Что такое защита информации: Защита информации

Что такое защита информации: Защита информации

Средства защиты информации

Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 для обеспечения защиты информации, содержащейся в государственных информационных системах, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

• Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
• Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.
  Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
• Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
• Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Аттестация

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Обязательной аттестации подлежат:

1. Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну
2. Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом
3. Государственные информационные системы

Аттестация проводится в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ:

• анализ исходных данных по аттестуемому объекту информатизации;
• предварительное ознакомление с аттестуемым объектом информатизации;
• проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
• проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем)

• Перечень органов по аттестации N РОСС RU.0001.01БИ00
• Реестр лицензий на деятельность по технической защите конфиденциальной информации

ИНФОСЕК — Глоссарий | CSRC

• Проекты
• Публикации Развернуть или свернуть
• Темы Развернуть или свернуть
• Новости и обновления
• События
• Глоссарий
• О CSRC Развернуть или свернуть

Поиск

Сортировать по

Релевантность (наилучшее соответствие)Срок (A-Z)Срок (Z-A)

Пункты на странице 100200500Все

Глоссарий

А | Б | С | Д | Е | Ф | г | ЧАС | я | Дж | К | л | М | Н | О | п | Вопрос | р | С | Т | U | В | Вт | Икс | Д | Z

INFOSEC

Сокращения и синонимы:

Информационная безопасность

Безопасность информационных систем

ЦНССИ 4009-2015

Определения:

  Защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения конфиденциальности, целостности и доступности.
Источник(и):
НИСТ СП 1800-10Б по информационной безопасности от ФИПС 199, 44 U.S.C., сек. 3542
НИСТ СП 1800-25Б по информационной безопасности от ФИПС 199, 44 U.S.C., сек. 3542
НИСТ СП 1800-26Б по информационной безопасности от ФИПС 199, 44 U. S.C., сек. 3542
НИСТ СП 1800-27Б по информационной безопасности от ФИПС 200
НИСТ СП 1800-27С по информационной безопасности от ФИПС 200
NIST SP 800-12 Ред. 1 по информационной безопасности от 44 США, сек. 3542
НИСТ СП 800-128 по информационной безопасности от 44 США, сек. 3542
НИСТ СП 800-137 по информационной безопасности от 44 США, сек. 3542
NIST SP 800-18 Ред. 1 по информационной безопасности от 44 США, сек. 3542
NIST SP 800-30 Ред. 1 по информационной безопасности от 44 США, сек. 3542
НИСТ СП 800-39 по информационной безопасности от 44 США, сек. 3542
NIST SP 800-60 Том. 1 Откр. 1 по информационной безопасности от 44 США, сек. 3542
NIST SP 800-60 Том. 2 Откр. 1 по информационной безопасности от 44 США, сек. 3542
NISTIR 7621 Ред. 1 по информационной безопасности от 44 США, сек. 3542
НИСТИР 8170 по информационной безопасности от 44 США, сек. 3541

  Термин «информационная безопасность» означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения целостности, конфиденциальности и доступности.
Источник(и):
НИСТ СП 800-59 по информационной безопасности от 44 США, сек. 3542 (б)(1)

  синоним ИТ-безопасности.
Источник(и):
НИСТ СП 800-16 в разделе «Безопасность информационных систем»

Что такое информационная безопасность? — GeeksforGeeks

Введение:

Информационная безопасность — это практика защиты информации путем снижения информационных рисков. Он включает в себя защиту информационных систем и информации, обрабатываемой, хранимой и передаваемой этими системами, от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения. Это включает в себя защиту личной информации, финансовой информации, а также чувствительной или конфиденциальной информации, хранящейся как в цифровой, так и в физической форме. Эффективная информационная безопасность требует комплексного и междисциплинарного подхода с участием людей, процессов и технологий.

