Информационная безопасность — это обеспечение конфиденциальности, целостности и доступности информации.
- Конфиденциальность — обеспечение исключительно авторизованного доступа к информации. То есть информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или даже процессам.
- Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла. То есть данные не должны быть изменены неавторизованным или незаметным способом.
- Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям. То есть системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.
Целесообразность вложений в информационную безопасность
Реализовавшиеся риски по информационной безопасности влекут за собой потери для бизнеса. В то же время, работы по обеспечению информационной безопасности требуют как разовых, так и регулярных затрат времени и денег, а также возникает необходимость в соответствующей экспертизе. Необходимость повышения безопасности и отказоустойчивости определяется соразмерностью затрат и предполагаемого снижения рисков.
Оценка рисков
Проще всего оценить риски, основываясь на следующем чек‑листе:
- вероятность возникновения проблем
- убытки при неработоспособности
- коммерческая ценность хранящихся данных
- репутационные риски
- законодательные риски
- затраты на восстановление
Оценка затрат
Работа над информационной безопасностью гарантированно увеличит бюджет проекта, основные статьи расходов:
- расходы на экспертизу
- удорожание разработки
- рост стоимости обслуживания
- расходы на дополнительное «железо»
- стоимость аудита
Основные подходы к информационной безопасности
Информационная безопасность — это целый комплекс мероприятий, направленных на обеспечение конфиденциальности, целостности и доступности информации.
Наиболее распространённой является классификация по уровню:
- Физический контроль — охрана, пропускной режим, замки и так далее. Теоретически, этот уровень тоже относится к информационной безопасности, но на практике им обычно занимается не отдел информационной безопасности, а другие подразделения. Тем не менее информационные безопасники часто дополняют требования по физической безопасности, исходя из своих профессиональных знаний о возможных угрозах.
- Процедурный контроль — формализация и регламентация бизнес‑процессов, информирование о рисках, обучение и т.д. Специалисты по информационной безопасности работают не только с программами и серверами, но и с людьми. На самом деле, человеческий фактор — это один из наиболее существенных рисков в ИБ.
- Технический контроль — программно-аппаратные средства: системы контроля доступа, шифрование, брандмауэры, антивирусный софт, системы обнаружения и предотвращения вторжений и так далее. Реализация технического контура информационной безопасности — весьма объёмный вопрос и тема для отдельной статьи.
- Юридический контроль — уровень правового поля: законы, контракты, NDA, трудовые договора и так далее. В рамках правового поля есть законодательные нормы, которым необходимо следовать, также этот уровень даёт дополнительные возможности снижения рисков по информационной безопасности, устанавливая ответственность за нарушение правил.
Также в ИБ используется классификация по времени проведения мероприятий:
- Превентивные мероприятия — предотвращение возникновения инцидентов. Именно этот тип мероприятий должен быть основным занятием специалистов по информационной безопасности.
- Детективные мероприятия — идентификация и анализ происходящего инцидента: в комплекс мероприятий входит выявление проблемы, поиск причин возникновения, определение вектора атаки, сбор и анализ первичных данных об ущербе.
- Корректирующие мероприятия — решение инцидента, ограничение ущерба, восстановление системы. Обычно запускаются параллельно с детективными мероприятиями. Цель — остановить атаку или утечку данных, снизить ущерб, восстановить работоспособность системы и устранить возможности для повторения инцидента.