Что относится к средствам обеспечения компьютерной безопасности
Программные средства защиты информации востребованы как никогда ранее. Даже на государственном уровне введены требования по охране персональных данных, государственной, коммерческой, банковской и врачебной тайны. В век цифровизации необходимы релевантные инструменты, позволяющие сохранить информацию, не предназначенную посторонним.
Востребованность ПО в этой сфере приводит к дефициту кадров, которые могут разрабатывать и внедрять данные программы. В статье мы расскажем, каковы функции и виды средств защиты информации, а также поговорим о способах стать специалистом в этом направлении.
Виды программных средств защиты информации
Такие средства осуществляют авторизацию и идентифицируют пользователя, т. е. открывают доступ к системе после введения пользователем пароля. Также встроенные средства защиты оберегают ПО от копирования, определяют права доступа и корректность ввода данных и т. д.
К этой же группе относятся средства ОС, обеспечивающие защиту программ от воздействия друг на друга при мультипрограммном режиме, при котором в памяти ПК выполняется параллельно несколько приложений.
Виды программных средств защиты информации
При таком процессе возможны сбои/ошибки в работе каждой из программ, которые будут взаимно влиять на функционирование другого ПО. ОС занимается регулированием мультипрограммного режима. При этом она должна быть в состоянии защитить себя и свое ПО от негативного влияния сбоев, применяя, например, алгоритм защиты памяти и перераспределяя очередность выполнения, согласно привилегированности или пользовательскому режиму.
Необходимы для выявления вирусов, лечения или полного удаления зараженных файлов. Также их важной функцией является предупреждение воздействия вредоносных программ на данные или ОС. Например, антивирусы DrWeb, ADinf, AIDSTEST и т. п.
- Специализированные программы защиты данных от несанкционированного доступа.
Если говорить в целом, то такое ПО обладает более расширенными возможностями, чем встроенные средства защиты. Ассортимент этих специализированных программ весьма разнообразен:
- используемые для безопасности папок и файлов на ПК;
- применяемые для контроля выполнения пользователем правил безопасности при работе, а также для обнаружения и пресечения попыток несанкционированного доступа к закрытой информации, хранящейся на ПК;
- используемые для наблюдения за действиями, осуществляемыми на подконтрольном компьютере, который работает или автономно, или в локальной вычислительной сети.
Мы вместе с экспертами по построению карьеры подготовили документы, которые помогут не ошибиться с выбором и определить, какая профессия в IT подходит именно вам.
Благодаря этим гайдам 76% наших студентов смогли найти востребованную профессию своей мечты!
Скоро мы уберем их из открытого доступа, успейте скачать бесплатно:
Женщины в IT: мифы и перспективы в карьере
Как прокачать свою технику речи
100 тыс. руб за 100 дней с новой профессией
Список из 6 востребованных профессий с заработком от 100 тыс. руб
Критические ошибки, которые могут разрушить карьеру
Собрали 7 типичных ошибок, четвертую должен знать каждый!
Гайд по профессиям в IT
5 профессий с данными о навыках и средней заработной плате
4,7 MB
- Программы тестового контроля.
Обнаруживают и предупреждают недостатки/дефекты в работе ПК и обеспечивают надежное функционирование программ. Если говорить о возможных способах, которые могут повысить надежность ПО, то следует обратить внимание на инструменты, выполняющие регулярное автотестирование и проверку системы и средств обеспечения деятельности для выявления и устранения ошибок разработки, проектирования и сопровождения.
- Межсетевые экраны (брандмауэры/файрволы).
Такая технология программного средства защиты информации заключается в том, что между глобальной и локальной сетями генерируют особые промежуточные серверы. Они способны проверять и просеивать весь идущий через них сетевой или транспортный трафик.
Эта технология способствует практически полной нейтрализации опасности несанкционированного внедрения в корпоративные сети, хотя доля риска все же остается. Более продвинутый в этом плане метод – маскарад (masquerading). Он посылает весь поступающий из локальной сети трафик от имени firewall-сервера, превращая, по сути, локальную сеть в невидимку.
