Конфиденциальность, целостность, доступность (ЦРУ)

Меры, которые мы предпринимаем, чтобы защитить наши информационные активы, в целом могут быть описаны в терминах классической триады ЦРУ - конфиденциальности, целостности и доступности, как показано на рисунке 7.1. Конфиденциальность данных относится к поддержанию их вне рук тех, которым не разрешено увидеть их, целостность данных относится к предотвращению несанкционированных изменений данных или системных функций, а доступность данных относится к возможности немедленного доступа к ним при необходимости. Эти основные принципы регулируют наши действия при обеспечении безопасности данных, связанных с нами.

При защите конфиденциальности данных, мы имеем дело с удержанием их вне зоны доступа от неуполномоченных лиц. С точки зрения конкретной реализации безопасности, это обычно означает контроль доступа и шифрование для обеспечения такой защиты. При применении этих мер, мы должны рассматривать данные, как в состоянии покоя, так и в движении. В зависимости от того, где находятся данные в любой конкретный момент времени, мы, возможно, должны будем использовать различные элементы управления безопасностью, или различные методы в пределах данного нам контроля. Мы можем видеть результаты провалов в обеспечении конфиденциальности с большими нарушениями ПД, которые, кажется, происходят с тревожащей частотой в последние годы, таких как потеря ноутбука Министерства США по делам ветеранов (МВ), содержащего ПД американских ветеранов, в мае 2010 года. Для МВ это стало, по крайней мере, вторым нарушением этого типа, и оно стоило им почти 13 миллионов долларов, гораздо больше, чем стоимость реализации программы шифрования .

Рисунок 7.1 - Триада ЦРУ

Примечание

Существует также менее известная альтернатива триаде ЦРУ, которая называется гексадой Паркера. Гексада Паркера, разработанная Доном Паркером, разбивает те же общие понятия по категориям конфиденциальности, владения, целостности, достоверности, доступности и полезности, что позволяет, в той или иной ситуации, проводить более детальные обсуждения соответствующих концепций безопасности . Использование гексады Паркера позволяет нам быть более конкретными при обсуждении сценариев безопасности или ситуации, без нарушения правил нашей модели.

Когда мы собираемся защитить целостность данных, мы пытаемся не допустить манипуляции им несанкционированным образом. Как и в мерах, которые мы используем, чтобы обеспечить конфиденциальность, мы можем использовать шифрование для обеспечения целостности, сделав так, чтобы данными было трудно успешно манипулировать без надлежащего разрешения. В частности, хэши или сжатые формы сообщений, такие как MD5 и SHA1, часто используются для того, чтобы оригиналы сообщений или файлов не были изменены, создавая отпечатки исходных данных, которые могут быть отслежены с течением времени. Ошибки в целостности могут иметь серьезные последствия, если мы не осознаем, что они имели место, так как данные в виде сообщений или файлов могут быть свободно изменены для искажения их смысла или изменения исхода решений, основанных на рассматриваемых данных. Думая о системах управления и команд, используемых в наше время, легко себе представить хаос, который может привести к дезинформации.

Доступность данных просто означает, что мы можем получить доступ к ним, при необходимости сделать это. Обеспечение доступности означает, что мы должны быть устойчивыми перед лицом атак, которые могут повредить или удалить наши данные или лишить нас доступа к ним, атакую среду, в которой они располагаются. Это также означает, что мы должны иметь достаточно надежную среду для того, чтобы справиться с системными перебоями, проблемами со связью, проблемами электроэнергии и любым количеством проблем, которые могут помешать нам получить доступ к нашим данным. Доступность часто осуществляется за счет использования резервирования и резервного копирования наших данных и наших сред. Это важно для обеих систем вооружения, критической инфраструктуры, такой как энергетические сети и системы управления.

Вступление. Многие слышали про взломы различных платежных систем, про новые стандарты в области информационной безопасности, про то, что государство разрабатывает новые нормативы в области персональных данных.

Некоторые даже слышали три таинственных слова «конфиденциальность, целостность и доступность», но не многие понимают, что все это означает и зачем все это нужно. Сюда относятся и многие ИТ - специалисты не говоря уже про людей далеких от ИТ.

Хотя в мире, где все основано на информационных технологиях, должны понимать что такое «информационная безопасность». Информационная безопасность – это не только антивирус и файрвол, информационная безопасность это целый комплекс мер.

На Хабре начинается серия публикаций по информационной безопасности, в этих публикациях будут рассмотрены многие важные аспекты ИБ, такие как: конфиденциальность, целостность и доступность; уязвимости в программных продуктах (также обсудим черный рынок 0-day уязвимостей и эксплоитов); технические меры защиты; организационные меры (политики, процедуры, инструкции); модели доступа; стандарты и законы в области ИБ. А также обсудим другие очень интересные вещи. Как и любой другой предмет начнем с самых основ, то есть теории.

Недавно в Твитере развернулись нешуточные страсти по «бумажной» и «практической» безопасности. Здесь будут рассмотрены как «бумажная» так и «практическая» безопасность, хотя, по моему мнению, эти две составляющие нельзя делить. Если речь идет о серьезном подходе «практика» не может существовать без «бумаги», так как для начальства, аудиторов в первую очередь важны бумажные отчеты Вашей работы. Не говоря уже про такие стандарты ISO и PCI DSS, которые требуют утвержденные руководством «бумажной безопасности».