Информационная безопасность — это не только защита информации от несанкционированного доступа. Информационная безопасность — это в основном практика предотвращения несанкционированного доступа, использования, раскрытия, нарушения, модификации, проверки, записи или уничтожения информации. Информация может быть физической или электронной. Информация может быть чем угодно, например, вашими данными или вашим профилем в социальных сетях, вашими данными на мобильном телефоне, вашими биометрическими данными и т. д. Таким образом, информационная безопасность охватывает множество областей исследований, таких как криптография, мобильные вычисления, киберкриминалистика, онлайн-социальные сети и т. д.

Во время Первой мировой войны была разработана многоуровневая система классификации с учетом конфиденциальности информации. С началом Второй мировой войны было проведено формальное согласование Классификационной системы. Алан Тьюринг был тем, кто успешно расшифровал Enigma Machine, которая использовалась немцами для шифрования военных данных.

Эффективная информационная безопасность требует комплексного подхода, учитывающего все аспекты информационной среды, включая технологии, политики и процедуры, а также людей. Это также требует постоянного мониторинга, оценки и адаптации для устранения возникающих угроз и уязвимостей.

Почему мы используем информационную безопасность?

Мы используем информационную безопасность для защиты ценных информационных активов от широкого спектра угроз, включая кражу, шпионаж и киберпреступность. Информационная безопасность необходима для обеспечения конфиденциальности, целостности и доступности информации, независимо от того, хранится ли она в цифровом виде или в других формах, таких как бумажные документы. Вот несколько основных причин, по которым важна информационная безопасность:

1. Защита конфиденциальной информации. Информационная безопасность помогает защитить конфиденциальную информацию от доступа, раскрытия или изменения неуполномоченными лицами. Это включает личную информацию, финансовые данные и коммерческую тайну, а также конфиденциальную правительственную и военную информацию.
2. Снижение риска. Применяя меры информационной безопасности, организации могут снизить риски, связанные с киберугрозами и другими инцидентами безопасности. Это включает в себя минимизацию риска утечки данных, атак типа «отказ в обслуживании» и других злонамеренных действий.
3. Соблюдение нормативных требований: Многие отрасли и юрисдикции имеют специальные нормативные положения, регулирующие защиту конфиденциальной информации. Меры информационной безопасности помогают обеспечить соблюдение этих правил, снижая риск штрафов и юридической ответственности.
4. Защита репутации: Нарушения безопасности могут повредить репутации организации и привести к потере бизнеса. Эффективная информационная безопасность может помочь защитить репутацию организации, сводя к минимуму риск инцидентов, связанных с безопасностью.
5. Обеспечение непрерывности бизнеса: информационная безопасность помогает гарантировать, что важные бизнес-функции могут продолжаться даже в случае нарушения безопасности. Это включает в себя поддержание доступа к ключевым системам и данным и минимизацию последствий любых сбоев.

Программы информационной безопасности строятся вокруг 3 целей, широко известных как ЦРУ – Конфиденциальность, Целостность, Доступность.
 

1. Конфиденциальность — означает, что информация не раскрывается неуполномоченным лицам, организациям и процессам. Например, если мы говорим, что у меня есть пароль для моей учетной записи Gmail, но кто-то видел, когда я входил в учетную запись Gmail. В этом случае мой пароль был скомпрометирован, а конфиденциальность нарушена.
2. Целостность – означает поддержание точности и полноты данных. Это означает, что данные не могут быть отредактированы несанкционированным способом. Например, если сотрудник увольняется из организации, то в этом случае данные для этого сотрудника во всех отделах, таких как учетные записи, должны быть обновлены, чтобы отразить статус РАБОТЫ ОСТАЛОСЬ, чтобы данные были полными и точными, и в дополнение к этому только уполномоченному лицу должно быть разрешено редактировать данные сотрудника.
3. Доступность — означает, что информация должна быть доступна при необходимости. Например, если нужно получить доступ к информации о конкретном сотруднике, чтобы проверить, не превысил ли сотрудник количество отпусков, в этом случае требуется сотрудничество различных организационных групп, таких как сетевые операции, операции разработки, реагирование на инциденты и управление политиками/изменениями.
   Атака типа «отказ в обслуживании» — один из факторов, который может препятствовать доступности информации.

Помимо этого есть еще один принцип, которым руководствуются программы информационной безопасности. Это неотказуемость.
 