При этом методе исходящие и входящие запросы передаются не напрямую между локальной и глобальной сетями, а через прокси, или серверы-посредники. Поэтому не разрешенный доступ из глобальной сети в локальную просто закрыт. В качестве примера можно привести: CoolProxy (проприетарный для Windows), 3proxy (BSD, кроссплатформенный), ICS (проприетарный, Linux).
- Использование VPN (виртуальная частная сеть).
VPN используется для защищенной передачи той информации, которую хотят обезопасить от несанкционированной записи или прослушивания. Например, это такие протоколы, как: PPTP (point-to-point tunneling protocol), IPSec (IP security), L2TPv3 (Layer 2 Tunnelling Protocol version 3).
Помимо того, что вышеперечисленные программные средства – это наиболее популярные методики для защиты данных в ПК и информационных сетях, они еще являются их важной составной частью.
Устройство безопасности (firewall)
Основная угроза информации — ее конфиденциальности, целостности и доступности (CIA) обычно исходит изнутри. Недовольные сотрудники, вышеупомянутые начальники, бухгалтеры (со своими зараженными флешками побывавшие в рассаднике вирусов — налоговой), рядовые сотрудники. Часто на вопрос «а есть ли у вас документированные процедуры доступа к ИС» многие отвечают непонимающим взглядом — «это что?». Или вопрос «производились ли проверки внешнего (и внутреннего) периметра сети квалифицированными людьми на предмет безопасности» — это зачем? Это затем, что все это относится к той же информационной безопасности. Из практики большая часть компаний ни того, ни другого, ни третьего не имеют, никогда не делали или вообще не знают, зачем это надо (но тем не менее пишут в вакансиях «обеспечение информационной безопасности»). Firewall не панацея. Это техническое средство, предназначенное для защиты как внешнего, так и внутреннего периметра вашей ИС. И несмотря на его стоимость, он не обеспечит вам защиты, если настроен он дилетантом. Это можно сравнить со стрельбой из оружия — оно может быть дорогим, но не гарантирует попадания в цель неумелому стрелку (плохому танцору).
Обучение разработке и применению программных средств защиты информации
Факультет по специальности «Информационная безопасность» от GeekBrains подготавливает профессионалов в данной области. С ростом популярности удаленного формата работы многие компании стали заинтересованы в специалистах, способных обеспечить достойный уровень безопасности IT-инфраструктуры. В середине 2020 года резко вырос спрос (а именно на 65 %) на специалистов по информационной защите данных.
Системы защиты информации - это совокупность мер и норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям владельцам системы.
Программные средства и методы зашиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях.
Они реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.
Средства опознания и разграничения доступа к информации
В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности и разграничения доступа.
Ключевыми понятиями в этой системе являются "идентификация" и "аутентификация".
Идентификация- это присвоение какому-либо объекту или субъекту уникального имени или образа.
Аутентификация- это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает. Метод аутентификации - Пароль - это совокупность символов, определяющая объект (субъект).
Компьютерные вирусы и антивирусные средства
Массовое использование ПК в сетевом режиме, включая выход в глобальную сеть Интернет, породило проблему заражения их компьютерными вирусами.
Способ функционирования большинства вирусов - это такое изменение системных файлов компьютера, чтобы вирус начинал свою деятельность при каждой загрузке. Защитой от вирусов служат антивирусные программы.
Защита компьютера с помощью брандмауэра Windows
Брандмауэр Windows представляет собой защитную границу между компьютером (или комп. сетью) и внешней средой, пользователи или программы которой могут пытаться получить несанкционированный доступ к компьютеру, обеспечивает высокий уровень безопасности, отслеживая обмен данными.
