Безопасность информационных систем
План статьи
Высокая ценность информации и мощное влияние технологий на все отрасли промышленности подчеркивают важность обеспечения безопасности информационных систем. Компрометация охраняемых сведений и передача конкурирующим организациям, остановка производственных процессов вследствие изменения или уничтожения важных данных — все это может привести к крупному материальному и репутационному ущербу для компании, вплоть до ее ликвидации. В этой статье мы рассмотрим аспекты обеспечения безопасности информационных систем.
Информационная безопасность (ИБ) — это состояние системы, при котором обеспечены целостность, конфиденциальность и доступность информации.
Информационная система (ИС) — это система, предназначенная для хранения, анализа и передачи данных, включающая оборудование, ПО, данные и пользователей.
ИС широко используются в различных областях, таких как бизнес, наука, образование, медицина и т.д. Они позволяют автоматизировать процессы сбора, хранения, анализа, поиска и визуализации информации.
Стандарты и спецификации ИБ
Чтобы избежать предписаний и санкций со стороны регуляторов, систему ИБ целесообразно разворачивать в соответствии с требованиями нормативно-правовых актов. Роль стандартов закреплена в ФЗ-184 «О техническом регулировании».
Основные определения:
- Стандарт информационной безопасности — документ, описывающий требования и рекомендации по защите информационных активов.
- Спецификация — документ, устанавливающий технические требования к системе ИБ и методам защиты.
Оценочные стандарты
- Руководящие документы ФСТЭК России.
- ISO IES 15408:1999 «Критерии оценки безопасности информационных технологий».
- Федеральный стандарт США FIPS 140-2 (криптография).
- «Оранжевая книга» (Критерии оценки доверенных компьютерных сетей МО США).
Ключевые спецификации
- Список технических спецификаций (TLS, IPsec, X.800 и др.)
- TLS — протокол защиты транспортного уровня.
- Х.800 — архитектура безопасности для взаимодействия открытых систем.
- IPsec — набор протоколов для защиты сетевых подключений.
- Х.500 и Х.509 — рекомендации по инфраструктуре и именованным объектам.
- BS 7799 — британский стандарт управления ИБ.
- «Управление ИБ. Практические правила» — принципы администрирования и управления доступом.
Угрозы информационной безопасности
Угроза безопасности — это потенциальная возможность негативного воздействия на ИБ. Направленное действие называют атакой, а субъекта — нарушителем.
Классификация угроз
Пояснения к типам угроз:
- Отказ — нарушение работы ИС, при котором она не выполняет функции.
- Сбой — временное нарушение функционирования ПО или оборудования.
- Ошибка — неверное действие пользователя или неверная работа программы.
- Побочное влияние — негативное воздействие внешних факторов.
- Количественная/Качественная недостаточность — нехватка ресурсов или уязвимость архитектуры.
- Промышленный шпионаж — скрытый сбор данных конкурентами.
Подробнее изучить тему «Угрозы информационной безопасности» можно на нашем сайте.
Виды нарушителей и мотивы
Согласно ГОСТ Р 53114-2008, нарушители делятся на внутренних (сотрудники) и внешних (хакеры, конкуренты).
Важно. Как показывает практика, около 70–80% инцидентов ИБ вызваны действиями собственных сотрудников компании.
| Мотив | Доля случаев |
|---|---|
| Корыстный умысел | 66% |
| Промышленный шпионаж и диверсии | 17% |
| Любопытство | 7% |
| Хулиганские действия / Месть | по 5% |
Для контроля за активностью сотрудников целесообразно использовать DLP-систему.
Атакующие средства воздействия
- Вирусы — вредоносное ПО, способное к самокопированию.
- Логические бомбы — программы, срабатывающие при определенных условиях (время, событие) для уничтожения данных.
- Средства подавления обмена — устройства для нарушения работы каналов связи.
Основные аспекты и меры защиты
Меры обеспечения ИБ делятся на превентивные, обнаруживающие, локализующие, выявляющие и восстанавливающие.
Жизненный цикл ИС
Меры безопасности должны сопровождать систему на всех этапах:
- Инициация и закупка.
- Установка и настройка.
- Эксплуатация.
- Выведение из эксплуатации.
Анализ рисков и упреждение инцидентов
Стратегия реагирования преследует три цели:
- Ограничение ущерба.
