štandardy a overené metódy potrebné na implementáciu informačnej bezpečnosti. Základ informačnej bezpečnosti podľa autorov metód spočíva v dôslednosti a dôslednej implementácii všetkých etáp od vývoja až po post-kontrolu.

Pre získanie certifikátu, ktorý potvrdzuje súlad so štandardmi informačnej bezpečnosti, je potrebné implementovať všetky odporúčané techniky v plnom rozsahu. Ak nie je potrebné získať certifikát, je dovolené akceptovať ktorúkoľvek zo starších verzií normy, počnúc ISO / IEC 27000-2002 alebo ruskými GOST, ktoré majú poradný charakter, ako základ pre vývoj normy. svoje vlastné systémy informačnej bezpečnosti.

Na základe výsledkov štúdia normy sa vypracúvajú dva dokumenty, ktoré sa týkajú informačnej bezpečnosti. Hlavným, ale menej formálnym, je koncepcia informačnej bezpečnosti podniku, ktorá definuje opatrenia a spôsoby implementácie systému informačnej bezpečnosti pre informačné systémy organizácie. Druhým dokumentom, ktorý musia dodržiavať všetci zamestnanci spoločnosti, je predpis o informačnej bezpečnosti schválený na úrovni predstavenstva alebo výkonného orgánu.

Okrem pozície na úrovni spoločnosti by sa mali vypracovať zoznamy informácií tvoriacich obchodné tajomstvo, prílohy k pracovným zmluvám, zabezpečenie zodpovednosti za sprístupnenie dôverných údajov, ďalšie normy a metódy. Interné pravidlá a predpisy by mali obsahovať implementačné mechanizmy a opatrenia zodpovednosti. Opatrenia majú najčastejšie disciplinárny charakter a porušovateľ sa musí pripraviť na to, že za porušenie režimu obchodného tajomstva budú nasledovať výrazné sankcie až po prepustenie.

• Organizačné a administratívne opatrenia

V rámci administratívnych činností na ochranu informačnej bezpečnosti bezpečnostných pracovníkov je priestor pre kreativitu. Ide o architektonické a plánovacie riešenia, ktoré umožňujú chrániť zasadacie miestnosti a kancelárie vedenia pred odpočúvaním a zriadením rôznych úrovní prístupu k informáciám. Dôležitými organizačnými opatreniami bude certifikácia činnosti spoločnosti v súlade s normami ISO / IEC 27000, certifikácia jednotlivých hardvérových a softvérových systémov, certifikácia subjektov a objektov na splnenie potrebných bezpečnostných požiadaviek, získanie licencií potrebných na prácu s chránenými dátovými poľami.

Z hľadiska regulácie činnosti personálu bude dôležité formulovať systém žiadostí o prístup na internet, externú elektronickú poštu a iné zdroje. Samostatným prvkom bude prijatie elektronického digitálneho podpisu na zvýšenie bezpečnosti finančných a iných informácií, ktoré sa prenášajú vládnym orgánom prostredníctvom e-mailu.

• Morálne a etické opatrenia

Morálne a etické opatrenia určujú osobný postoj osoby k dôverným informáciám alebo informáciám obmedzeným v obehu. Zvyšovanie úrovne vedomostí zamestnancov o vplyve hrozieb na činnosť spoločnosti ovplyvňuje mieru vedomia a zodpovednosti zamestnancov. V boji proti porušovaniu informačného režimu, medzi ktoré patrí napríklad prenášanie hesiel, neopatrné zaobchádzanie s médiami, šírenie dôverných údajov v súkromných rozhovoroch, je potrebné zamerať sa na osobnú svedomitosť zamestnanca. Bude užitočné stanoviť ukazovatele efektívnosti personálu, ktoré budú závisieť od postoja k systému podnikovej informačnej bezpečnosti.

Infografika využíva údaje z nášho vlastného výskumu.SearchInform.

Objektívne vznikla kategória „bezpečnosť informácií“ so vznikom prostriedkov informačnej komunikácie medzi ľuďmi, ako aj s vedomím človeka, že ľudia a ich komunity majú záujmy, ktoré môžu byť poškodené ovplyvňovaním prostriedkov informačnej komunikácie. ktorého prítomnosť a rozvoj zabezpečuje výmenu informácií medzi všetkými prvkami spoločnosti.

Informačná bezpečnosť je ochrana informácií a podpornej infraštruktúry pred náhodnými alebo úmyselnými vplyvmi prírodného alebo umelého charakteru, ktoré môžu subjektom informačných vzťahov spôsobiť neprijateľné škody. Podporná infraštruktúra - elektrina, teplo, voda, plynové systémy, klimatizačné systémy atď., ako aj obslužný personál. Neprípustná škoda je škoda, ktorú nemožno zanedbať.

Zatiaľ čo Informačná bezpečnosť- toto je stav bezpečnosti informačného prostredia, ochranu informácií je činnosť na zamedzenie úniku chránených informácií, neoprávnených a neúmyselných vplyvov na chránené informácie, tzn proces, zameraný na dosiahnutie tohto stavu .