Брандмауэр Windows ограничивает сведения, поступающие на компьютер с других компьютеров. Для обеспечения безопасности компьютера используемый брандмауэр (брандмауэр Windows или какой-либо другой) должен быть включен, а его параметры — обновлены.
По умолчанию брандмауэр Windows включен для всех подключений.
Запуск брандмауэра: (Пуск – Панель управления – Центр обеспечения безопасности).
Работа брандмауэра Windows определяется тремя параметрами:
1. Включить - брандмауэр Windows будет блокировать все непредусмотренные запросы на подключение к компьютеру за исключением тех, которые предназначены для программ или служб, выбранных на вкладке Исключения.
2. Включить, но не разрешать исключения - При установке флажка Не разрешать исключения брандмауэр Windows блокирует все непредусмотренные запросы на подключение к компьютеру, в том числе и те, которые предназначены для программ или служб, выбранных на вкладке Исключения. Этот параметр служит для максимальной защиты компьютера.
3. Выключить - Этот параметр отключает брандмауэр Windows.
4. Альтернативные операционные системы
Тема: Операционные системы семейства UNIX
В основу UNIX легла иерархическая файловая система.
Каждый процесс в UNIX рассматривался как последовательное исполнение программного кода в рамках автономного адресного пространства, а работа с устройствами трактовалась как работа с файлами. В первой же версии, написанной на ассемблере, было реализовано ключевое понятие процесса, позднее появились системные вызовы (fork, wait, exec и exit). В 1972 году за счет введения каналов (pipes) была обеспечена конвейерная обработка данных.
В концу 1970-х годов UNIX из узкого проекта превратилась в довольно популярную операционную систему, чему в немалой степени способствовали льготные условия ее распространения в университетской среде. UNIX портировали на многие аппаратные платформы, начали появляться ее разновидности. С течением времени UNIX стала стандартом не только для профессиональных рабочих станций, но и для крупных корпоративных систем и ответственных комплексов. Надежность и гибкость настроек UNIX снискали ей широкую популярность, особенно среди системных администраторов. Она сыграла активную роль в распространении глобальных сетей, и прежде всего Internet.
Благодаря политике раскрытия исходных текстов получили распространение многочисленные бесплатные диалекты ОС UNIX, работающие прежде всего на платформе Intel х86 (Linux, FreeBSD, NetBSD, OpenBSD). Полный контроль над текстами сделал возможным создание систем с особыми требованиями к производительности и безопасности. UNIX ассимилировала и элементы других операционных систем, в результате чего были выработаны программные интерфейсы POSIX, Х/Ореп.
Существуют две независимо развиваемые ветви UNIX — System V и Berkeley, на основе которых формируются диалекты UNIX и UNIX-подобные системы.
Переносимость UNIX
UNIX получила широкое распространение прежде всего благодаря способности работать на разных аппаратных платформах — переносимости (portability), или мобильности. Проблема мобильности в UNIX была решена путем унификации архитектуры ОС и использования единой языковой среды. Разработанный в AT&T Bell Labs язык С стал связующим звеном между аппаратной платформой и операционной средой.
Многие проблемы переносимости в ОС UNIX были решены за счет единого программного и пользовательского интерфейса.
Микроядерная архитектура UNIX
В основе переносимости UNIX как системы, ориентированной на широкий спектр аппаратных платформ, лежит модульная структура с центральным ядром. Первоначально ядро UNIX содержало обширный набор средств, отвечающих за диспетчеризацию процессов, распределение памяти, работу с файловой системой, поддержку драйверов внешних устройств, сетевых средств и средств обеспечения безопасности.
В дальнейшем путем выделения из традиционного ядра минимально необходимого набора средств сформировалось так называемое микроядро (microkernel). Наиболее известные реализации микроядер UNIX — Amoeba, Chorus (Sun Microsystems), QNX (QNX Software Systems). Микроядро Chorus занимает 60 Кбайт, QNX — 8 Кбайт. На основе QNX разработано 30 Кбайт POSIX-совместимое микроядро Neutrino. В Университете Карнеги — Меллона в 1985 году было разработано микроядро Mach, использованное в NeXT OS (NeXT), MachTen (Mac), OS/2, AIX (для IBM RS/6000), OSF/1, Digital UNIX (для Alpha), Windows NT и BeOS.