Конфиденциальность, целостность и доступность.
Именно эти три слова служат прочным фундаментом информационной безопасности. Хотя многие считают что эта «триада» уже устарела, но об этом позже. Чтобы лучше понять значение этих слов необходимо представить следующую картину: три человека обхватили друг друга руками, и каждый сильно откинулся назад, если один из них отпустит руку другого то все упадут. Информационная безопасность достигается соотношением именно этих трех свойств, если у информации нету, хотя бы одной из этих свойств о безопасности говорить не приходиться. Каждая из этих свойств «триады» обеспечивается рядом мер, причем для обеспечения одного свойства необходимо использовать не одно, а несколько мер. Любая информация обладает, так или иначе, всеми тремя свойствами, давайте разберем каждое значение их этой триады.

Конфиденциальность – свойство информации, гарантирующее, что доступ к информации имеет доступ только определенные лица.

Например. В фирме «Рога и копыта» есть информация, а именно отчет о продажах. Доступ имеют только сотрудники отдела продаж и бухгалтерии. Причем сотрудники отдела продаж имеют ко всей информации (более подробно будет описано ниже), а бухгалтерия только к окончательным расчетам (чтобы рассчитать налоги с продаж.).

Таким образом, конфиденциальность означает не только доступ к информации, но и разграничение доступа к информации, то Петров имеет доступ к одной части информации, Сидоров ко второй, а Иванов ко всей информации.

Целостность – свойство информации, гарантирующее, что только определенные лица могут менять информацию.

Например. Продолжим пример с фирмой «Рога и Копыта» и с их отчетом по продажам. Как было ранее сказано Отдел продаж имеет доступ ко всей информации, а бухгалтерия только к определенной части. Но для безопасности это еще мало. Необходимо еще и разграничить доступ среди Отдела продаж.

Внимание!

В отделе есть два специалиста Сидоров и Петров, у каждого свой отчет. Необходимо чтобы каждый мог иметь право записи только в свой отчет. Вдруг Петров занизит продажи Сидорова. Еще хороший пример.

Фирма «Рога и Копыта» создала и отправила платеж по ДБО в свой банка, однако хакер Вася перехватил платеж и в поле получателя вставил номер своего счета. Это прямое нарушение целостности. Чтобы такого не произошло необходимо предпринимать ряд мер, к примеру, ЭЦП.

Доступность – свойство информации, гарантирующее, что лица имеющие доступ к информации в нужный момент смогут получить доступ.

Например. Генеральный директор фирмы «Рога и Копыта» в понедельник утром пришел на работу, включил компьютер и с удивлением обнаружил, что не может открыть базу отдела продаж по продажам.

Так что же произошло? Элементарно, Ватсон! В воскресенье ночью в потолке прорвало трубу, вода попала в компьютер, где хранилась база, и жесткий диск благополучно сгорел.

Так как директор никогда не слышал про информационную безопасность, а локальная сеть была создана студентом, не было ни резервной копии, ни избыточности в виде RAID.

Это самый простой пример, можно привести кучу примеров, сайт компании не был доступен и клиент не смог открыть сайт одной компании, но открыл сайт другой и естественно купил продукт второй компании. Это было первым выпуском серии «Информационная безопасность для маленьких».

Продолжение следует.

Источник: https://habrahabr.ru/sandbox/57903/

Нарушение целостности информации (данных) — повреждение (нарушение целостности), приводящее к невозможности использовать информацию без восстановления. Помимо вероятности потерять важные данные, угрозе подвержена работоспособность всей.

Классификация и способы нарушения целостности информации (данных)

По характеру нарушение целостности информации (данных) рассматривают:

1. Саботаж – повреждение, наступившее в результате целенаправленных злонамеренных действий. В указанный пункт включаются атаки хакеров, деятельность сотрудников, решивших по разным причинам расстроить функционирование собственной компании. Встречаются и иные ситуации, обусловленные корыстными мотивами, местью и т.п. участников.
2. Сбой программ. Связан с некорректной настройкой приложения, взломом или действиями вредоносных программ.

Следует отметить, что по мере увеличения способов хранения, обработки, записи данных будет возрастать и количество рисков.

Об объекте воздействия

Отдельная группа риска – сведения, представляющие финансовый интерес.

Крупные компании также оценивают как объект, находящийся в зоне опасности, сведения о научных разработках, ноу-хау, финансовые отчёты, всевозможные сводки, результаты маркетинговых исследований рынка за определённый период.

Сюда же относят информацию, являющуюся коммерческой тайной. В отношении публичных персон это могут быть биография, личные факты, компрометирующие фото.

Откуда исходит угроза?

1. Противоправная деятельность киберпреступников.
2. Саботаж сотрудниками компании.
3. Некорректная работа программного обеспечения или оборудования.

При обсуждении темы источников угрозы нельзя игнорировать человеческий фактор. Сведения удаляются специально, случайно по ошибке.

Часто пользователи игнорируют необходимость заниматься профилактикой, проверять обновление антивирусов, настраивать установленные на ПК программы так, чтобы последние не вызывали сбои в работе конкретной ОС.

Иногда к проблемам приводит некомпетентность, неверные или противоречивые команды. Ситуация может усугубиться, если неопытный пользователь попытается самостоятельно заняться спасением информации.

Анализ рисков

Традиционно вопросом рисков и существующих угроз начинают заниматься уже после образования проблемной ситуации. Практика же показывает: наибольший эффект даёт грамотно и своевременно проведённая профилактика. Нередко вероятность восстановления напрямую зависит от наличия системы резервирования и того, была ли она активирована.

В первую очередь компаниям и пользователям необходимо уделять внимание созданию резервных копий из которых можно при необходимости восстановить данные.

Помимо этого, существуют дополнительные способы сохранить информацию.

Есть утилиты, блокирующие доступ к отдельным файлам: это не позволит вирусу или другой программе удалить сведения, перезаписать, стереть, внести свои изменения, осуществить иные манипуляции.

Правда, такие гарантии приводят к организации отдельной системы доступа. Поэтому большинство администраторов рекомендуют применять подобное ПО в отношении только особо важных файлов.