Informačná bezpečnosť organizácie- stav bezpečnosti informačného prostredia organizácie, zabezpečenie jeho formovania, využívania a rozvoja.

Informačná bezpečnosť štátu- stav zachovania informačných zdrojov štátu a ochrany zákonných práv jednotlivca a spoločnosti v informačnej sfére.

V modernej spoločnosti informačná sféra má dve zložky: informačné technológie (umelo vytvorený svet techniky, techniky atď.) a informačné a psychologické (prirodzený svet živej prírody, vrátane človeka samotného).

Informačná bezpečnosť- ochrana dôvernosti, integrity a dostupnosti informácií.

1. Dôvernosť: majetok informačných zdrojov vrátane informácií súvisiacich s tým, že sa nestanú dostupnými a nebudú sprístupnené neoprávneným osobám.

2. bezúhonnosť: vlastnosť informačných zdrojov vrátane informácií, ktorá určuje ich presnosť a úplnosť.

3. Dostupnosť: vlastnosť informačných zdrojov vrátane informácií, ktorá podmieňuje možnosť ich prijatia a použitia na požiadanie oprávnených osôb.

Systematický prístup k popisu informačnej bezpečnosti navrhuje zdôrazniť nasledovné komponenty informačnej bezpečnosti:

1. Legislatívny, regulačný a vedecký základ.

2. Štruktúra a úlohy orgánov (divízií), ktoré zabezpečujú IT bezpečnosť.

3. Organizačné, technické a bezpečnostné opatrenia a metódy (Informačná bezpečnostná politika).

4. Softvérové ​​a hardvérové ​​metódy a prostriedky na zaistenie informačnej bezpečnosti.

Vzhľadom na vplyv na transformáciu myšlienok informačnej bezpečnosti v rozvoji informačnej komunikácie existuje niekoľko fáz:

Ø I. etapa - pred rokom 1816 - charakterizovaný použitím prirodzene sa vyskytujúce prostriedky informačnej komunikácie... V tomto období bola hlavnou úlohou informačná bezpečnosť pri ochrane informácií o udalostiach, skutočnostiach, majetku, polohe a iných údajov, ktoré sú životne dôležité pre osobu osobne alebo pre komunitu, do ktorej patril .

Ø II etapa - od roku 1816 - spojený so začiatkom používania umelo vytvorené technické prostriedky elektrických a rádiových komunikácií... Pre zabezpečenie utajenia a odolnosti rádiových komunikácií proti rušeniu bolo potrebné využiť skúsenosti z prvého obdobia informačnej bezpečnosti na vyššej technologickej úrovni, a to aplikácia chybovo opravného kódovania správy (signálu) s následným dekódovaním prijatej správy (signálu).

Ø Stupeň III - od roku 1935 - spojené so vznikom radarových a hydroakustických zariadení. Hlavným spôsobom zabezpečenia informačnej bezpečnosti v tomto období bolo kombinácia organizačných a technických opatrení zameraných na zvýšenie ochrany radarových zariadení pred účinkami aktívneho maskovania a pasívneho napodobňovania rádioelektronického rušenia na ich prijímacie zariadenia.

Ø Štádium IV - od roku 1946 - spojené s vynálezom a implementáciou elektronických počítačov v praxi(počítače). Riešili sa najmä úlohy informačnej bezpečnosti metódy a metódy obmedzenia fyzického prístupu k zariadeniam prostriedkov na extrakciu, spracovanie a prenos informácií .

Ø Etapa V - od roku 1965 - v dôsledku vzniku a vývoja miestne informačné a komunikačné siete... Aj úlohy informačnej bezpečnosti sa riešili najmä metódami a metódami fyzická ochrana prostriedkov získavania, spracovania a prenosu informácií spojených do lokálnej siete prostredníctvom správy a kontroly prístupu k sieťovým zdrojom .

Ø Štádium VI - od roku 1973 - spojené s užívaním ultramobilné komunikačné zariadenia so širokou škálou úloh... Hrozby informačnej bezpečnosti sa stali oveľa závažnejšími. Na zaistenie informačnej bezpečnosti v počítačových systémoch so sieťami bezdrôtového prenosu dát bolo potrebné vyvinúť nové bezpečnostné kritériá. Vznikali komunity ľudí – hackerov, ktorých cieľom je poškodiť informačnú bezpečnosť jednotlivých používateľov, organizácií a celých krajín. Informačný zdroj sa stal najdôležitejším zdrojom štátu a zabezpečenie jeho bezpečnosti sa stalo najdôležitejšou a povinnou zložkou národnej bezpečnosti. Vytvára sa informačný zákon - nová vetva medzinárodného právneho systému.