UNIX в странах СНГ
В России ОС UNIX применяется в первую очередь как сетевая технология и единая операционная среда для разных компьютерных платформ. На основе UNIX формируется инфраструктура российской Internet.
Будущее UNIX
Несмотря на универсальность ОС UNIX, значительная часть аппаратных средств (в основном ПК) поглощена семейством Windows компании Microsoft. Microsoft ведет политику вытеснения UNIX и в области корпоративных систем, где ее новая ОС Windows NT уже стала реальным конкурентом UNIX. В рамках сотрудничества с Digital Microsoft ведет разработку программы AUConnect for UNIX, а компания Softway Systems на основе исходных текстов ядра Windows NT, предоставленных Microsoft, создает ОС OpenNT, способную обеспечить полноценную совместную работу UNIX- и Windows-приложений.
UNIX по-прежнему сохраняет позиции в области ответственных систем (mission-critical systems) с высокой степенью масштабируемости и отказоустойчивости, где Windows NT заметно уступает. Опираясь на UNIX, продолжают развиваться новые ОС (например, Rhapsody и BeOS). Традиционная ОС UNIX в дальнейшем будет совершенствоваться за счет масштабирования на базе кластеризации, перехода на 64-разрядную архитектуру Merced (IА-64) и повышения надежности. По соглашению, заключенному между Hewlett-Packard, NEC и Hitachi, в новом поколении ОС HP-UX будет использована технология 3DA, обеспечивающая самовосстановление системного ПО после ошибок и сбоев. Основные производители ПО (за исключением IBM, развивающей свою 64-разрядную платформу) ведут подготовку нового поколения диалектов UNIX для платформы Merced.
Возможно, из-за принципиальных различий между Windows NT и UNIX на рынке появятся совершенно новые ОС. В этой связи следует отметить ОС Spring, Grail и BeOS.
Операционные системы семейства UNIX ( на примере Linux)
Linux — 32-разрядная UNIX-подобная операционная система, способная работать на широком спектре компьютерного оборудования и объединяющая функции настольной и серверной операционных систем.
В 1991 финский студент Линус Торвальдс написал для своей дипломной работы ядро UNIX-подобной операционной системы. Ядро получилось настолько удачным, что у Торвальдса возникла идея написания полностью бесплатного варианта UNIX. 17 сентября 1991 года считается днем рождения Linux. Именно в этот день появилось ядро программы с номером версии 0.01. Система сразу приобрела множество поклонников, и многие программисты включились в работу над ней, дописывая нужные им функции или программы. Благодаря этому Linux очень динамично развивается и совершенствуется. Система надежна, доступна и широко поддерживается ведущими компаниями компьютерной отрасли (Intel, Sun, Corel).
Родоначальник Linux Линус Торвальдс создал лишь ядро операционной системы, все остальное — утилиты для подготовки жесткого диска к работе, инсталляции и настройки системы, текстовые и графические оболочки KDE, Gnome — создавались независимыми разработчиками и даже целыми фирмами. Чтобы заставить эти программы работать вместе, разработаны специальные правила и лицензии по созданию и распространению программ. Например, открытая лицензия GNU позволяет переносить программы между различными операционными системами, включая и Windows.
Большое количество независимых разработчиков Linux неизбежно привело к разнообразию ее дистрибутивов. В отличие от Windows даже дистрибутивы с одинаковыми параметрами могут различаться в своих возможностях и удобстве пользования. Наиболее популярными дистрибутивами в России и странах СНГ являются RedHat, Debian, SuSE, Mandrake, KSI, BlackCat и Slackware. Такие популярные в мире дистрибутивы, как CalderaLinux, TurboLinux, из-за неважной поддержки русского языка не получили распространения в России. Вместе с дистрибутивом обычно поставляются сопутствующие программы, исходные тексты. Дистрибутив SuSE содержится на 6 компакт-дисках.