- Выявление уязвимости («дыры» в безопасности).
- Предотвращение повторных атак.
Нормативно-правовое регулирование в РФ
Обеспечение ИБ — это не только техника, но и закон. В России действуют строгие нормативные акты.
- Обзор нормативных документов (Конституция, УК РФ, ФЗ)
- Конституция РФ: Ст. 23 (тайна переписки), Ст. 24 (доступ к документам), Ст. 29 (право на информацию).
- Доктрина ИБ РФ: Определяет национальные интересы.
- КоАП РФ (Ст. 13.12): Ответственность за нарушение условий лицензий и использование несертифицированных средств.
- УК РФ (Ст. 275, 276, 283, 284): Ответственность за госизмену, шпионаж, разглашение гостайны и утрату документов.
- ФЗ «Об информации...»: Регулирует защиту данных и применение ИТ.
- Стратегия развития информационного общества (2017–2030).
Модели безопасности информационных систем
Выбор модели зависит от архитектуры системы и требований к секретности.
| Модель | Принцип работы |
|---|---|
| Дискреционная (DAC) | Права определяет владелец ресурса. Можно передавать права другим. |
| Мандатная (MAC) | Доступ на основе уровней секретности (грифов). Уровень объекта неизменен. |
| Ролевая (RBAC) | Доступ на основе ролей (набора прав), назначенных пользователю. |
| Изолированная программная среда | Каждому пользователю — отдельная среда исполнения. |
Таксономия и классификация нарушений
Понимание источника и этапа возникновения ошибки позволяет эффективнее строить защиту.
По источнику появления
.jpg "Классификация по источнику")
По этапам возникновения
Размещение ошибок в системе:
- В ОС: Влияют на всю сеть.
- В сервисном ПО: Компиляторы и СУБД часто имеют высокие привилегии.
- В прикладном ПО: Вредоносные закладки (трояны) могут разрушить систему изнутри.
Анализ способов атак
Помимо внутренних ошибок, существуют направленные удаленные атаки:
- Навязывание ложного маршрута: Перенаправление трафика для перехвата.
- Подмена доверенного хоста (Spoofing): Злоумышленник выдает себя за легитимный узел.
- Ложный сервер: Перехват, изменение или уничтожение информации в процессе передачи.
- Сетевые шпионы и черви: Вредоносное ПО для захвата контроля.
Криптографические методы защиты
Криптография — важнейший элемент защиты данных в бизнесе и госуправлении.
| Тип | Особенности | Примеры |
|---|---|---|
| Симметричная | Один ключ для шифрования и дешифрования. Быстро, но сложно передать ключ безопасно. | AES, DES, RC4 |
| Асимметричная | Два ключа (открытый и закрытый). Безопасный обмен, электронная подпись, но медленнее. | RSA, ElGamal, ГОСТ Р 34.10–2012 |
Заключение
Обеспечение безопасности информационных систем — это непрерывный процесс, требующий постоянного внимания и усилий. Только комплексный подход к защите информации, включающий в себя организационные меры, технические средства и регулярное обучение персонала, может обеспечить надежную защиту от современных киберугроз.
Часто задаваемые вопросы (FAQ)
- В чем разница между внешней и внутренней угрозой ИБ?
Внутренние угрозы исходят от сотрудников (инсайдеров), действующих умышленно или по неосторожности. Внешние угрозы — это атаки хакеров, конкурентов или вирусов извне периметра организации.
- Что такое мандатная модель доступа?
Это модель, где доступ регулируется уровнем секретности (грифом). Пользователь с низким уровнем допуска не может прочитать документ с грифом «Секретно», даже если владелец документа не против.
- Зачем нужны стандарты ИБ (ISO, ГОСТ)?
Стандарты позволяют унифицировать подходы к защите, гарантировать минимально необходимый уровень безопасности и проходить аудит для работы с государственными или международными партнерами.
- Как криптография защищает данные?
Криптография преобразует информацию в нечитаемый вид для всех, у кого нет ключа дешифрования. Это защищает конфиденциальность при передаче данных через интернет и их целостность (через электронную подпись).
- Что такое логическая бомба?
Это вредоносный код, внедренный в программу, который «взрывается» (выполняет вредоносное действие, например, удаляет базу данных) при наступлении определенных условий или в определенное время.
.jpg)