Уровень безопасности вполне реально повысить, если периодически проверять версии большинства используемых программ. Разработчики сейчас ориентированы на предоставление всё больших гарантий целевой аудитории.

Что не в последнюю очередь связано с громкими скандалами и судебными исками от покупателей к известным компаниям (Microsoft), выпустившим ПО, которое привело к потере ценных сведений. Поэтому заметна тенденция дополнительных страховок.

В результате каждая новая вышедшая версия закрывает уязвимости, наблюдавшиеся у предыдущей.

Немало говорится о важности компьютерной грамотности. Нередко пользователи, пытающиеся вернуть доступ, скачивают неподходящие утилиты, форматируют повреждённые диски, пытаются самостоятельно произвести диагностику.

Но в случае серьёзных проблем описанные действия могут привести к тому, что информация окажется безвозвратно утерянной. Нужно совершенно точно знать причину нарушения целостности.

Поэтому в ситуациях, когда сведения обладают повышенной ценностью, специалисты советуют обращаться в специальные компьютерные лаборатории. Они не дают 100% гарантии, но шансы гораздо выше, чем во всех остальных случаях.

К потере сведений может привести и техническая поломка. Полное физическое разрушение диска означает безвозвратную утрату сведений. Если ноутбук утопили, перегрели, ударили, то шансы остаются. Многое зависит от компании-производителя винчестера, от характера повреждения, длительности негативного воздействия, степени, от предпринятых сразу же мер.

Таким образом, анализ угроз сводится к ряду моментов:

• наличию системы резервирования;
• состоянию ПО;
• проверке антивирусной защиты;
• техническому состоянию машины;
• компетентности пользователя.

Провести полное исследование угроз в состоянии исключительно квалифицированный специалист, оценивающий ситуацию комплексно. К нему можно обратиться при необходимости за экспертной оценкой. Такие профессионалы выдают и рекомендации, касающиеся режима эксплуатации отдельных ПК и ОС. Следование инструкциям и соблюдение базовых мер безопасности позволяет существенно снизить уровень рисков.

Источник: https://www.anti-malware.ru/threats/information-integrity-violation

Информация и её свойства

Предметом рассмотрения проблемы информационной безопасности для личности, общества и образующих его структур является сама информация, её свойства и состояние, информационные отношения, которые формируются между субъектами или в среде размещения, хранения, обработки и представления информации.

Информация как одна из базовых понятийных категорий современного мира имеет многоаспектное представление в достаточно обширной литературе на эту тему.

Нас в дальнейшем изложении курса будут, в основном, интересовать представление информационных отношений и состояния информации, собираемой, накапливаемой, хранимой и обрабатываемой на различных объектах информатизации и в их автоматизированных системах (АС) обработки и передачи данных.

Понятие информации

Информация – совокупность сведений, знаний об окружающем мире и протекающих в нём процессах, воспринимаемых человеком или специальными устройствами.

Понятие информации тесно связано с процессом познания. Информация является отражением материального мира, его объектов – материальных носителей информации.

В результате отражения формируется образ объекта, который характеризуется такими видами показателей, как пространственные, энергетические, физические, поведенческие и другие.

Образ объекта фиксируется на языке, понятном принимаемой стороной.

Информация не существует без своих материальных носителей (объектов). В то же время она обладает свойством инвариантности по отношению к объекту – носителю информации.

Инвариантность проявляется в том, что полученные в результате отражения и зафиксированные на определенном языке и на используемых внешних по отношению к объекту носителях образы являются инвариантами объекта и могут стать независимыми от него, передаваться, преобразовываться и участвовать в других формах движения в природе и обществе, в создаваемой обществом информационной технике. Такая информация называется объективированной информацией.

В современных информационных технологиях используется понятие «данные».

Данные – информация, представленная в виде, пригодном для её обработки автоматическими средствами (средствами компьютерной техники, телекоммуникационными средствами) при возможном участии человека.

При этом информация — содержание, присваиваемое данным посредством соглашений, которые обеспечивают адекватность исходному образу объекта.

По существу данные – это образы объектов, описанные на языке, который воспринимается информационной техникой, то есть объективированная информация, являющаяся предметом обработки в автоматизированных системах обработки данных (АСОД).

Основные характеристические свойства информации

Основными свойствами информации, характеризующими её состояние и качество (характеристические свойства), являются:

— достоверность;

— актуальность;

— целостность;

— полнота;

— ценность;

— защищённость;

— безопасность.

Достоверность

Свойство достоверности может быть интерпретировано в различных приложениях.

Достоверность – свойство информации быть правильно воспринятой; или вероятность отсутствия ошибок (в документе, массиве данных, сообщении).

Достоверность данных – степень соответствия данных, хранимых в памяти компьютера или в документах, реальному состоянию отображаемых ими объектов предметной области.

Достоверность обработки информации – функция вероятности ошибки, то есть событие, состоящее в том, что информация в системе при её обработке не совпадает в пределах заданной точности с некоторым её истинным значением.

Достоверность передачи информации – степень соответствия принятого сообщения переданному сообщению.

Актуальность

Свойство актуальности особенно важно при принятии решений на основании информации в фиксированный момент времени.

Актуальность – свойство данных (информации) находиться в актуальном состоянии, то есть в любой момент времени адекватно отображать состояние объектов предметной области.

Устаревшие данные (информация), не включающие в себя изменения характеристик, свойств, описаний рассматриваемого объекта в любой текущий момент времени теряют свою актуальность.

Целостность

Внимание!

Свойство целостности отражает неизменность во времени совокупности сведений или отдельных сведений об объекте, процессе с момента их фиксации на различных носителях информации.