Ø VII etapa - od roku 1985 - je spojená s vytváraním a rozvojom globálnych informačných a komunikačných sietí s využitím zariadení na podporu vesmíru. Dá sa predpokladať, že ďalšia etapa vo vývoji informačnej bezpečnosti bude, samozrejme, spojená s rozsiahlym využívaním ultramobilných komunikačných zariadení so širokým spektrom úloh a globálnym pokrytím v priestore a čase, ktoré poskytujú vesmírne informácie a komunikácia. systémov. Na riešenie problémov informačnej bezpečnosti v tejto fáze je potrebné vytvoriť makrosystém informačnej bezpečnosti pre ľudstvo pod záštitou popredných medzinárodných fór. .

Rýchlo sa rozvíjajúce počítačové informačné technológie prinášajú významné zmeny v našich životoch. Informácie sa stali tovarom, ktorý sa dá kúpiť, predať, vymeniť. Okrem toho sú náklady na informácie často stokrát vyššie ako náklady na počítačový systém, v ktorom sú uložené.

Blaho a niekedy aj život mnohých ľudí závisí od stupňa bezpečnosti informačných technológií. Takáto je cena za komplikácie a rozsiahle šírenie systémov automatizovaného spracovania informácií.

Pod informačná bezpečnosť znamená zabezpečenie informačného systému pred náhodnými alebo úmyselnými zásahmi, ktoré poškodzujú vlastníkov alebo používateľov informácií.

V praxi sú najdôležitejšie tri aspekty informačnej bezpečnosti:

• dostupnosť(možnosť získať požadovanú informačnú službu v primeranom čase);
• bezúhonnosť(relevantnosť a konzistentnosť informácií, ich ochrana pred zničením a neoprávnenými zmenami);
• dôvernosti(ochrana pred neoprávneným čítaním).

Narušenie dostupnosti, integrity a dôvernosti informácií môže byť spôsobené rôznymi nebezpečnými vplyvmi na informačné počítačové systémy.

Hlavné hrozby informačnej bezpečnosti

Moderný informačný systém je komplexný systém pozostávajúci z veľkého množstva komponentov rôzneho stupňa autonómie, ktoré sú vzájomne prepojené a vymieňajú si údaje. Takmer každý komponent môže byť poškodený alebo poškodený. Komponenty automatizovaného informačného systému možno rozdeliť do nasledujúcich skupín:

• hardvér- počítače a ich komponenty (procesory, monitory, terminály, periférne zariadenia - diskové jednotky, tlačiarne, ovládače, káble, komunikačné linky a pod.);
• softvér- zakúpené programy, zdroj, objekt, načítacie moduly; operačné systémy a systémové programy (kompilátory, linkery atď.), pomocné programy, diagnostické programy atď.;
• údajov- dočasne a trvalo uložené na magnetických médiách, tlačených, archívoch, systémových denníkoch atď.;
• personál- servisný personál a používatelia.

Nebezpečné vplyvy na počítačový informačný systém možno rozdeliť na náhodné a úmyselné. Analýza skúseností s navrhovaním, výrobou a prevádzkou informačných systémov ukazuje, že informácie sú vystavené rôznym náhodným vplyvom vo všetkých fázach životného cyklu systému. Dôvody náhodné vplyvy počas prevádzky môže byť:

• núdzové situácie v dôsledku prírodných katastrof a výpadkov elektriny;
• zlyhania a zlyhania hardvéru;
• chyby v softvéri;
• chyby v práci zamestnancov;
• rušenie komunikačných liniek vplyvom prostredia.

Úmyselné dopady- ide o úmyselné konanie páchateľa. Ako páchateľ môže vystupovať zamestnanec, návštevník, konkurent alebo žoldnier. Činy páchateľa môžu byť spôsobené rôznymi motívmi:

• nespokojnosť zamestnanca s jeho kariérou;
• úplatok;
• zvedavosť;
• konkurenčný boj;
• túžba presadiť sa za každú cenu.

Je možné zostaviť hypotetický model potenciálneho narušiteľa:

• kvalifikácia páchateľa na úrovni vývojára tohto systému;
• porušovateľom môže byť buď neoprávnená osoba, alebo oprávnený používateľ systému;
• porušovateľ pozná informácie o princípoch systému;
• páchateľ si vyberá najslabší článok obrany.

Najbežnejším a najrozmanitejším typom narušenia počítača je nepovolený prístup(NSD). NSD využíva akúkoľvek chybu v systéme ochrany a je možná pri iracionálnom výbere ochranných prostriedkov, ich nesprávnej inštalácii a konfigurácii.

Poďme klasifikovať kanály NSD, prostredníctvom ktorých je možné ukradnúť, zmeniť alebo zničiť informácie:

• Cez osobu:
  • krádeže nosičov informácií;
  • čítanie informácií z obrazovky alebo klávesnice;
  • čítanie informácií z výtlačku.
• Cez program:
  • zachytávanie hesiel;
  • dešifrovanie zašifrovaných informácií;
  • kopírovanie informácií od nosiča.
• Cez hardvér:
  • pripojenie špeciálne navrhnutého hardvéru, ktorý poskytuje prístup k informáciám;
  • zachytenie rušivého elektromagnetického žiarenia zo zariadení, komunikačných vedení, napájacích sietí atď.

