Основы информационной безопасности: оценка рисков и затрат, основные подходы

Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.

  • Конфиденциальность — обеспечение исключительно авторизованного доступа к информации: информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или процессам.
  • Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла: данные не должны быть изменены неавторизованным или незаметным способом.
  • Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям: системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.

Целесообразность вложений в информационную безопасность

Реализовавшиеся риски по информационной безопасности влекут за собой потери для бизнеса. В то же время, работы по обеспечению информационной безопасности требуют как разовых, так и регулярных затрат времени и денег, а также возникает необходимость в соответствующей экспертизе. Необходимость повышения безопасности и отказоустойчивости определяется соразмерностью затрат и предполагаемого снижения рисков.

Оценка рисков

Проще всего оценить риски, основываясь на следующем чек-листе:

  • вероятность возникновения проблем
  • убытки при неработоспособности
  • коммерческая ценность хранящихся данных
  • репутационные риски
  • законодательные риски
  • затраты на восстановление

Оценка затрат

Работа над информационной безопасностью гарантированно увеличит бюджет проекта, основные статьи расходов:

  • расходы на экспертизу
  • удорожание разработки
  • рост стоимости обслуживания
  • расходы на дополнительное «железо»
  • стоимость аудита

Основные подходы к информационной безопасности

Информационная безопасность — это целый комплекс мероприятий, направленных на обеспечение конфиденциальности, целостности и доступности информации.

Наиболее распространённой является классификация по уровню:

  • Физический контроль — охрана, пропускной режим, замки и так далее. Теоретически, этот уровень тоже относится к информационной безопасности, но на практике им обычно занимается не отдел информационной безопасности, а другие подразделения. Тем не менее информационные безопасники часто дополняют требования по физической безопасности, исходя из своих профессиональных знаний о возможных угрозах.
  • Процедурный контроль — формализация и регламентация бизнес-процессов, информирование о рисках, обучение и т.д. Специалисты по информационной безопасности работают не только с программами и серверами, но и с людьми. На самом деле, человеческий фактор — это один из наиболее существенных рисков в ИБ.
  • Технический контроль — программно-аппаратные средства: системы контроля доступа, шифрование, брандмауэры, антивирусный софт, системы обнаружения и предотвращения вторжений и так далее. Реализация технического контура информационной безопасности — весьма объёмный вопрос и тема для отдельной статьи.
  • Юридический контроль — уровень правового поля: законы, контракты, NDA, трудовые договора и так далее.  В рамках правового поля есть законодательные нормы, которым необходимо следовать, также этот уровень даёт дополнительные возможности снижения рисков по информационной безопасности, устанавливая ответственность за нарушение правил.

Также в ИБ используется классификация по времени проведения мероприятий:

  • Превентивные мероприятия — предотвращение возникновения инцидентов. Именно этот тип мероприятий должен быть основным занятием специалистов по информационной безопасности.
  • Детективные мероприятия — идентификация и анализ происходящего инцидента: в комплекс мероприятий входит выявление проблемы, поиск причин возникновения, определение вектора атаки, сбор и анализ первичных данных об ущербе.
  • Корректирующие мероприятия — решение инцидента, ограничение ущерба, восстановление системы. Обычно запускаются параллельно с детективными мероприятиями. Цель — остановить атаку или утечку данных, снизить ущерб, восстановить работоспособность системы и устранить возможности для повторения инцидента.

Информационная безопасность — очень важное направление в информационных технологиях. В современном мире достаточно много угроз лежит именно в сфере обеспечения безопасности данных.

В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные методы атак, оценим их риски и возможные последствия.

К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.

Узнать больше →

Ни один проект не застрахован от кибер-атак. Для оценки рисков важно понимать, что в вашем проекте может быть интересно злоумышленникам и с какими угрозами в результате можно столкнуться.

Под безопасностью веб-приложений понимается обеспечение сохранности данных, их недоступность для посторонних лиц, а также способность сервиса сохранять работоспособность при кибератаках.

Безопасность веб-приложений зависит от качества программного кода (это ответственность веб-разработчиков), от квалификации системного администратора и регулярности обсуживания серверов, а также от компетенций всех пользователей, имеющих доступ к чувствительной информации.

Узнать больше →

Безопасность веб-приложений — очень важное направление для любого бизнеса, зависящего от информационных технологий. Утечка данных или неработоспособность приложения из-за атаки обычно очень дорого обходится.

Cтатьи по теме:

DDoS — распределенные атаки типа «отказ в обслуживании»
DoS-атака / Denial of Service attack — это атака типа «отказ в обслуживании», суть которой состоит в том, чтобы «перегрузить» атакуемый сервер или каналы связи и тем самым ухудшить качество работы сервиса или вообще прекратить его работу. Distributed DоS или DDoS — это атака того же типа, производящаяся с более чем одного атакующего компьютера.
Вирусы на сайтах
Откуда берутся вирусы на сайтах? Как с ними бороться?
Процессы, которые важны для информационной безопасности
Информационная безопасность очень важна практически для любого бизнеса. В современном мире деятельность почти всех компаний существенно зависит от информационных технологий. Взломы, утечки данных и неработоспособность ключевых систем приводит как к финансовых потерям, так и к репутационным издержкам.
Надёжность, доступность и отказоустойчивость сайтов и веб-приложений
Действительно серьёзные проекты должны работать без перебоев даже в случае отказа отдельных подсистем. Причин для сбоев в работе немало: выход из строя «железа», сбои программного обеспечения, аварии на уровне дата-центров. Всех этих рисков можно избежать или минимизировать их последствия.
SSH — сетевой протокол для управления серверами
SSH или Secure Shell («безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов).
XSS — атаки на веб-системы типа «межсайтовый скриптинг»
XSS-атаки — это внедрение в страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы.
SQL-инъекции — распространённый метод взлома веб-приложений и сайтов
SQL-инъекции — это один из распространённых способов взлома сайтов и веб-приложений, работающих с реляционными базами данных. Этот способ основан на внедрении в выполняемый приложением запрос к базе данных произвольного SQL-кода, переданного злоумышленником.

Тематические технологии:

Язык программирования Ruby
Фреймворк Ruby on Rails
Язык разметки HTML
CSS — каскадные таблицы стилей
Язык программирования JavaScript
Библиотека React
Библиотека MobX
Библиотека MobX State Tree