Целостность – состояние данных (информации), когда они сохраняют своё информационное содержание и однозначность интерпретации в условиях преднамеренных или случайных воздействий.

Целостность данных считается сохранённой, если данные не искажены и не разрушены.

В криптографии при шифрованной передаче данных иногда понятия целостности и имитостойкости сообщений являются синонимами.

Полнота

Свойство полноты информации является достаточно субъективной характеристикой в конкретных информационных процессах. Полнота информации зависит, во-первых, от наличия информационных ресурсов по рассматриваемому предмету и возможности получения недостающих на взгляд субъекта, во-вторых, от определённых эвристических методов оценки достаточности информации для принятия качественного решения.

Полнота — свойство информации, определяющее необходимый и достаточный информационный ресурс для анализа ситуаций, решения различных задач с использованием информационной поддержки и принятия решений в различных областях человеческой деятельности.

Ценность

Свойство ценности информации – это чисто потребительское качество, но в приложении к общечеловеческой деятельности в личном плане, в организации, в обществе.

Ценность – свойство информации, определяемое её пригодностью к практическому использованию в различных областях целенаправленной деятельности человека.

Этот показатель качества необходимо отличать от показателя «цена», когда информация становиться информационным продуктом и участвует как товар в рыночных отношениях.

Специальные свойства информации

Следующие свойства, отражающие специальные показатели состояния и качества информации, являются интегрированными, в определённой степени производными от среды, в которой размещается информация, и имеют непосредственное отношение к пониманию проблемы информационной безопасности, рассмотрение которой будет предложено ниже.

Защищённость – свойство информации быть в любой среде размещения конфиденциальной/секретной , целостной и доступной в рамках предоставленных прав доступа и полномочий на действия.

Безопасность – свойство информации, которое исключает деструктивное влияние её на решение задач, в которых она используется непосредственно как расчётная субстанция или в качестве информационно-аналитической поддержки. Это означает, что данная информация должна обладать свойствами достоверности , актуальности , целостности , полноты , ценности или, по крайней мере, необходимым и достаточным набором этих свойств.

Источник: https://megalektsii.ru/s47355t1.html

Тонкая грань между целостностью и доступностью

Сижу, читаю драфт государственного стандарта «Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения». И вот такой пассаж бросился в глаза:

Угрозы нарушения целостности защищаемой информации направлены на ее уничтожение и/ или модификацию.

Угрозы нарушения доступности защищаемой информации направлены на исключение возможности использования этой информации ее обладателем (пользователем), процессом или устройством

На мой взгляд здесь классическая ошибка, связанная с наличием тонкой грани между понятиями свойств «целостности» и «доступности» информации.

Разве уничтожение информации (угрозы нарушения целостности согласно первому определению) не приводит к исключению возможности использования этой информации ее обладателем (из второго определения для угроз доступности) ? Приводит!

Поэтому про нарушение целостности можно говорить только тогда, когда в исходную информацию вносятся изменения, которые для пользователя выглядят как абсолютно легитимные. Если же в результате изменений информация меняется полностью или же нарушается структура данных, то это уже в чистом виде уничтожение информации, т.е нарушение доступности.

Может быть я конечно говорю банальные вещи, но есть специалисты, которые в этом вопросе по-прежнему путаются.

В качестве подтверждения давайте посмотрим на определения свойств «целостности» и «доступности» в различных документах:

— ISO 27001

доступность: свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется;

целостность: свойство, заключающееся в обеспечении точности и полноты ресурсов.

— ГОСТ Р 50922 2006. Защита информации. Основные термины и определения

целостность: Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право

доступность информации: [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

— Базовая модель угроз безопасности ПДн от ФСТЭК (документ от 2008 г.)

целостность информации: состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

определения доступности нет.

— СТО БР ИББС

доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Можно увидеть, что все определения очень схожи. И это только подтверждает то, что когда мы говорим о целостности, то речь идет именно о внесении несанкционированых изменений. Если же изменения приводят к тому, что исходная информация становится абсолютно неинформативной (уж простите за тафталогию), то тут мы уже имеем дело с нарушением доступности.

Надеюсь что разработчики ГОСТа в ТК-362 учтут этот момент и внесут соответствующие поправки в документ.

Источник: http://secinsight.blogspot.ru/2013/07/blog-post.html

целостность информации | Сайт защиты информации

Кто в наше время не слышал об информационной безопасности?

Слышали наверное все от домохозяек до топ-менеджеров ведущих компаний. Если кто-то поспорит о «домохозяйках», спросите Вашу жену или дочку, когда у них последний раз угоняли аккаунт от «Контактов» или «Одноклассников».

Но весь вопрос в том, насколько разниться понимание информационной безопасности у домохозяйки, жертвующей в худшем случае аккаунтом из социальной сети или приобретая тормозящий компьютер, зараженный вредоносным программным обеспечением по и топ-менеджера, неправильное решение которого может стоить жизни компании с тысячами сотрудников.

Так вот, хочется сказать, что немало топ-менеджеров не ушли в своем восприятии вопросов информационной безопасности дальше домохозяек. Возьмем простой пример: у кого в компании на рабочем компьютере есть административные права? Правильный ответ – у IT и топ-менеджмента. И если есть надежда, что у IT хвати ума не работать под административными правами, то про топов этого не скажешь.

Почему возникла такая ситуация?

Вопрос в том, что как отдельное направление в бизнесе, информационная безопасность оформилась совсем недавно, а на Украине вообще только-только. Толчок к этому дало бешеное развитие информационных технологий, которые бизнес впитывал, как губка.

Но вместе с теми преимуществами, которые несет в себе IT в бизнес вошли и все угрозы, которые порождаются использованием информационных технологий. И если прибыли от преимуществ для всех явны из финансовых отчетов, то чтобы оценить угрозы и ущерб от них, необходимо проводить всесторонний анализ рисков.

