Основы информационной безопасности: оценка рисков и затрат, основные подходы

Информационная безопасность — это обеспечение конфиденциальности, целостности и доступности информации.

  • Конфиденциальность — обеспечение исключительно авторизованного доступа к информации. То есть информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или даже процессам.
  • Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла. То есть данные не должны быть изменены неавторизованным или незаметным способом.
  • Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям. То есть системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.

Целесообразность вложений в информационную безопасность

Реализовавшиеся риски по информационной безопасности влекут за собой потери для бизнеса. В то же время, работы по обеспечению информационной безопасности требуют как разовых, так и регулярных затрат времени и денег, а также возникает необходимость в соответствующей экспертизе. Необходимость повышения безопасности и отказоустойчивости определяется соразмерностью затрат и предполагаемого снижения рисков.

Оценка рисков

Проще всего оценить риски, основываясь на следующем чек‑листе:

  • вероятность возникновения проблем
  • убытки при неработоспособности
  • коммерческая ценность хранящихся данных
  • репутационные риски
  • законодательные риски
  • затраты на восстановление

Оценка затрат

Работа над информационной безопасностью гарантированно увеличит бюджет проекта, основные статьи расходов:

  • расходы на экспертизу
  • удорожание разработки
  • рост стоимости обслуживания
  • расходы на дополнительное «железо»
  • стоимость аудита

Основные подходы к информационной безопасности

Информационная безопасность — это целый комплекс мероприятий, направленных на обеспечение конфиденциальности, целостности и доступности информации.

Наиболее распространённой является классификация по уровню:

  • Физический контроль — охрана, пропускной режим, замки и так далее. Теоретически, этот уровень тоже относится к информационной безопасности, но на практике им обычно занимается не отдел информационной безопасности, а другие подразделения. Тем не менее информационные безопасники часто дополняют требования по физической безопасности, исходя из своих профессиональных знаний о возможных угрозах.
  • Процедурный контроль — формализация и регламентация бизнес‑процессов, информирование о рисках, обучение и т.д. Специалисты по информационной безопасности работают не только с программами и серверами, но и с людьми. На самом деле, человеческий фактор — это один из наиболее существенных рисков в ИБ.
  • Технический контроль — программно-аппаратные средства: системы контроля доступа, шифрование, брандмауэры, антивирусный софт, системы обнаружения и предотвращения вторжений и так далее. Реализация технического контура информационной безопасности — весьма объёмный вопрос и тема для отдельной статьи.
  • Юридический контроль — уровень правового поля: законы, контракты, NDA, трудовые договора и так далее. В рамках правового поля есть законодательные нормы, которым необходимо следовать, также этот уровень даёт дополнительные возможности снижения рисков по информационной безопасности, устанавливая ответственность за нарушение правил.

Также в ИБ используется классификация по времени проведения мероприятий:

  • Превентивные мероприятия — предотвращение возникновения инцидентов. Именно этот тип мероприятий должен быть основным занятием специалистов по информационной безопасности.
  • Детективные мероприятия — идентификация и анализ происходящего инцидента: в комплекс мероприятий входит выявление проблемы, поиск причин возникновения, определение вектора атаки, сбор и анализ первичных данных об ущербе.
  • Корректирующие мероприятия — решение инцидента, ограничение ущерба, восстановление системы. Обычно запускаются параллельно с детективными мероприятиями. Цель — остановить атаку или утечку данных, снизить ущерб, восстановить работоспособность системы и устранить возможности для повторения инцидента.
информационная безопасностьвеб-разработкасистемное администрирование
Статья опубликована в 2020 и была обновлена в 2023 году

Тематические статьи

Безопасность сайтов и веб‑приложений

Под безопасностью веб‑приложений понимается обеспечение сохранности данных, их недоступность для посторонних лиц, а также способность сервиса сохранять работоспособность при кибератаках.