Osobitná pozornosť by sa mala venovať hrozbám, ktorým môžu byť počítačové siete vystavené. Hlavnou črtou každej počítačovej siete je, že jej komponenty sú rozmiestnené v priestore. Komunikácia medzi sieťovými uzlami sa uskutočňuje fyzicky pomocou sieťových liniek a programovo pomocou mechanizmu správ. V tomto prípade sa riadiace správy a dáta odosielané medzi sieťovými uzlami prenášajú vo forme výmenných paketov. Počítačové siete sa vyznačujú tým, že tzv vzdialené útoky... Narušiteľ sa môže nachádzať tisíce kilometrov od napadnutého objektu a napadnutý môže byť nielen konkrétny počítač, ale aj informácie prenášané sieťovými komunikačnými kanálmi.

Informačná bezpečnosť

Vytvorenie režimu informačnej bezpečnosti je komplexný problém. Opatrenia na jeho vyriešenie možno rozdeliť do piatich úrovní:

1. legislatívne (zákony, nariadenia, normy a pod.);
2. morálne a etické (všetky druhy noriem správania, ktorých nedodržiavanie vedie k poklesu prestíže konkrétnej osoby alebo celej organizácie);
3. administratívne (všeobecné opatrenia prijaté vedením organizácie);
4. fyzické (mechanické, elektro- a elektronicko-mechanické prekážky na možných cestách vstupu potenciálnych narušiteľov);
5. hardvér a softvér (elektronické zariadenia a špeciálne programy na bezpečnosť informácií).

Tvorí sa jednotný súbor všetkých týchto opatrení zameraných na boj proti bezpečnostným hrozbám s cieľom minimalizovať možnosť škôd ochranný systém.

Spoľahlivý ochranný systém musí spĺňať nasledujúce zásady:

• Náklady na ochranné prostriedky by mali byť nižšie ako výška možnej škody.
• Každý používateľ by mal mať minimálnu sadu privilégií potrebných na prácu.
• Čím je ochrana účinnejšia, tým ľahšie sa s ňou používateľovi pracuje.
• Možnosť odpojenia v prípade núdze.
• Špecialisti súvisiaci so systémom ochrany musia plne rozumieť princípom jeho fungovania a v prípade zložitých situácií na ne adekvátne reagovať.
• Celý systém spracovania informácií musí byť chránený.
• Vývojári bezpečnostného systému by nemali patriť medzi tých, ktorých bude tento systém ovládať.
• Bezpečnostný systém musí poskytnúť dôkazy o správnosti svojej práce.
• Osoby zapojené do informačnej bezpečnosti musia byť brané na osobnú zodpovednosť.
• Predmety ochrany je vhodné rozdeliť do skupín tak, aby porušenie ochrany v jednej zo skupín neovplyvnilo bezpečnosť ostatných.
• Spoľahlivý bezpečnostný systém musí byť plne otestovaný a schválený.
• Ochrana sa stáva efektívnejšou a flexibilnejšou, ak umožňuje správcovi meniť jej parametre.
• Bezpečnostný systém by mal byť navrhnutý s predpokladom, že používatelia urobia vážne chyby a vo všeobecnosti budú mať tie najhoršie úmysly.
• Najdôležitejšie a najdôležitejšie rozhodnutia musia urobiť ľudia.
• Existencia bezpečnostných mechanizmov by mala byť čo najďalej skrytá pred používateľmi, ktorých práca je pod kontrolou.

Hardvér a softvér informačnej bezpečnosti

Napriek tomu, že moderné operačné systémy pre osobné počítače, ako napríklad Windows 2000, Windows XP a Windows NT, majú svoje vlastné podsystémy ochrany, význam vytvárania ďalších ochranných nástrojov zostáva. Faktom je, že väčšina systémov nie je schopná chrániť dáta mimo nich, napríklad pri výmene informácií o sieti.

Hardvér a softvér informačnej bezpečnosti možno rozdeliť do piatich skupín:

1. Systémy identifikácie (rozpoznávania) a autentifikácie (autentifikácia) používateľov.
2. Systémy na šifrovanie diskov.
3. Šifrovacie systémy pre dáta prenášané cez siete.
4. Systémy elektronickej autentifikácie údajov.
5. Nástroje na správu kryptografických kľúčov.

1. Systémy identifikácie a autentifikácie používateľov

Používajú sa na obmedzenie prístupu náhodných a nelegálnych používateľov k zdrojom počítačového systému. Všeobecným algoritmom pre prevádzku takýchto systémov je získať od používateľa informácie, ktoré preukážu jeho identitu, overiť ich pravosť a následne poskytnúť (alebo neposkytnúť) tomuto používateľovi možnosť pracovať so systémom.