А это, в отличии от финансов и больших цифр прибыли, понимает далеко не каждый руководитель.

Что вкладывает среднестатистический человек в понятие информационная безопасность?

Во-первых, он не отличает информационную безопасность от IT-безопасности. То есть считает, что сфера информационной безопасности не простирается дальше компьютеров. Во-вторых, если его конкретнее расспросить, что же он все таки понимает под информационной безопасностью, то можно скорее всего услышать следующее:

— это противодействие вирусам;

— это охрана от разглашения коммерческих и других секретов;

— это защита от хакеров, которые могут сейчас залезть в любой компьютер и взломать что угодно.

И очень мало кто представляет, что значит информационная безопасность в самом деле.

Основной задачей информационной безопасности является соблюдение трех основных свойств информации – конфиденциальности, целостности и доступности. И если первое понятно практически всем, то два последних для многих не несут смысловой нагрузки.

Целостность информации – это такое ее свойство, которое состоит в том, что информация не может быть изменена (сюда входит и удалена) неуполномоченным на то субъектом (это может быть и человек, и компьютерная программа, и аппаратная часть компьютера, и любое другое воздействие типа сильного магнитного излучения, наводнения или пожара) . Для многих будет открытие, что под вопросы информационной безопасности попадает случай, когда жена стерла Вашу любимую игрушку. Или если Вы ее случайно стерли сами. А если Вы потеряли флешку со скачанными с интернета фотографиями? Или неправильно поставили дату в важном деловом письме? Все это – целостность информации.

Доступность информации – это такое ее свойство, которое позволяет субъекту, который имеет на это право, получить информацию в виде, необходимой субъекту, в месте, которое нужно субъекту, и во время, нужное для субъекта.

Так вот, это случаи, когда Вы пришли в железнодорожную кассу или в магазин, или в банк, а вам говорят, что в ближайшие пол-часа Вас обслужить не могут, потому что висит «Экспресс», «1С», клиент-банк… Список можно продолжать.

Или когда у вас пропадает интернет, Вы звоните провайдеру, а он начинает Вам рассказывать про воров, укравших свич и кусок кабеля, или про недавнюю грозу.

Так вот – все эти товарищи экономят на информационной безопасности и не обеспечивают должного уровня доступности информации. Это же можно сказать и про Microsoft, когда вспоминаешь песню про «зависшую винду».

Вы уже приблизительно увидели, с чем приходиться сталкиваться информационной безопасности. Но это только маленькая верхушка огромного айсберга.

Как Вы думаете, должен ли специалист по информационной безопасности разбираться в юриспруденции? «Зачем попу гармонь»,- скажете Вы и опять не угадаете. Изучение и составление нормативных документов – одна из важных аспектов работы информационной безопасности.

А кто, по вашему будет собирать доказательства в компании, где произошло преступление, связанное с информацией.

Внимание!

Милиция? Вы большой оптимист, если думаете, что там надеться хотя бы один специалист, который сможет посмотреть журнал аудита Windows и найти там что-то для себя понятное.

А Вы знаете, сколько на Украине создано законодательных актов и других государственных нормативных документов по информационной безопасности? Боюсь, Вашего книжного шкафа не хватит. А если взять еще нормативные документы по отдельным ведомствам? Потянет на небольшую библиотеку.

А должен ли специалист по информационной безопасности разбираться в кадровой работе? Конечно должен. В функции информационной безопасности входит определение требований при приеме на работу, мониторинг перемещения сотрудников, принятие мер при увольнении сотрудника и т.д.

А должен ли специалист по информационной безопасности иметь педагогические навыки? А кто по Вашему, будет вносить в головы как рядовых сотрудников так и топ-менеджмента, азы информационной безопасности? Ведь без неукоснительного соблюдения правил информационной безопасности все файерволы, маршрутизаторы, системы шифрования и контроль доступа – просто лишняя трата денег.

А еще информационная безопасность тесно пересекается с такими направлениями, как служба безопасности, охрана, деловодство, внутренний аудит, аналитика бизнес-процессов, хозяйственное обеспечение и многими другими направлениями, о которых Вы даже не могли подумать.

Такой вот большой существует сегодня разрыв между пониманием информационной безопасности средним человеком, и теми реальными задачами, с которыми приходиться сталкиваться при организации информационной безопасности в бизнесе.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность .

К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием устройств в сети. Это защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Безопасная информационная система - это система, которая защищает данные от несанкционированного доступа, всегда готова предоставить их своим пользователям, и надежно хранит информацию и гарантирует неизменность данных. Безопасная система обладает следующими свойствами:

Конфиденциальность - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).

Доступность - гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность - гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Любое действие, которое направлено на нарушение конфиденциальности, целостности и доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой .

Атака - реализованная угроза.

Риск - это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Классификация угроз

Неумышленные угрозы вызываются ошибочными действиями сотрудников, а также последствия ненадежной работы программных и аппаратных средств системы. Например, из-за отказа диска, контроллера диска или всего файлового сервера могут оказаться недоступными данные, важные для работы предприятия.

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

· незаконное проникновение в один из компьютеров сети под видом легального пользователя;

· разрушение системы с помощью программ-вирусов;

· нелегальные действия легального пользователя;

· «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использованием недокументированных возможностей операционной системы: использование «чужих» паролей, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем администратора сети.