Безопасность веб‑приложений зависит от качества программного кода (это ответственность веб‑разработчиков), от квалификации системного администратора и регулярности обсуживания серверов, а также от компетенций всех пользователей, имеющих доступ к чувствительной информации.

Статья опубликована в 2019 году
Вирусы на сайтах

Откуда берутся вирусы на сайтах? Как с ними бороться?

Три наиболее распространённые причины появления вирусов на сайтах — это кража паролей для доступа к файловой системе сервера, эксплуатация XSS‑уязвимостей веб‑сайтов, уязвимостей в серверном ПО (часто — в результате отсутствия своевременного обновления) и уязвимостей в используемых CMS (обычно тоже по причине отсутствия обновлений или из‑за установки плагинов / расширений из недоверненных источников).

Статья опубликована в 2019 году
Информационная безопасность — основные угрозы

В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные методы атак, оценим их риски и возможные последствия.

К сожалению, от атак не застрахован ни один веб‑проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (реальных денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого‑либо, а монетизация возможной атаки ничтожна по прибыльности, то всё это это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.

Статья обновлена в 2022 году
Процессы, необходимые для информационной безопасности

Информационная безопасность важна практически для любого бизнеса, так как деятельность почти всех компаний достаточно существенно зависит от информационных технологий.

Взломы, утечки данных и неработоспособность ключевых систем приводит как к финансовых потерям, так и к репутационным издержкам. Чтобы снизить риски в сфере ИБ стоит внедрять базовые процессы ИБ в разработку, тестирование и системное администрирование.

Статья обновлена в 2023 году
DDoS — распределенные атаки типа «отказ в обслуживании»

DoS‑атака — это атака типа «отказ в обслуживании» — Denial of Service. DDоS — это атака того же типа, но распределённая (distributed), то есть производящаяся с более чем одного атакующего компьютера.

Cуть этой разновидности атак состоит в том, чтобы «перегрузить» атакуемый сервер или «забить» каналы связи, что или ухудшает качество работы атакуемого приложения, или вызывает сбой и вообще прекращает его работу.

Статья опубликована в 2019 году
SSH — сетевой протокол для управления серверами

SSH или Secure Shell — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP‑соединений, например, для передачи файлов или для работы с базой данных.

Весь трафик передаваемый по SSH защищён от подделки и перехвата при помощи алгоритмов шифрования. Также защита SSH весьма гибко конфигурируется, что позволяет избежать многих векторов атак. Всё это делает удалённое управление операционной системой через SSH безопасным.

Статья опубликована в 2019 году
HTTPS — защищенный протокол передачи гипертекста

HTTPS — расширение протокола HTTP, поддерживающее шифрование. Передаваемые по протоколу HTTPS данные зашифрованы, что обеспечивает защиту от прослушивания. HTTPS широко используется в мире и поддерживается всеми популярными браузерами.

Статья опубликована в 2014 году
SQL-инъекции — распространённый метод взлома веб‑приложений и сайтов

SQL‑инъекции — это один из распространённых способов взлома сайтов и веб‑приложений, работающих с реляционными базами данных.

SQL‑инъекции основаны на внедрении в выполняемый приложением запрос к базе данных произвольного SQL‑кода, переданного злоумышленником. Последствиями SQL‑инъекций может быть как кража, модификация или удаление данных, так и полный взлом атакуемой системы — получение привилегированного доступа, например.

Статья опубликована в 2019 году

Наши услуги

Информационная безопасность

У нас богатый опыт в защите интернет-проектов от угроз в сфере информационной безопасности. Выстраиваем процессы ИБ и обеспечиваем полноценную защиту информационных систем от взломов и атак.

Поддержка проектов и DevOps

Осуществляем комплексную поддержку ИТ‑проектов для обеспечения высокой работоспособности и улучшения продуктовых метрик.

Разработка

Разрабатываем сложные веб‑приложения и сайты. Создаём как отдельные инструменты для бизнеса, так и полноценные цифровые системы по индивидуальным требованиям.