• Неотказуемость — означает, что одна сторона не может отрицать получение сообщения или транзакции, а другая сторона не может отрицать отправку сообщения или транзакции. Например, в криптографии достаточно показать, что сообщение соответствует цифровой подписи, подписанной закрытым ключом отправителя, и что отправитель мог отправить сообщение, и никто другой не мог изменить его при передаче. Целостность и подлинность данных являются предпосылками для безотказности.
   
• Подлинность — означает проверку того, что пользователи являются теми, за кого они себя выдают, и что каждый ввод, поступающий в пункт назначения, поступает из надежного источника. При соблюдении этого принципа гарантируется действительное и подлинное сообщение, полученное из надежного источника посредством действительной передачи. Например, если взять приведенный выше пример, отправитель отправляет сообщение вместе с цифровой подписью, которая была сгенерирована с использованием хеш-значения сообщения и закрытого ключа. Теперь на стороне получателя эта цифровая подпись расшифровывается с использованием открытого ключа, генерирующего хэш-значение, и сообщение снова хэшируется для генерирования хеш-значения. Если значение 2 совпадает, то это считается действительной передачей с аутентичным, или мы говорим, что подлинное сообщение получено на стороне получателя
• Подотчетность — означает, что должна быть возможность отследить действия объекта только для этого объекта. Например, как мы обсуждали в разделе «Целостность», не каждому сотруднику должно быть разрешено вносить изменения в данные других сотрудников. Для этого в организации есть отдельный отдел, который отвечает за внесение таких изменений, и когда они получают запрос на изменение, это письмо должно быть подписано вышестоящим органом, например, директором колледжа, и лицо, которому назначено это изменение, сможет вносить изменения после проверки его биометрии, таким образом, записывается временная метка с данными о пользователе (вносящем изменения). Таким образом, мы можем сказать, что если изменение происходит таким образом, то можно будет однозначно отследить действия объекта.

Преимущества внедрения системы классификации информации в программу информационной безопасности организации:

1. Улучшенная безопасность: Идентифицируя и классифицируя конфиденциальную информацию, организации могут лучше защитить свои наиболее важные активы от несанкционированного доступа или раскрытия.
2. Соответствие : Многие нормативные и отраслевые стандарты, такие как HIPAA и PCI-DSS, требуют от организаций реализации мер по классификации информации и защите данных.
3. Повышение эффективности : Четко идентифицируя и маркируя информацию, сотрудники могут быстро и легко определить соответствующие требования к обработке и доступу к различным типам данных.
4. Лучшее управление рисками : Понимая потенциальные последствия утечки или несанкционированного раскрытия данных, организации могут расставлять приоритеты в ресурсах и разрабатывать более эффективные планы реагирования на инциденты.
5. Экономия затрат : Внедряя соответствующие меры безопасности для различных типов информации, организации могут избежать ненужных расходов на меры безопасности, которые могут не понадобиться для менее конфиденциальных данных.
6. Улучшенное реагирование на инциденты : Имея четкое представление о важности конкретных данных, организации могут более эффективно реагировать на инциденты безопасности.

Существуют некоторые потенциальные недостатки внедрения системы классификации информации в программу информационной безопасности организации:

1. Сложность: разнообразный набор типов данных.
2. Стоимость : Внедрение и обслуживание системы классификации информации может быть дорогостоящим, особенно если для этого требуется новое оборудование или программное обеспечение.
3. Сопротивление изменениям: Некоторые сотрудники могут сопротивляться внедрению системы классификации информации, особенно если это требует от них изменения своих обычных рабочих привычек.
4. Неточная классификация: Классификация информации часто выполняется человеком, поэтому некоторая информация может быть неправильно классифицирована, что может привести к неадекватной защите или ненужным ограничениям доступа.
5. Отсутствие гибкости: Системы классификации информации могут быть жесткими и негибкими, что затрудняет адаптацию к меняющимся потребностям бизнеса или новым типам данных.
6. Ложное чувство безопасности : Внедрение системы классификации информации может дать организациям ложное чувство безопасности, заставляя их упускать из виду другие важные меры безопасности и передовой опыт.
7. Обслуживание: Классификация информации должна часто пересматриваться и обновляться, иначе она может устареть и стать неэффективной.