Вредоносные программы - программное обеспечение, созданное, чтобы повредить или изменить данные компьютере или операции:

1) Вирусы программы, которые распространяются путем присоединения себя к исполняемым файлам и документам. Когда зараженная программа выполняется, вирус распространяется в другие файлы или программы на компьютере. Некоторые вирусы предназначены для работы в определенное время или в определенную дату. Чаще всего вирусы поражают исполняемые файлы. Когда такой исполняемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

2) Черви- самокоптрующиеся программы, которые имеют потенциал, чтобы перейти от одного компьютера к другому без помощи человека, используя бреши в безопасности в компьютерных сетях. Черви являются автономными и не нуждаются в присоединение к документу.

3) Троянские кони - всегда маскируется под какую-нибудь полезную утилиту или игру, а производит действия, разрушающие систему.

4) Spyware -программное обеспечение, предназначенное для сбора информации с компьютеров в коммерческих или преступных целях. Они, как правило, скрыты в поддельных бесплатных или условно-бесплатных загружаемых приложений из Интернета.

Нелегальные действия легального пользователя - этот тип угроз исходит от легальных пользователей сети, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки их должностных обязанностей. Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, доступ к которой администратору сети запрещен. Для реализации этих ограничений могут быть предприняты специальные меры, такие, например, как шифрование данных, но и в этом случае администратор может попытаться получить доступ к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети.

« Подслушивание» внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые выполняют эту задачу. Еще более усложняется защита от этого типа угроз в сетях с глобальными связями. Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи.

Жизнь человека невозможно представить без информации. Доступность - это ее свойство, которое ближе других связано с ее безопасностью. Давайте же рассмотрим особенности данного явления и узнаем, почему оно так важно.

Прежде всего, стоит более подробно узнать, что такое "информация".

Это не просто знания в чистом виде, а любые данные (об объектах, явлениях окружающей действительности и их свойствах, состоянии и т. п.), которые могут быть распознаны и восприняты (поняты) информационными системами (машинами, программами, животными, людьми и даже отдельными клетками) в процессе их жизнедеятельности и работы.

Свойства

Любые данные имеют ряд свойств. Основные из них следующие:

• Доступность информации.
• Полнота - влияет на качество информации и определяет, достаточно ли ее для принятия решения или формирования новых знаний на ее основе.
• Достоверность - соответствие данных реальному положению дел.
• Адекватность - это степень этого соответствия относительно действительности.
• Актуальность - важность информации в данный период времени. Например, при покупке билетов на поезд через интернет система может выдать данные о рейсах на разные дни. Однако для пользователя важными будут именно знания, касающиеся дня его планируемой поездки, все остальная информация будет неактуальной.
• Субъективность и объективность. Субъективность - это знания, сформированные на основе восприятия их информационной системой. Однако данные этого человека или машины, могут быть недостоверными.
• Объективность - это достоверные знания, сформированные без влияния на них чьего-то субъективного мнения.

Что означает доступность информации?

Данное свойство - это мера возможности получения необходимых данных. Иными словами, доступность информации - это гарантия того, что пользователь сможет получить ее за приемлемые для него сроки.

На эту степень влияет не только доступность знания широкому кругу людей, но и адекватность методов, интерпретации его.

Особая важность этого свойства для различных систем управления. К примеру, для бесперебойного движения поездов или рейсовых автобусов очень важен постоянный доступ к данным о погоде, состоянии дорог.

Доступность информации - это важно и для обычных граждан. Ведь имея возможность получить достоверные данные о погоде, расписании транспортных средств, курсе валют, и т. п., человек намного проще и эффективнее способен распоряжаться своим временем.

Для каких сфер актуально это понятие

Изучаемый термин в той или иной степени связан со следующим областями:

• Информационная и компьютерная безопасность.
• Защита данных.
• Защита компьютерных и информационных систем.
• ИТ (информационные технологии).
• Системы данных, функционирующие в определенных корпорациях.

Что является объектом доступности

Когда речь идет о доступности в сфере информационной безопасности, то ее объектами могут быть не только сами знания или документы, но и целые ресурсы, а также автоматизированные системы разной направленности.

Субъект информационных отношений

Узнав, что это - доступность информации, и что является ее объектом, стоит обратить внимание на тех, кто может использовать это ее свойство. Таких пользователей именуют "субъектами информационных отношений".

Поскольку в той или иной степени любое знание является продуктом чьей-то интеллектуальной собственности, а значит и объектом авторского права. Значит, у любой информации есть владелец, который и контролирует доступность ее и является субъектом. Это может быть человек, группа лиц, организация и т. п.

Также в этой роли может выступать администратор системы данных, который контролирует все их свойства, а также регулирует или ограничивает их права доступа. Это делается для того, чтобы предотвратить любые угрозы доступности информации.

Права доступа

Так именуются возможности субъекта информационных отношения осуществлять определенные операции с получаемыми данными.

К ним относятся:

• Право на ознакомление с доступным знанием.
• Право на внесение изменений в информацию. Данная возможность, как правило, доступна только владельцам и администраторам систем, в редких случаях ограниченному кругу пользователей.
• Право на копирование и хранение доступно еще меньшему количеству лиц, особенно, если данные являются объектом чьего-то авторского права или конфиденциальны.
• Право на уничтожение данных принадлежит их официальному владельцу или уполномоченному администратору.

Угрозы доступности данных

Хотя большинство вышеупомянутых прав не доступны широкому числу пользователей информационных систем, это ограничение имеет вполне конкретную цель. Почему так? Давайте разберемся.

Представим систему данных в виде обычной классной доски. Роль владельца или администратора выполняет учитель, а весь класс - это пользователи с ограниченными правами доступа.

Пока преподаватель в классе, пользование "системой" доступно всем. При этом педагог контролирует, чтобы его подопечные пользовались ею с пользой: получали знания или демонстрировали уровень усвоенного материала.