Pri konštrukcii týchto systémov vzniká problém s výberom informácií, na základe ktorých sa vykonávajú postupy identifikácie a autentifikácie používateľa. Možno rozlíšiť tieto typy:

• tajné informácie, ktorými disponuje používateľ (heslo, tajný kľúč, osobný identifikátor atď.); používateľ si musí tieto informácie zapamätať alebo na to možno použiť špeciálne prostriedky na ukladanie;
• fyziologické parametre človeka (odtlačky prstov, kresba očnej dúhovky a pod.) alebo správanie (zvláštnosti práce na klávesnici a pod.).

Zohľadňujú sa systémy založené na prvom type informácií tradičné... Systémy využívajúce druhý typ informácií sa nazývajú biometrické... Je potrebné poznamenať, že existuje nový trend v pokročilom vývoji biometrických identifikačných systémov.

2. Systémy šifrovania diskov

Aby boli informácie pre nepriateľa zbytočné, používa sa súbor metód transformácie údajov, tzv kryptografia[z gréčtiny. kryptos- skrytý a grafo- písanie].

Šifrovacie systémy môžu vykonávať kryptografické transformácie údajov na úrovni súboru alebo disku. Programy prvého typu zahŕňajú archivátory ako ARJ a RAR, ktoré umožňujú použiť kryptografické metódy na ochranu archívnych súborov. Príkladom systémov druhého typu je šifrovací program Diskreet, ktorý je súčasťou obľúbeného softvérového balíka Norton Utilities Best Crypt.

Ďalšou klasifikačnou vlastnosťou systémov na šifrovanie diskov je spôsob ich fungovania. Podľa spôsobu fungovania je systém šifrovania údajov na disku rozdelený do dvoch tried:

• transparentné šifrovacie systémy;
• systémy špeciálne povolané na šifrovanie.

V transparentných šifrovacích systémoch (šifrovanie za chodu) sa kryptografické transformácie vykonávajú v reálnom čase, bez povšimnutia používateľa. Používateľ napríklad zapíše dokument pripravený v textovom editore na chránený disk a ochranný systém ho počas procesu zápisu zašifruje.

Systémy triedy II sú zvyčajne pomocné programy, ktoré musia byť volané špeciálne na vykonanie šifrovania. Patria sem napríklad archivátory so zabudovanou ochranou heslom.

Väčšina systémov, ktoré ponúkajú nastavenie hesla pre dokument, nešifruje informácie, ale pri prístupe k dokumentu poskytuje iba žiadosť o heslo. Tieto systémy zahŕňajú MS Office, 1C a mnohé ďalšie.

3. Systémy na šifrovanie údajov prenášaných cez siete

Existujú dva hlavné spôsoby šifrovania: šifrovanie kanála a šifrovanie terminálu (predplatiteľa).

Kedy kódovanie kanála všetky informácie prenášané cez komunikačný kanál sú chránené, vrátane servisných informácií. Táto metóda šifrovania má nasledujúcu výhodu - vloženie šifrovacích procedúr do vrstvy dátového spojenia umožňuje použitie hardvéru, ktorý zlepšuje výkon systému. Tento prístup má však aj významné nevýhody:

• šifrovanie servisných údajov komplikuje mechanizmus smerovania sieťových paketov a vyžaduje dešifrovanie údajov v medziľahlých komunikačných zariadeniach (brány, opakovače atď.);
• šifrovanie servisných informácií môže viesť k výskytu štatistických vzorov v zašifrovaných údajoch, čo ovplyvňuje spoľahlivosť ochrany a ukladá obmedzenia na používanie kryptografických algoritmov.

End-to-end (predplatiteľ) šifrovanie umožňuje zabezpečiť dôvernosť údajov prenášaných medzi dvoma účastníkmi. V tomto prípade je chránený iba obsah správ, všetky servisné informácie zostávajú otvorené. Nevýhodou je možnosť analyzovať informácie o štruktúre výmeny správ, napríklad o odosielateľovi a príjemcovi, o čase a podmienkach prenosu dát, ako aj o množstve prenesených dát.

4. Systémy elektronickej autentifikácie údajov

Pri výmene dát po sieťach vzniká problém autentifikácie autora dokumentu a dokumentu samotného, ​​t.j. overenie totožnosti autora a overenie absencie zmien v prijatom dokumente. Na autentifikáciu údajov sa používa autentifikačný kód správy (imitácia vložky) alebo elektronický podpis.

Imitačná vložka sa generuje z otvorených údajov pomocou špeciálnej transformácie šifrovania pomocou tajného kľúča a prenáša sa cez komunikačný kanál na konci šifrovaných údajov. Vloženie imitácie je overené príjemcom, ktorý vlastní súkromný kľúč, opakovaním postupu, ktorý predtým vykonal odosielateľ na prijatých verejných údajoch.

Elektronický digitálny podpis predstavuje relatívne malé množstvo dodatočných overovacích informácií prenášaných s podpísaným textom. Odosielateľ vytvorí digitálny podpis pomocou tajného kľúča odosielateľa. Príjemca overí podpis pomocou verejného kľúča odosielateľa.

