Информационная безопасность

В наши дни самым ценным ресурсом становятся не золото и нефть. А самое ценное, что есть сегодня у человечества – это информация. Защита информации становится приоритетной задачей. И поэтому на первый план сегодня выходят не сверхнадежные банки и сейфы с мудреными замками, а вопросы информационной безопасности.

Мы часто слышим разговоры об информационной безопасности. Но что это? И как она измеряется? Как определить, достаточен ли уровень информационной безопасности у этого сервиса, которому мы доверяем личные данные. И какова ответственность компаний, которые эти данные не умеют сберечь? Проговорим эти вопросы в статье.

Что такое информационная безопасность

Информационная безопасность – это комплекс мер, которые призваны защищать информацию. Ее защищают буквально от всего. От воздействий естественного или искусственного характера, от преднамеренных или случайных действий. В общем, информацию защищают от всего, что может ее раскрыть, дать к ней несанкционированный доступ, исказить, исследовать, записать или уничтожить. Как видно – это довольно широкое понятие. 

И, тем не менее, правильно выбирая средства защиты информации, можно гарантировать информационную безопасность. Выбор зависит от того, какие цели ставятся перед информационной безопасностью, какую информацию нужно защищать и какие опасности ей могут грозить. Попробуем с этим разобраться.

Три кита информационной безопасности

Информационная безопасность преследует три цели, которые помогают сохранить информацию в безопасности.

Это конфиденциальность, целостность и доступность.

Конфиденциальность 

Под конфиденциальностью понимается сохранение в секрете критичной информации. Доступ к такой информации должен иметь только тот, у кого есть на это право. Например, пароль на смартфоне, или пароль от электронной почты позволяет сохранить вашу информацию конфиденциальной. А пароль от банковской карты помогает сохранить ваши деньги. Если же кто-то сможет получить доступ к вашему смартфону или к почте, то конфиденциальность информации будет нарушена.  

Целостность

Допустим, что вы написали по электронной почте письмо с отчетом своему начальнику, но не отправили его сразу, а сохранили в черновиках. А теперь представьте, что кто-то получил доступ к вашей электронной почте и переписал все цифры в вашем отчете. Так что получился не отчет, а абсурд. 

В этом случае была нарушена целостность вашей информации. Говоря о целостности, мы имеем в виду, что информация сохраняется в неизменном виде в полном объеме. То есть она не удаляется, не изменяется и не подвергается корректировке. 

Доступность

Если киберпреступники взломали сервер вашей почты, то вы не сможете получить к ней доступ. То есть нарушится принцип доступности информации. Это одна из целей, которую преследует информационная безопасность. Ведь доступность информации предполагает, что каждый, кто имеет право на доступ к информации, должен этот доступ получить.

Какая бывает информация

Информационная безопасность может быть разной в разных ситуациях. Иногда необходимо достижение всех трех целей. А бывает, что достаточно только двух или одной. Это зависит от того, о какой информации идет речь. Ведь, согласитесь, информация тоже бывает разной. Есть рекламные объявления, а есть исключительно личная переписка. 

Итак, информация бывает общедоступной и конфиденциальной. Из названий понятно, что общедоступная информация носит открытый публичный характер. Доступ к ней может получить любой человек. Однако и такая информация нуждается в защите. Как минимум, ей необходима целостность и доступность. 

Что касается конфиденциальной информации, то при ее защите необходимо учитывать все три цели информационной безопасности. При этом первая цель – конфиденциальность, то есть, секретность, выходит на первый план. Поговорим о конфиденциальной информации подробнее.

Что такое конфиденциальная информация 

Главное отличие конфиденциальной безопасности от общедоступной заключается в том, что неправомерное распространение такой информации создает угрозы экономического и иного характера ее обладателю. Если говорить обобщенно, то конфиденциальная информация – это информация с ограниченным доступом, только для определенного круга лиц, или для лиц определенной категории. Такая информация – это всегда особенная тайна. Но защита конфиденциальных данных гарантирована законом. В частности, в ст. 2 Федерального закона «Об информации» говорится, что к сведениям ограниченного доступа относятся данные, которые нельзя передать третьему лицу без согласия обладателя этих сведений.