Использование информационной безопасности:
 Информационная безопасность имеет множество применений, в том числе:

1. Конфиденциальность: Обеспечение конфиденциальности конфиденциальной информации и защита от несанкционированного доступа.
2. Целостность: Поддержание точности и согласованности данных даже при наличии вредоносных атак.
3. Доступность: Обеспечение доступа авторизованных пользователей к необходимой им информации в нужное время.
4. Соответствие: Соблюдение нормативных и правовых требований, например, касающихся конфиденциальности и защиты данных.
5. Управление рисками: Выявление и устранение потенциальных угроз безопасности для предотвращения нанесения вреда организации.
6. Аварийное восстановление: Разработка и внедрение плана быстрого восстановления после потери данных или системных сбоев.
7. Аутентификация: Проверка личности пользователей, обращающихся к информационным системам.
8. Шифрование: Защита конфиденциальной информации от несанкционированного доступа путем ее кодирования в безопасный формат.
9. Безопасность сети: Защита компьютерных сетей от несанкционированного доступа, краж и других видов атак.
10. Физическая безопасность: Защита информационных систем и хранимой в них информации от кражи, повреждения или уничтожения путем обеспечения безопасности физических объектов, в которых размещены эти системы.

Вопросы информационной безопасности:

Информационная безопасность сталкивается со многими проблемами и проблемами, в том числе:

1. Киберугрозы: Все более изощренные кибератаки, включая вредоносное ПО, фишинг и программы-вымогатели, затрудняют защиту информационных систем и информации, которую они хранят.
2. Человеческая ошибка: Люди могут непреднамеренно подвергнуть информацию риску, например, потеряв ноутбук или смартфон, нажав на вредоносные ссылки или используя слабые пароли.
3. Внутренние угрозы: Сотрудники, имеющие доступ к конфиденциальной информации, могут представлять опасность, если они преднамеренно или непреднамеренно причиняют вред организации.
4. Устаревшие системы: Старые информационные системы могут не иметь функций безопасности новых систем, что делает их более уязвимыми для атак.
5. Сложность: Возрастающая сложность информационных систем и информации, которую они хранят, затрудняет их эффективную защиту.
6. Мобильные устройства и устройства IoT: Растущее число мобильных устройств и устройств Интернета вещей (IoT) создает новые проблемы безопасности, поскольку их можно легко потерять или украсть, а также они могут иметь слабые средства контроля безопасности.
7. Интеграция со сторонними системами: Интеграция информационных систем со сторонними системами может привести к новым рискам безопасности, поскольку сторонние системы могут иметь уязвимости в системе безопасности.
8. Конфиденциальность данных: Защита личной и конфиденциальной информации от несанкционированного доступа, использования или раскрытия становится все более важной, поскольку правила конфиденциальности данных становятся все более строгими.
9. Глобализация: Растущая глобализация бизнеса усложняет защиту информации, поскольку данные могут храниться, обрабатываться и передаваться в несколько стран с разными требованиями к безопасности.

Ссылка:

Вот некоторые рекомендуемые справочные материалы по информационной безопасности:

1. «Руководство по информационной безопасности, том 1» под редакцией Хоссейна Бидголи
2. «Принципы и практика информационной безопасности» Марков Станислав и Марк Мерков .
3. «Основы компьютерной безопасности», Чак Исттом.
4. «Кибербезопасность и кибервойна: что нужно знать каждому» П.В. Сингер и Аллан Фридман.
5. Национальный институт стандартов и технологий (NIST) Cybersecurity Framework.
6. ISO/IEC 27001 Стандарт систем управления информационной безопасностью.
7. Институт SANS, который предлагает различные ресурсы и учебные программы по информационной безопасности.
8. Фонд OWASP, который предоставляет информацию и инструменты, помогающие организациям повысить безопасность своих приложений.