Na implementáciu vkladania imitácie sa teda používajú princípy symetrického šifrovania a na implementáciu elektronického podpisu - asymetrické. Tieto dva šifrovacie systémy budeme podrobnejšie študovať neskôr.

5. Nástroje na správu kryptografických kľúčov

Bezpečnosť každého kryptosystému je určená použitými kryptografickými kľúčmi. V prípade nezabezpečenej správy kľúčov môže útočník získať kľúčové informácie a získať plný prístup ku všetkým informáciám v systéme alebo sieti.

Existujú nasledujúce typy funkcií správy kľúčov: generovanie, ukladanie a distribúcia kľúčov.

Spôsoby generovanie kľúčov pre symetrické a asymetrické kryptosystémy sa líšia. Na generovanie kľúčov symetrických kryptosystémov sa používa hardvér a softvér na generovanie náhodných čísel. Generovanie kľúčov pre asymetrické kryptosystémy je náročnejšie, keďže kľúče musia mať určité matematické vlastnosti. Zastavme sa podrobnejšie pri štúdiu symetrických a asymetrických kryptosystémov.

Funkcia skladovanie zahŕňa organizáciu bezpečného uchovávania, účtovania a likvidácie kľúčových informácií. Aby sa zabezpečilo bezpečné uloženie kľúčov, sú šifrované pomocou iných kľúčov. Tento prístup vedie ku koncepcii kľúčovej hierarchie. Hierarchia kľúča typicky zahŕňa hlavný kľúč (t. j. hlavný kľúč), kľúč na šifrovanie kľúča a kľúč na šifrovanie údajov. Je potrebné poznamenať, že generovanie a uloženie hlavného kľúča je kritickým problémom ochrany kryptomien.

Distribúcia je najdôležitejším procesom pri správe kľúčov. Tento proces musí zabezpečiť utajenie kľúčov, ktoré sa majú distribuovať, a musí byť rýchly a presný. Kľúče sú medzi užívateľmi siete distribuované dvoma spôsobmi:

• používanie priamej výmeny kľúčov relácie;
• pomocou jedného alebo viacerých kľúčových distribučných centier.

Zoznam dokumentov

1. O ŠTÁTNOM TAJOMSTVE. Zákon Ruskej federácie z 21. júla 1993 č. 5485-1 (v znení federálneho zákona č. 131-FZ zo 6. októbra 1997).
2. O INFORMÁCIÁCH, INFORMÁCIÁCH A OCHRANE INFORMÁCIÍ. Federálny zákon Ruskej federácie z 20. februára 1995 č. 24-FZ. Prijaté Štátnou dumou 25. januára 1995.
3. O PRÁVNEJ OCHRANE PROGRAMOV PRE ELEKTRONICKÉ POČÍTAČE A DATABÁZY. Zákon Ruskej federácie z 23. septembra 1992 č. 3524-1.
4. O ELEKTRONICKOM DIGITÁLNOM PODPISU. Federálny zákon Ruskej federácie z 10. januára 2002 č. 1-FZ.
5. O AUTORSKÝCH PRÁVACH A SÚVISIACICH PRÁVACH. Zákon Ruskej federácie z 9. júla 1993 č. 5351-1.
6. O FEDERÁLNYCH VLÁDNYCH KOMUNIKAČNÝCH A INFORMAČNÝCH ORGÁNOCH. Zákon Ruskej federácie (v znení vyhlášky prezidenta Ruskej federácie z 24. decembra 1993 č. 2288; federálny zákon zo 7. novembra 2000 č. 135-FZ.
7. Predpisy o akreditácii skúšobných laboratórií a certifikačných orgánov pre produkty informačnej bezpečnosti v súlade s požiadavkami informačnej bezpečnosti / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
8. Poučenie o postupe označovania osvedčení o zhode, ich kópií a certifikačných prostriedkov ochrany informácií / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
9. Predpisy o certifikácii predmetov informatizácie v súlade s požiadavkami informačnej bezpečnosti / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
10. Predpisy o certifikácii prostriedkov informačnej bezpečnosti v súlade s požiadavkami informačnej bezpečnosti: s dodatkami v súlade s nariadením vlády Ruskej federácie z 26. júna 1995 č.608 "O certifikácii prostriedkov informačnej bezpečnosti" / Štátna technická komisia pod prezident Ruskej federácie.
11. Predpisy o štátnom udeľovaní licencií na činnosti v oblasti ochrany informácií / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
12. Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
13. Koncepcia ochrany počítačového vybavenia a automatizovaných systémov pred neoprávneným prístupom k informáciám: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
14. Počítačové vybavenie. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele zabezpečenia proti neoprávnenému prístupu k informáciám: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
15. Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele zabezpečenia proti neoprávnenému prístupu k informáciám: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
16. Ochrana informácií. Špeciálne ochranné znaky. Klasifikácia a všeobecné požiadavky: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
17. Ochrana pred neoprávneným prístupom k informáciám. Termíny a definície: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.