В мире Linux сложились свои традиции и правила, касающиеся не только способов распространения операционной системы и программ для нее, но и документирования программного обеспечения. В частности, большинство программ поставляется с исходными текстами и снабжено авторскими комментариями и так называемыми HOWTO (текстовыми файлами с инструкциями, как использовать программу и как решать возникающие проблемы).
Linux является многопользовательской системой и допускает одновременную работу нескольких пользователей. Их права определяются уровнями доступа. Каждый пользовательский процесс полностью автономен и не мешает другим, поскольку пользователь работает с отдельной консолью. Если вы уже вошли в систему под одним именем, нажатием комбинаций клавиш Ctrl+Alt+F2 можно переключиться на вторую консоль и войти под другим именем (Ctrl+Alt+F3 — на третью). На одной консоли может работать поиск в базе данных, на другой — компьютерная игра, и все вместе они не будут мешать друг другу.
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.
Информация и ее классификация
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:
- Свободно распространяемую
- Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
- Которая в соответствии с федеральными законами подлежит предоставлению или распространению
- Распространение, которой в Российской Федерации ограничивается или запрещается
- Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
- Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
- Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
- Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:
- Сведения в военной области.
- Сведения в области экономики, науки и техники.
- Сведения в области внешней политики и экономики.
- Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:
Персональные данные
Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:
- Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
- Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
- Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
- Документы всех типов: личные, служебные, государственные;
- Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
- Электронные носители информации, которые обрабатывают данные в автоматическом порядке.
Классификация средств защиты информации
В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- Соблюдение конфиденциальности информации ограниченного доступа;
- Реализацию права на доступ к информации.
- Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- Своевременное обнаружение фактов несанкционированного доступа к информации;
- Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- Постоянный контроль за обеспечением уровня защищенности информации;
- Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).
- Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных. - Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы. - Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).
Антивирус
Сколько людей — столько и антивирусов. Антивирус, как было сказано выше, не панацея. Это лишь одно из средств обеспечения безопасности информации, которое не исключает и не отменяет соответствующую настройку операционных систем, групповых политик, прав доступа, регламентированные процедуры резервного копирования, обучение и информирование пользователей основам информационной безопасности и прочие меры, которые могут укрепить бастион информационной безопасности.
Нужно ли вам нанимать сотрудника, специально занимающего информационной безопасностью, либо срочно бежать и закупать маски устройства безопасности (firewall) и антивирусы, чтобы обеспечить информационную безопасность?
Нет. На первом этапе ничего покупать, никого нанимать и делать прочие необдуманные действия — не надо.
Далее приведем упрощенный алгоритм действий, которые необходимо предпринять для построения системы информационной безопасности.
0. Определитесь как вы будете выстраивать систему ИБ — как обычно (как все делается на всем пространстве СНГ — через жопу и для галочки, поговорили, поделали умные лица на совещаниях и забыли), или в соответствии с общепринятыми стандартами.
Если ответ на вопрос 0 — «как обычно», можете дальше не терять свое драгоценное время и не читать.
1. Определитесь, что и зачем защищать. Документ, который это описывает обычно называется «Политика информационной безопасности». Документ не описывает каких-то конкретных мер, технических устройств, настроек и прочих действий, требуемых для обеспечения защиты информации.
2. Составьте список ресурсов (технических средств и программного обеспечения) которые имеются в компании. Часто в требованиях к соискателям упоминается перечень ПО и оборудования «Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense» и т.д. Вы что, серьезно думаете, что все это имеющееся у вас в наличии, вас защитит? Скорее наоборот.
3. Создайте и обсудите матрицы доступа пользователей (клиентов, партнеров и т.п.) к информационной системе. Что такое матрица доступа: это когда есть четкий документ кто, куда и какого уровня имеет доступ к ИС системе.