Существует несколько видов конфиденциальной информации:

• Служебная тайна;
• Коммерческая тайна;
• Персональные данные;
• Тайна уголовного судопроизводства;
• Судебная тайна;
• Профессиональная тайна.

Персональные данные

Нас в большей степени будут интересовать персональные данные. Ведь с таким видом конфиденциальной информации так или иначе сталкиваются сегодня очень многие компании в интернете. Как только вы просите посетителей сайта связаться с вами, оставить данные, заказать что-либо онлайн – вы сразу сталкиваетесь с вопросом безопасности персональных данных. К персональным данным относятся:

• ФИО;
• номер телефона;
• паспортные данные, семейное положение, физиологические особенности;
• и все другие данные, которые характеризуют этого человека.

Защита персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных». В законе перечисляются требования по работе с персональными данными и определяется необходимый уровень защиты этой информации.

Виды угроз информационной безопасности

Угрозы могут подразделяться по различным критериям. Разберем, какие они бывают.

Угрозы по составляющим информационной безопасности 

• Угрозы конфиденциальности. Это когда кто-то, кто не имеет на это право, пытается получить доступ к закрытой секретной информации. Или если посторонний получает такой доступ к данным ограниченного доступа. Это необязательно должна быть хакерская атака. Просто, например, один сотрудник делегировал другому сотруднику, не имеющему доступа к служебной тайне, выполнить какие-то действия. Или могли произойти сбои системы, и вдруг пользователям стала видна служебная информация. Но, в некоторых случаях, речь действительно может идти о государственной тайне и о хакерской атаке. 
• Угрозы целостности. Это угрозы неправомерного изменения или удаления информации. К этим угрозам относится и непрофессионализм сотрудников, и выход из строя оборудования.
• Угрозы доступности, которые приводят к нарушению доступа к информации.

По месторасположению угрозы

Угрозы могут быть:

• Внутренние – когда источник угрозы находится внутри информационной системы;
• Внешние – когда источник угрозы находится снаружи.

 Угрозы могут различаться по своей природе

В этом случае угрозы подразделяются на:

• Естественные угрозы, к которым могут относиться, например, стихийные природные явления;
• Искусственные угрозы, которые возникают в результате действий человека.

Искусственные угрозы, в свою очередь, подразделяются на несколько групп:

• Бывают непреднамеренные угрозы. Например, когда персонал допускает ошибку, или если отказывает техника;
• Преднамеренные, или умышленные, угрозы имеют под собой определенные цели, связанные с преодолением информационной безопасности. Например, желание получить доступ к базе данных, уничтожить сведения, внедрение вируса и так далее.

Виды источников угроз

Источники информационных угроз условно делятся на три большие группы:

• Антропогенные источники. В этом случает причиной угроз является человек, который преднамеренно или нечаянно нарушает принципы информационной безопасности;
• Техногенные источники. В этом случае источниками угроз является техника;
• Стихийные источники. К этой группе источников относят стихийные бедствия, катастрофы и другие обстоятельства непреодолимой силы, которые приводят к нарушению информационной безопасности.

Технологии защиты информации

Существуют различные способы защиты информации. Мы же остановимся на основных группах, в которые можно объединить разные технические средства и технологии защиты информации. 

Читайте о том, как защищали информацию в древности, в статье «Криптография. Зашифрованные послания».

Инженерно — технические средства защиты

К этой группе относятся все средства, которые позволяют технически снизить информационные угрозы. Например, такие как:

• Система видеонаблюдения;
• Физическая защита серверов от внешнего негативного воздействия при стихийных бедствиях: толстые стены, бронированные двери и так далее;
• Ограниченный доступ сотрудников. Это когда только у определенной категории людей есть магнитный ключ от некоторых помещений, где хранится информация;
• Противопожарная защита и так далее.  

Организационно-правовая защита

К этой группе относят договоры, нормативные акты, различные официальные стандарты в области защиты информации. Например, к этой группе можно отнести «Договор о неразглашении информации», который обычно подписывают компании прежде чем начать обмениваться конфиденциальными данными. 

Криптографическая защита

Криптографию используют для шифрования данных. Это дает возможность впоследствии даже передавать конфиденциальную информацию, используя открытые каналы связи. Также криптография позволяет подтвердить подлинность информации и защищает программное обеспечение от копирования и использования третьими лицами.