Na bezpečnosť virtuálneho servera sa možno pozerať iba priamo ako "Informačná bezpečnosť"... Mnohí počuli túto frázu, ale nie každý chápe, čo to je?

"Informačná bezpečnosť" je proces zabezpečenia dostupnosť, integrita a dôvernosť informácií.

Pod "Dostupnosť" v súlade s tým sa rozumie poskytovanie prístupu k informáciám. "integrita"- to má zabezpečiť presnosť a úplnosť informácií. "dôvernosť" znamená zabezpečiť, aby k informáciám mali prístup iba oprávnení používatelia.

Na základe vašich cieľov a úloh vykonávaných na virtuálnom serveri budete tiež potrebovať rôzne opatrenia a stupne ochrany vzťahujúce sa na každý z týchto troch bodov.

Napríklad, ak používate virtuálny server iba ako prostriedok na surfovanie po internete, potom z prostriedkov potrebných na zaistenie bezpečnosti bude predovšetkým použitie antivírusovej ochrany, ako aj dodržiavanie základných bezpečnostných pravidiel. pri práci na internete.

V opačnom prípade, ak máte na svojom serveri hosťovanú predajnú stránku alebo herný server, potom budú potrebné ochranné opatrenia úplne iné.

Poznať možné hrozby, ako aj zraniteľné miesta, ktoré tieto hrozby zvyčajne využívajú, je potrebné na výber najoptimálnejších bezpečnostných opatrení, preto zvážime hlavné body.

Pod "hrozba" potenciál sa chápe tak, že tým či oným spôsobom narúša informačnú bezpečnosť. Pokus o implementáciu hrozby je tzv "útok", a ten, kto tento pokus zrealizuje, je tzv "votrelec"... Najčastejšie je ohrozenie dôsledkom prítomnosti slabých miest v ochrane informačných systémov.

Pozrime sa na najčastejšie hrozby, ktorým sú vystavené moderné informačné systémy.

Hrozby informačnej bezpečnosti, ktoré spôsobujú najväčšie škody

Nižšie zvážte klasifikáciu typov hrozieb podľa rôznych kritérií:

1. Priame ohrozenie informačnej bezpečnosti:
   • Dostupnosť
   • bezúhonnosť
   • Dôvernosť
2. Komponenty, na ktoré sa hrozby zameriavajú:
   • Údaje
   • programy
   • Vybavenie
   • Podporná infraštruktúra
3. Podľa spôsobu implementácie:
   • Náhodný alebo úmyselný
   • Prírodné alebo vyrobené človekom
4. Podľa miesta zdroja hrozby existujú:
   • Interné
   • Vonkajšie

Ako už bolo spomenuté na začiatku, pojem „hrozba“ sa v rôznych situáciách často interpretuje odlišne. A požadované bezpečnostné opatrenia budú iné. Napríklad pre výrazne otvorenú organizáciu ohrozenie dôvernosti jednoducho nemusí existovať – všetky informácie sa považujú za verejne dostupné, no vo väčšine prípadov je nelegálny prístup vážnou hrozbou.

Pri aplikácii na virtuálne servery sú hrozbami, ktoré musíte ako správca servera vziať do úvahy, ohrozenie dostupnosti, dôvernosti a integrity údajov. Nesiete priamu a nezávislú zodpovednosť za možnosť implementácie hrozieb zameraných na dôvernosť a integritu údajov, ktoré nesúvisia s hardvérom alebo komponentom infraštruktúry. Vrátane aplikácie potrebných ochranných opatrení je to vaša bezprostredná úloha.

Hrozby zamerané na zraniteľné miesta programov, ktoré používate, často ako používateľ nebudete môcť ovplyvniť, okrem toho, že tieto programy nebudete používať. Tieto programy je povolené používať iba vtedy, ak implementácia hrozieb s využitím slabých miest týchto programov nie je z pohľadu útočníka vhodná, alebo pre vás ako používateľa nespôsobuje výrazné straty.

Hostingová spoločnosť, ktorú ste si vybrali a u ktorej si prenajímate svoje servery, sa priamo podieľa na zabezpečovaní potrebných bezpečnostných opatrení proti hrozbám namiereným proti zariadeniam, infraštruktúre alebo hrozbám umelej a prírodnej povahy. V tomto prípade je potrebné pristupovať k výberu čo najopatrnejšie, správne zvolená hostingová spoločnosť vám poskytne spoľahlivosť hardvéru a komponentov infraštruktúry na správnej úrovni.

Ako správca virtuálneho servera by ste mali tieto typy hrozieb brať do úvahy iba v prípadoch, keď aj krátkodobá strata prístupu alebo čiastočné alebo úplné vypnutie výkonu servera vinou hostiteľskej spoločnosti môže viesť k neúmerným problémom. alebo straty. Stáva sa to pomerne zriedka, ale z objektívnych dôvodov nemôže žiadna hostingová spoločnosť poskytnúť 100% dostupnosť.