4. Создайте документ, регламентирующий процедуру резервного копирования.
5. Создайте документ, где описываются все средства обеспечения ИБ — физические, технические, программные, административные.
6. Подготовьте и проведите обучающие занятия по информационной безопасности для сотрудников предприятия. Проводите их ежеквартально.
7. Поинтересуйтесь у ответственного сотрудника, сможет ли он обеспечить весь процесс самостоятельно или это требует привлечения третьей стороны (либо найма дополнительного сотрудника)
8. Протестируйте свою ИС на проникновение (так называемый penetration test).
9. Создайте, либо внесите корректировки в следующие документы:
- восстановление ИС (информационной системы) на случай сбоя (оборудования, техногенных и природных катастроф, прочего повреждения);
- положение по антивирусной защите;
- документ, регламентирующий процедуру резервного копирования и тестирования резервных копий;
- документ, регламентирующий контроль и восстановление баз данных (если таковые имеются);
- документ, регламентирующий действия в случае инцидентов ИБ;
- документ, регламентирующий использование паролей;
- документ, регламентирующий использование программного обеспечения (разрешенное к использованию ПО);
- положение о системе видео регистрации (при наличии таковой);
- документ, регламентирующий использование беспроводной (WiFi) сети;
- документ, регламентирующий правила обновления операционных систем;
- инструкции для системных администраторов и специалистов по ИБ (при наличии таковых);
- документ, регламентирующий использование доступа в сеть Интернет;
- схему ИС (информационной системы).
11. Улыбнитесь. Не так страшен черт, как его малюют, если у вас есть хорошо структурированная, прозрачная, понятная и управляемая информационная система. Понятная как для вас (руководителя), для ваших пользователей (сотрудников) ну и надеемся для вашего системного администратора.
Преимущества программных средств защиты информации
С ростом информатизации общества растет и необходимость в защите персональных данных, а также в противостоянии киберпреступлениям. В связи с этим становятся все более востребованными направления, задействованные в разработках и реализации методов, которые способны обеспечить компьютерную безопасность. Такие решения набирают популярность и еще по нескольким причинам:
- программные системы защиты легко интегрировать в оборудование заказчика и разработчика;
- использование таких средств не представляет сложностей;
- для использования этих методов нет надобности задействовать производство, а реализация осуществляется в сжатые сроки. Но несмотря на это, информация получает необходимую степень защиты.
Получите подборку бесплатно (pdf 2,5 mb)
Под программными средствами защиты подразумевают ПО специальной разработки, его цель – оградить информацию от несанкционированного доступа (НСД) и защитить от вредоносного ПО. Такие средства защиты входят и в алгоритмы систем обработки данных.
Средства защиты информации
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты информации
Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
- Статья 272 «Неправомерный доступ к компьютерной информации»;
- Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
- Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Формальные средства защиты информации
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Также к информационной безопасности относится защита информации от непреднамеренного уничтожения (технические сбои).
Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).
Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.
Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.
Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Официальная часть (процедура копировать-вставить с Интернетов) закончена. Теперь неофициальная. Из практики.
Статья эта написана для руководителей компаний, для которых правила НБ РК (регулятора) неприменимы.
Как большая часть руководителей (и не очень) понимают «информационную безопасность»?
Что имеют ввиду работодатели (компании), когда размещают вакансии с упоминанием словосочетания «Информационная безопасность»?
Из практики большая часть ассоциируют информационную безопасность с какими-то техническими средствами, например устройство защиты сети (firewall) или программным обеспечением по слежке за сотрудниками (так называемые DLP — data loss prevention) или антивирусом.
Вышеупомянутые средства относятся к информационной безопасности, но никак не гарантируют сохранность объекта защиты (информации), ее целостность и доступность. Почему?
По очень простой причине — обеспечение информационной безопасности — это процесс, а не какое-либо устройство, программное обеспечение, которые, как большая часть руководителей (и не только) думают, что являются панацеей и защитой.