Однако, когда настает перемена и учитель покидает класс, доска остается без присмотра и ученики получают все права доступа к ней. Как вы полагаете: что они станут делать? В любом школьном коллективе всегда найдется парочка умников, которые будут рисовать, писать что-то (причем не всегда лицеприятное). А увлекшись, они могут случайно стереть записи, подготовленные педагогом для следующего урока. Кроме того, дети могут попросту истратить весь мел или забыть помыть доску.

Как результат, с началом нового занятия "система" будет не готова к работе. Учителю придется выделить часть урока, чтобы привести доску в порядок или возобновить стертый текст.

Знакомая картина? В данном случае показано, почему так важно контроль за правами доступа к информации. Ведь не все пользователи, желающие проводить с ней операции, способны ответственно ею распорядиться. Кроме того, у некоторых из них может просто не быть достаточной квалификации для этого и их некомпетентность способна привести к сбою работы всей системы.

По данным статистики, наиболее частыми причинами угрозы доступности информации являются именно непреднамеренные ошибки обычных пользователей различных ресурсов или сетей, а также обслуживающего персонала. Причем часто подобные оплошности способствуют созданию уязвимых мест, которыми впоследствии могут воспользоваться злоумышленники.

К примеру, в 2016-2017 г. много вреда компьютерным системам всего мира принес вирус Petya. Эта вредоносная программа шифровала данные на компьютерах, то есть фактически лишила всю информацию доступности. Интересно, что в большинстве случаев вирус проникал в системы из-за того, что отдельные пользователи открывали письма с незнакомых адресов, не проведя тщательную предварительную проверку, согласно всем протоколам безопасности.

Каждая из угроз доступности может быть нацеленной на один из компонентов самой системы. Таким образом, их выделяют три:

• Отказ оператора.
• Внутренний отказ самой системы данных.
• Отказ поддерживающей инфраструктуры.

Касательно пользователей с ограниченными правами выделяются 3 типа угроз доступности информации.

• Нежелание работать с системой данных, как следствие необходимости освоения новых возможностей и расхождения между запросами потребителя и доступными свойствами и техническими характеристиками.
• Неспособность работы системы по причине отсутствия соответствующей подготовки оператора. Как правило, это последствие недостатка общей компьютерной грамотности, неумения интерпретировать диагностические сообщения и т. п.
• Невозможность работать с системой из-за отсутствия соответствующей технической поддержки (неполная документация, недостаток справочной информации). Обычно это угроза доступности является следствием ошибок не рядовых операторов, а администратора.

Три кита безопасности данных: целостность, конфиденциальность и доступность информации

Когда речь идет о безопасности, помимо доступности внимание концентрируется еще на таких свойствах, как конфиденциальность и целостность данных.

Конфиденциальность означает сохранения определенных знаний в секрете и предотвращение их несанкционированного разглашения.

На первый взгляд кажется, что это свойство является в противоположным открытости и доступности информации. Однако на самом деле конфиденциальность ограничивает не саму возможности получения необходимых данных, а лишь число лиц, которые обладают всеми правами доступа к ним.

Особенно это свойство важно для режимных объектов, а также финансовой и другой документации, разглашения содержания которой может быть использовано для нарушения закона или вредит целостности всего государства.

Рассматривая конфиденциальность, стоит не забывать, что на любом предприятии существуют два типа данных:

• доступные лишь для его работников (конфиденциальные);
• общедоступные.

Последние, как правило, размещаются на сайтах, в справочниках, в отчетной документации. Подобная открытость и доступность информации об организации служит не только в роли рекламы ее услуг для потенциальных клиентов, но и позволяет контролирующим органам следить за соблюдением законности в работе определенного предприятия.

Кстати, полнота и достоверность таких данных проверяется специальными выездными комиссиями.

Целостность данных - это их актуальность и непротиворечивость, а также защищенность от разрушения/несанкционированного изменения. Фактически это свойство означает, насколько они сохраняют свою актуальность, адекватность, полноту и достоверность.

Целостность и доступность информации особенно важны, когда речь идет о технической документации.

К примеру, если в данных о составе и противопоказаниях к определенному препарату произойдут несанкционированные изменения (будет нарушена целостность информации), пациенты, принимающие данное лекарство, могут попросту умереть.

Кстати подобный эффект возможен и в случае, если стало известно о новых побочных действиях снадобья, однако доступ к данной информации не был открыт всем потенциальным потребителям. Именно поэтому данные 2 свойства очень тесно взаимосвязаны между собою.

Методы, гарантирующие доступность

Обеспечение доступности информации возможно благодаря целой группе методов и способов. Чаще всего в автоматизированных системах применяются 3 из них.

• Создания систем бесперебойного питания, благодаря чему пользователь всегда имеет возможность корректно закончить работу и не потерять данные.
• Резервирование и дублирование мощностей.
• Планы непрерывности бизнес-процессов.

Основой безопасной ИТ-инфраструктуры является триада сервисов – Конфиденциальность, Целостность, Доступность – Confidentiality, Integrity, Availability (CIA).

Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать.

Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями. Информация, которая может считаться конфиденциальной, также называется чувствительной. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата.

Целостность – это гарантирование того, что информация остается неизменной, корректной и аутентичной. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут являться меры, гарантирующие, что почтовое сообщение не было изменено при пересылке.

Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может являться защита доступа и обеспечение пропускной способности почтового сервиса.

Для реализации этих трех основных сервисов требуется выполнение следующих сервисов.

Идентификация – сервис, с помощью которого указываются уникальные атрибуты пользователей, позволяющие отличать пользователей друг от друга, и способы, с помощью которых пользователи указывают свои идентификации информационной системе. Идентификация тесно связана с аутентификацией.

аутентификация – сервис, с помощью которого доказывается, что участники являются требуемыми, т.е. обеспечивается доказательство идентификации. Это может достигаться с помощью паролей, смарт-карт, биометрических токенов и т.п. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта. Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми. Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.

Подотчетность – возможность системы идентифицировать отдельного индивидуума и выполняемые им действия. Наличие этого сервиса означает возможность связать действия с пользователями. Данный сервис очень тесно связан с сервисом невозможности отказа.

Невозможность отказа – сервис, который обеспечивает невозможность индивидуума отказаться от своих действий. Например, если потребитель сделал заказ, и в системе отсутствует сервис невозможности отказа, то потребитель может отказаться от факта покупки. Невозможность отказа обеспечивает способы доказательства того, что транзакция имела место, не зависимо от того, является ли транзакция online-заказом или почтовым сообщением, которое было послано или получено. Для обеспечения невозможности отказа как правило используются цифровые подписи.

Авторизация – права и разрешения, предоставленные индивидууму (или процессу), которые обеспечивают возможность доступа к ресурсу. После того, как пользователь аутентифицирован, авторизация определяет, какие права доступа к каким ресурсам есть у пользователя.

Защита частной информации – уровень конфиденциальности, который предоставляется пользователю системой. Это часто является важным компонентом безопасности. Защита частной информации не только необходима для обеспечения конфиденциальности данных организации, но и необходима для защиты частной информации, которая будет использоваться оператором.

Если хотя бы один из этих сервисов не функционирует, то можно говорить о нарушении всей исходной триады CIA.

Для реализации сервисов безопасности должна быть создана так называемая "оборона в глубину". Для этого должно быть проделано:

1. Необходимо обеспечить гарантирование выполнения всех сервисов безопасности.

2. Должен быть выполнен анализ рисков.

3. Необходимо реализовать аутентификацию и управление Идентификациями.

5. Необходимо обеспечение подотчетности.

6. Необходимо гарантирование доступности всех сервисов системы.

7. Необходимо управление конфигурацией.

8. Необходимо управление инцидентами.

Гарантирование выполнения

Обеспечение выполнения сервисов безопасности выполнить следующее:

· Разработать организационную политику безопасности.

· Рассмотреть существующие нормативные требования и акты.

· Обеспечить обучение сотрудников, ответственных за ИБ.

Анализ рисков

Анализ рисков является процессом определения рисков для информационных активов и принятия решения о том, какие риски являются приемлемыми, а какие нет.

Аутентификация и управление Идентификациями

Идентификация пользователя дает возможность вычислительной системе отличать одного пользователя от другого и обеспечивать высокую точность управления доступом к сервисам и ресурсам. Идентификации могут быть реализованы разными способами, такими как пароли, включая одноразовые, цифровые сертификаты, биометрические параметры. Возможны разные способы хранения идентификаций, такие как базы данных, LDAP, смарт-карты.

Пароли

Наиболее часто используемой формой идентификации на сегодняшний день является имя пользователя и пароль.

Токены

Вместо того, чтобы в качестве идентификации использовать нечто, что кто-то знает, можно использовать нечто, что он имеет. Обычно под токенами понимаются некоторые аппаратные устройства, которые предъявляет пользователь в качестве аутентификации. Такие устройства позволяют пользователям не запоминать пароли. Примерами таких токенов являются:

· Смарт-карты.

· Одноразовые пароли.

· Устройства, работающие по принципу запроса – ответа.

Биометрические параметры

Используются некоторые физические характеристики пользователя.

Криптографические ключи

Криптография предоставляет способы, с помощью которых сущность может доказать свою идентификацию. Для этого она использует ключ, являющийся строкой битов, который подается в алгоритм, выполняющий шифрование данных. На самом деле ключ аналогичен паролю – это нечто, что сущность знает.

Многофакторная аутентификация

В современных системах все чаще используется многофакторная аутентификация. Это означает, что аутентифицируемой сущности необходимо предоставить несколько параметров, чтобы установить требуемый уровень доверия.

Обеспечение отчетности

Отчетность – это возможность знать, кто и что делал в системе и сети. Это включает:

· Создание и аудит системных логов.

· Мониторинг систем и сетевого трафика.

· Обнаружение проникновений.

Обеспечение отчетности позволяет знать, что происходит в компьютерных системах или сетях.

При использовании подобных технологий важно правильно рассчитать количество необходимых ресурсов и время, необходимое для анализа собранных данных.

Гарантирование доступности

Гарантирование доступности состоит в определении точек возможного сбоя и ликвидации этих точек. Стратегии уменьшения негативных последствий отказов могут быть управленческие и технологические.

С точки зрения гарантирования доступности можно дать следующие определения.

Надежность – способность системы или отдельной компоненты вы-полнять требуемые функции при определенных условиях в указанный период времени.

Избыточность – создание одной или нескольких копий (backup) си-стемы, которые становятся доступными в случае сбоя основной системы, или наличие дополнительных возможностей системы для организации её отказоустойчивости.

Отказоустойчивость – способ функционирования, при котором функции компонент системы (такие как процессор, сервер, сеть или БД) выполняются дублирующими компонентами при отказе или плановом останове основных компонент. Способность системы или компонента продолжать нормально функционировать при отказе ПО или аппаратуры.

Управление конфигурациями

При управлении конфигурациями необходимо обеспечить следующее:

· Регулярное обновление ПО.

· Управление и контроль существующих ресурсов.

· Управление изменениями.

· Оценка состояния сетевой безопасности.

Управление конфигурациями означает ежедневное использование проактивных технологий, которые гарантируют корректное функционирование ИТ-систем.

Управление инцидентами

Регулярно происходят какие-либо события, относящиеся к безопасности. При возникновении компьютерного инцидента важно иметь эффективные способы его распознавания. Скорость, в которой можно распознать, проанализировать и ответить на инцидент, позволяет уменьшить ущерб, нанесенный инцидентом.