Priame hrozby pre informačnú bezpečnosť

Medzi hlavné hrozby pre dostupnosť patrí

1. Vnútorné zlyhanie informačného systému;
2. Zlyhanie podpornej infraštruktúry.

Hlavnými zdrojmi vnútorných porúch sú:

• Porušenie (náhodné alebo úmyselné) stanoveného prevádzkového poriadku
• Vypnutie systému z bežnej prevádzky v dôsledku náhodného alebo úmyselného konania používateľov (prekročenie odhadovaného počtu požiadaviek, nadmerné množstvo spracovávaných informácií atď.)
• Chyby pri (pre)konfigurovaní systému
• Škodlivý softvér
• Poruchy hardvéru a softvéru
• Zničenie údajov
• Zničenie alebo poškodenie zariadenia

Vo vzťahu k podpornej infraštruktúre sa odporúča zvážiť nasledovné hrozby:

• Prerušenie (náhodné alebo úmyselné) komunikačných systémov, napájania, vody a/alebo tepla, klimatizácie;
• Zničenie alebo poškodenie priestorov;
• Neschopnosť alebo neochota obsluhy a/alebo užívateľov plniť si svoje povinnosti (občianske nepokoje, dopravné nehody, teroristický čin alebo jeho hrozba, štrajk a pod.).

Hlavné hrozby pre integritu

Možno rozdeliť na statické hrozby integrity a dynamické hrozby integrity.

Malo by sa tiež rozdeliť na ohrozenia integrity informácií o službách a údajov o obsahu. Servisné informácie sa týkajú prístupových hesiel, trás prenosu údajov v lokálnej sieti a podobných informácií. Najčastejšie a takmer vo všetkých prípadoch sa útočník, či už vedomý alebo nie, ukáže ako zamestnanec organizácie, ktorý je oboznámený s prevádzkovým režimom a ochrannými opatreniami.

S cieľom narušiť statickú integritu môže útočník:

• Zadajte nesprávne údaje
• Ak chcete zmeniť údaje

Medzi hrozby pre dynamickú integritu patrí zmena poradia, krádež, duplikácia údajov alebo vkladanie ďalších správ.

Hlavné hrozby pre súkromie

Dôverné informácie možno rozdeliť na informácie o predmete a službe. Servisné informácie (napríklad používateľské heslá) nepatria do konkrétnej tematickej oblasti, zohrávajú technickú úlohu v informačnom systéme, ale ich zverejnenie je obzvlášť nebezpečné, pretože je spojené s neoprávneným prístupom ku všetkým informáciám vrátane subjektových informácií.

Aj keď sú informácie uložené v počítači alebo sú určené na použitie v počítači, ohrozenie ich dôvernosti môže byť nepočítačového a vo všeobecnosti netechnického charakteru.

K nepríjemným hrozbám, ktorým je ťažké sa brániť, patrí zneužívanie právomocí. Na mnohých typoch systémov môže privilegovaný používateľ (napríklad správca systému) čítať akýkoľvek (nešifrovaný) súbor, pristupovať k pošte ľubovoľného používateľa atď. Ďalším príkladom je poškodenie služby. Servisný technik má zvyčajne neobmedzený prístup k zariadeniu a je schopný obísť mechanizmy ochrany softvéru.

Pre prehľadnosť sú tieto typy hrozieb tiež schematicky znázornené nižšie na obr.


Ryža. 1. Klasifikácia typov ohrozenia informačnej bezpečnosti

Pre uplatnenie najoptimálnejších ochranných opatrení je potrebné posúdiť nielen ohrozenie informačnej bezpečnosti, ale aj možné škody, na to sa používa charakteristika prijateľnosti, teda možné poškodenie je určené ako prijateľné alebo neprijateľné. Na tento účel je užitočné stanoviť si vlastné kritériá prípustnosti škody v peňažnej alebo inej forme.

Každý, kto začína organizovať informačnú bezpečnosť, si musí zodpovedať tri základné otázky:

1. Čo chrániť?
2. Pred kým chrániť, aké typy hrozieb prevládajú: vonkajšie alebo vnútorné?
3. Ako sa chrániť, akými metódami a prostriedkami?

Ak vezmete do úvahy všetky vyššie uvedené skutočnosti, môžete úplne posúdiť relevantnosť, možnosť a závažnosť hrozieb. Po zhodnotení všetkých potrebných informácií a zvážení všetkých pre a proti. Budete si môcť vybrať najefektívnejšie a optimálne spôsoby a prostriedky ochrany.

Hlavné metódy a prostriedky ochrany, ako aj minimálne a potrebné bezpečnostné opatrenia uplatňované na virtuálnych serveroch, v závislosti od hlavných účelov ich použitia a typov hrozieb, sa budeme zaoberať v nasledujúcich článkoch pod názvom „Základy informačnej bezpečnosti“. ".