Возьмем для примера небольшую торговую компанию, с количеством пользователей 50 штук. Под пользователями подразумеваются все сотрудники, имеющие доступ в информационную систему (ИС) компании посредством какого-либо устройства (компьютер, ноутбук, планшет, мобильный телефон). Под доступом в ИС подразумевается любой доступ — к электронной почте, в сеть Интернет, к базам данных, файлам и т.д.
Злоумышленник таким образом получает доступ в вашу сеть, впоследствии тихо разворачивает свою деятельность и вуаля! В один «прекрасный» день вы вдруг обнаруживаете (нужное подчеркнуть):
- все ваши базы данных зашифрованы. К вам на почту пришло письмо с требованием выкупа;
- все ваши файлы уничтожены. К вам на почту пришел смайлик :) ;
- ваша сеть просто не работает;
- данные ваших клиентов были размещены на каких-либо сайтах;
- ваше реальное положение дел узнали ваши конкуренты;
- ваши реальные финансовые показатели стали общедоступными;
- поставщик вам предъявляет какие-то претензии по недавно подписанному вами контракту (нарушение целостности информации). Контракт был изменен злоумышленником накануне подписания (его уже проверили ваши юристы, бухгалтеры, коммерческий директор и прочие официальные лица) и сохранили его в папке на сервере. c камер наблюдения, где вы с вашей секретаршей танцевали на столе в трусах из скрепок каким-то образом попала к вашей супруге;
- и т.д и т.п.
Многие возмутятся — все это страшилки. Аргументы обычно следующие:
- у нас есть резервные копии;
- у нас стоит firewall самой последней модели который настроила самая крутая в стране компания по ИБ;
- у нас стоит самый дорогой антивирус;
- у нас.
Задачи программных средств защиты информации
Процесс обеспечения безопасности состоит из конкретных мер, которые осуществляют программными средствами:
- распознавание «свой-чужой» для объектов и субъектов;
- фильтрация (вплоть до полной блокады) допуска к вычислительной технике;
- регулирование и фиксация операций с данными и программами.
Для распознавания применяют:
- разные по степени сложности пароли;
- идентификацию с помощью контрольных вопросов администратора;
- средства анализа персональных характеристик;
- электронные ключи, значки, магнитные карты и т. д.;
- специальные средства идентификации или контрольные суммы для аппаратуры.
После прохождения этапа распознавания процесс защиты происходит на 3 уровнях:
- аппаратура – здесь подразумевается управление возможностью доступа к компьютерной технике;
- программное обеспечение – аналогично уровню безопасности аппаратуры;
- данные – на этом уровне происходит процесс защиты информации при взаимодействии с ней и при ее трансфере по каналам связи.
К результативным способам обороны от несанкционированного входа относят средства регистрации и контроля доступа. При этом первое решает задачи по совершённым действиям, а вторые рассчитаны для предупреждения НСД.
Что касается предотвращения копирования данных, то этот уровень безопасности реализуется идентичными для всех систем защиты мерами:
- предварительная проверка среды, из которой планируется запуск программы;
- ее аутентификация при начале работы ПО;
- реагирование на запуск программы из несанкционированной среды;
- фиксация разрешенного доступа;
- предотвращение несанкционированного анализа алгоритмов работы системы.
Программное обеспечение средств защиты информации осуществляет сохранность данных при подготовке или проведении восстановительных мероприятий — это характерно для любого рода работы с ЭВМ.
Задачи программных средств защиты информации
В обособленную категорию угроз безопасности информации определяют вирусные программы. Их цель – нарушение рабочих процессов ЭВМ, вплоть до полного уничтожения данных. С таким ПО борются антивирусы, выявляя и устраняя угрозу; их принято делить на два типа:
- специализированные – выявляют и нейтрализуют существующие вирусы;
- универсальные – способны устранять еще ненаписанные вирусные программы.
Команда GeekBrains совместно с международными специалистами по развитию карьеры подготовили материалы, которые помогут вам начать путь к профессии мечты.
Подборка содержит только самые востребованные и высокооплачиваемые специальности и направления в IT-сфере. 86% наших учеников с помощью данных материалов определились с карьерной целью на ближайшее будущее!
Скачивайте и используйте уже сегодня:
Топ-30 самых востребованных и высокооплачиваемых профессий 2022
Подборка 50+ ресурсов об IT-сфере
ТОП сервисов и приложений, на которые следует перейти уже сегодня
3,7 MB
Среди антивирусов второго типа наиболее востребованы те, которые осуществляют резидентную защиту и программы-ревизоры.
Помимо использования специализированного ПО для профилактики и защиты от вредоносного воздействия вирусов на ПК необходимо проводить и комплекс специальных организационных мер.
Важность защиты информации в 21 веке
Многие компании, согласно законодательству РФ, несут ответственность за сохранность личных данных своих сотрудников и клиентов. И это действительно необходимо. Ведь утечка, например, электронных медицинских карт может нанести моральный ущерб пациентам. А если произойдет утечка персональных данных клиентов какого-либо банка? Это может причинить людям материальный урон. И в той, и в другой ситуации приятного мало.
Важность защиты информации
Есть и более опасные вероятности. Представьте, что может случиться, если произойдет вторжение в системы управления стратегически важных объектов: ГЭС, АЭС или оборонки? Потеря или изменение какой-либо информации в подобных базах может нанести серьезный вред десяткам и сотням тысяч людей.
Есть несколько видов угроз безопасности информации:
- потеря конфиденциальных данных – разглашение, несанкционированный доступ, утечка, аудио-, фото- и видеосъемка, неумышленная потеря;
- повреждение целостности данных — изменение, трансформация, неприятие достоверности данных, навязывание заведомо ложной информации. Доктрина информационной безопасности подразумевает не просто искажение информации, а внесение новых данных в прежние сведения;
- нарушение доступности данных — т. е. блокировка доступа или полное уничтожение.
Последние десятилетия все страны мира принимают различные меры для решения вопросов в сфере защиты информационных данных. Существуют международные и межгосударственные соглашения, касающиеся этого аспекта, но основная часть норм зафиксирована в законодательстве каждой отдельной страны.
Нормативно-правовые акты подразделяются на три основные категории:
- которые устанавливают обязательность и уровень защиты безопасности данных;
- определяющие уголовную или административную меру наказания нарушителям норм законодательства, касающегося сохранности информации;
- которые обозначают и регулируют меры, защищают массивы данных. Здесь идет речь о программных, организационных и аппаратных методах.
Согласно правовому статусу, информационные данные подразделяются на:
- информацию, обязательно охраняемую законодательством — это государственная, адвокатская тайна, банковская, врачебная и прочие виды служебной информации, личные данные граждан (имеют разные уровни защиты);
- материалы, защита которых основана на решении субъекта (субъектов) оборота — коммерческая тайна. Законодательная защита осуществляется после того, как компания выполнит определенные действия: внесет данные в список сведений, ознакомит с ним сотрудников и разработает необходимые внутренние документы;
- информация, которая не относится к вышеперечисленным типам, но чье разглашение, модификация или уничтожение может нанести ущерб компании или другим лицам.
Законодательство предусматривает определенные нормы безопасности для данных первого и второго типа. А также предлагает сертифицированные ФСТЭК и ФСБ РФ программные средства защиты информации.
Резервные копии
Резервное копирование — это один из самых основных способов защиты информации — ее целостности, доступности и сохранности.
- есть ли у вас регламент резервного копирования?
- уверены ли вы, что ваша резервная копия (копии) рабочая?
- тестировалась ли (было ли тестовое восстановление) ваша резервная копия (копии) вашим системным администратором?
- как часто проводилось тестирование резервной копии?
- есть ли вообще резервная копия?
Читайте также: