Информационная безопасность: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
[непроверенная версия][отпатрулированная версия]
Содержимое удалено Содержимое добавлено
починка сноски
 
(не показано 967 промежуточных версий, сделанных более чем 100 участниками)
Строка 1: Строка 1:
{{другие значения|Информационная безопасность (значения)}}
== Определения ==
{{Много внутренних ссылок |дата=2024-05-24}}
{{стиль}}
'''Информационная безопасность''' ({{lang-en|Information Security}}, а также — {{lang-en|InfoSec}}) — практика предотвращения [[Несанкционированный доступ|несанкционированного доступа]], использования, раскрытия, искажения, изменения, исследования, записи или уничтожения [[Информация|информации]]. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать [[данные]] (электронная или, например, физическая). Основная задача информационной безопасности — сбалансированная защита [[Конфиденциальность|конфиденциальности]], [[Целостность информации|целостности]] и [[Доступность информации|доступности]] данных{{sfn|NIST IR 7298 r2|2013|pp=94—95}}, с учётом целесообразности применения и без какого-либо ущерба [[Производственная мощность|производительности]] организации{{sfn|Andress|2014}}. Это достигается, в основном, посредством многоэтапного процесса [[Управление рисками|управления рисками]], который позволяет идентифицировать [[основные средства]] и [[нематериальные активы]], источники [[Угрозы информационной безопасности|угроз]], [[Уязвимость (компьютерная безопасность)|уязвимости]], потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками{{sfn|NIST IR 7298 r2|2013|p=164}}.


Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, [[Политика (управление)|политик]] и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения [[Пользователь|пользователей]] и [[Системный администратор|администраторов]]. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура {{iw|Процесс непрерывного совершенствования|непрерывного совершенствования|en|Continual improvement process}} не привита должным образом{{sfn|Schlienger|2003|pp=46—52}}.
'''Информационная [[безопасность]] организации''' — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.


== Общие сведения ==
'''Информационная безопасность государства''' — состояние защищённости интересов в информационной сфере, определяющихся сбалансированной совокупностью интересов личности, общества и государства.
В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо [[Компрометация (криптография)|компрометации]] в критической ситуации{{sfn|Samonas|2014|pp=21–45}}. К таким ситуациям относятся природные, техногенные и социальные [[Катастрофа|катастрофы]], компьютерные сбои, [[кража|физическое похищение]] и тому подобные явления. В то время, как [[делопроизводство]] большинства организаций в мире до сих пор основано на бумажных документах{{sfn|Jacques|2016}}, требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению [[Цифровые технологии|цифровых технологий]] на предприятиях{{sfn|Pettey|2017}}{{sfn|Forni|2017}}, что влечёт за собой привлечение специалистов по безопасности [[Информационные технологии|информационных технологий]] (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность [[Технология|технологии]] (в большинстве случаев — какой-либо разновидности [[Компьютер|компьютерных систем]]). Под компьютером в данном контексте подразумевается не только бытовой [[персональный компьютер]], а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных [[калькулятор]]ов и бытовых приборов, вплоть до [[АСУТП|индустриальных систем управления]] и [[суперкомпьютер]]ов, объединённых [[Вычислительная сеть|компьютерными сетями]]. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от [[Кибератака|вредоносных кибератак]], зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.


Информационная безопасность, как сфера [[занятость|занятости]], значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как [[Безопасность сети|безопасность сетей]] и связанной [[Инфраструктура|инфраструктуры]], защиты [[Программное обеспечение|программного обеспечения]] и [[Анализ безопасности баз данных|баз данных]], [[Аудит информационной безопасности|аудит информационных систем]], [[планирование непрерывности бизнеса]], выявление электронных записей и {{iw|Компьютерная криминалистика|компьютерная криминалистика|en|Digital forensics}} ([[форензика]]). Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Масштабные исследования, проведённые организацией [[(ISC)²]] показали, что {{На|2017}} 66 % руководителей информационной безопасности признали острую нехватку [[Рабочая сила|рабочей силы]] в своих подразделениях, а по прогнозам к 2022 году недостаток специалистов в этой области составит по всему миру {{число|1800000}} человек{{sfn|Frost & Sullivan|2017|p=2}}.
В то время как '''информационная безопасность''' — это ''состояние'' защищённости информационной среды, '''защита информации''' — представляет собой ''деятельность'' по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть ''процесс'', направленный на достижение этого состояния.


=== Угрозы и меры противодействия ===
== Критерии информационной безопасности ==
[[Угрозы информационной безопасности]] могут принимать весьма разнообразные формы. {{на|2018|вр=1}} наиболее серьёзными считаются угрозы связанные с «[[Компьютерное преступление как услуга|преступлением как услугой]]» ({{lang-en|Crime-as-a-Service}}), [[Интернет вещей|Интернетом вещей]], [[Цепь поставок|цепями поставок]] и усложнением [[Нормативный правовой акт|требований регуляторов]]{{sfn|Olavsrud|2017}}. «Преступление как услуга» представляет собой модель предоставления зрелыми [[Организованная преступность|преступными сообществами]] [[Преступления в сфере информационных технологий|пакетов криминальных услуг]] на [[Даркнет-рынок|даркнет-рынке]] по доступным ценам начинающим {{iw|Black hat|киберпреступникам|en|Black hat}}{{ref+|На профессиональном жаргоне информационной безопасности киберпреступников часто называют {{tr|lang=en|s=Black hat|чёрная шляпа}}{{sfn|Moore|2011}}.|К}}. Это позволяет последним совершать [[Хакерская атака|хакерские атаки]], ранее недоступные из-за высокой технической сложности или дороговизны, делая [[Преступления в сфере информационных технологий|киберпреступность]] массовым явлением{{sfn|Europol|2017}}. Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами [[персональные данные]] своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются вовне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим [[поставщик]]ам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в [[Европейский союз|Евросоюзе]] [[Общий регламент защиты персональных данных]] ({{lang-en|General Data Protection Regulation, GDPR}}), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого [[комплаенс]]а требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают{{sfn|Olavsrud|2017}}.


Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами [[Вредоносная программа|вредоносных программ]] ([[Компьютерный вирус|вирусов]] и [[Компьютерный червь|червей]], [[троянская программа|троянских программ]], [[Вирус-вымогатель|программ-вымогателей]]){{sfn|Stewart|2015|pp=882–883}}, [[фишинг]]а или [[Кража личности|кражи личности]]. Фишинг ({{lang-en|Phishing}}) представляет собой [[Мошенничество#Мошенничество в Интернете|мошенническую попытку]]{{ref+|[[Уголовный кодекс Российской Федерации|Российский Уголовный кодекс]] определяет «Мошенничество в сфере компьютерной информации», как:{{начало цитаты}}…хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей…{{конец цитаты|источник={{Уголовный кодекс РФ|159|6}}}}|К}} завладения конфиденциальной информацией (например, [[учётная запись|учётной записью]], [[Пароль|паролем]] или данными [[Кредитная карта|кредитной карты]]). Обычно пользователя [[Интернет]]а стараются заманить на мошеннический [[Сайт|веб-сайт]], неотличимый от оригинального сайта какой-либо организации ([[Интернет-банкинг|банка]], [[интернет-магазин]]а, [[Социальная сеть|социальной сети]] и т. п.){{sfn|Ramzan|2010|p=433}}{{sfn|Van der Merwe|2005|pp=249—254}}. Как правило, такие попытки совершаются с помощью [[спам|массовых рассылок]] [[Спуфинг#Spoofing E-mail-адреса|поддельных электронных писем]] якобы от имени самой организации{{sfn|Dawes|2012}}, содержащих [[URL|ссылки]] на мошеннические сайты. Открыв такую ссылку в [[браузер]]е, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников{{sfn|Provos|2012}}. Термин {{tr|lang=en|s=Identity Theft|кража личности}} появился в английском языке в 1964 году{{sfn|Identity Theft}} для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в [[Автоматизированная банковская система|банковской системе]] или номер кредитной карты, часто добытые с помощью фишинга) используются для мошенничества и совершения иных преступлений{{sfn|Dubal}}{{sfn|Hoofnagle|2007}}. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия{{sfn|Armstrong|2017}}. Информационная безопасность оказывает непосредственное влияние на [[неприкосновенность частной жизни]]{{sfn|Gorodyansky|2013}}, определение которой в [[Культурное разнообразие|различных культурах]] может весьма разниться{{sfn|Земская|2005}}.
[[Image:Information security components JMK.png|thumb|250px|right|Компоненты информационной безопасности, согласно модели CIA]]


Эксперты отмечают, что хуже всего защищены от кибератак госорганы<ref>{{Cite web|url=https://www.kommersant.ru/doc/5314917|title=Positive Technologies: госорганы хуже всех защищены от кибератак|lang=ru|website=Коммерсантъ|date=2022-04-15|access-date=2023-10-28|archive-date=2023-12-01|archive-url=https://web.archive.org/web/20231201141612/https://www.kommersant.ru/doc/5314917|url-status=live}}</ref>. [[Орган государственной власти|Органы государственной власти]], [[вооружённые силы]], [[Корпорация|корпорации]], [[Финансовый институт|финансовые институты]], [[медицинские учреждения]] и [[Предпринимательство|частные предприниматели]] постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и [[Финансовый результат|финансовых результатах]]. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и [[репутация|репутационные]] потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая {{iw|Модель Гордона-Лоба|модель Гордона-Лоба|en|Gordon–Loeb model}} описывает [[Математическая модель|математический аппарат]] для решения этой задачи{{sfn|Gordon & Loeb|2002}}. Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
* ''снижение'' — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз;
* ''передача'' — перенос затрат, связанных с реализацией угроз на третьих лиц: [[Страховщик|страховые]] или [[аутсорсинг]]овые компании;
* ''принятие'' — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы;
* ''отказ'' — отказ от чрезмерно рисковой деятельности{{sfn|Stewart|2015|pp=72}}.


== История ==
* [[конфиденциальность]] ({{lang-en|confidentiality}}) — доступность информации только определённому кругу лиц;
С появлением самых ранних средств связи [[дипломат]]ы и [[Военный деятель|военные деятели]] осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и {{iw|Технология выявление фальсификации|способов выявления попыток её фальсификации|en|Tamper-evident technology}}. Например, [[Гай Юлий Цезарь|Юлию Цезарю]] приписывают изобретение около 50 года до н. э. [[Шифр Цезаря|шифра Цезаря]], который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены{{sfn|Светоний Транквилл|1964}}. Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных [[шкатулка]]х{{sfn|Сингх|2009}}.
* [[целостность]] ({{lang-en2|integrity}}) — гарантия существования информации в исходном виде;
* [[доступность]] ({{lang-en2|availability}}) — возможность получения информации авторизованным пользователем в нужное для него время.


C [[История почты|развитием почты]] стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в [[Англия|Англии]] для этих целей в 1653 году появилась Тайная канцелярия ({{lang-en|Secret Office}}){{sfn|Johnson|1998}}. В [[Россия|России]] [[перлюстрация]] осуществлялась, по крайней мере, со времен [[Пётр I|Петра I]] — с 1690 года в [[Смоленск]]е вскрывались все письма, идущие за границу. Системный характер практика тайного копирования корреспонденции почти всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века — появились так называемые «чёрные кабинеты»{{sfn|Измозик|2015}}. После вскрытия требовалось провести [[криптоанализ]] сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился [[Гольдбах, Христиан|Христиан Гольдбах]], сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В отдельных случаях после успешного дешифрования письма осуществлялась подмена его содержимого — некоторое подобие атаки «[[человек посередине]]»{{sfn|Соболева|2002}}.
Выделяют и другие категории модели безопасности:


В начале XIX века в России с приходом к власти [[Александр I|Александра I]] вся криптографическая деятельность переходит в ведение Канцелярии [[Министерство иностранных дел Российской империи|министерства иностранных дел]]. С 1803 года на службе этого ведомства находился выдающийся российский ученый [[Шиллинг, Павел Львович|Павел Львович Шиллинг]]. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки [[Наполеон I|Наполеона I]] во время [[Отечественная война 1812 года|Отечественной войны 1812 года]]{{sfn|Токарева|2012|с=82—107}}{{sfn|Носов|2002}}. В середине XIX века появились более сложные [[Классификация секретной информации в России|системы классификации секретной информации]], позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией {{iw|Закон о государственной тайне (1889)|Закона о государственной тайне|en|Official Secrets Act 1889}}{{sfn|Hastedt|2011|p=589—590}}.
* [[аутентичность]] — возможность установления автора информации;
* [[апеллируемость]] — возможность доказать, что автором является именно заявленный человек, и никто другой.


Во время [[Первая мировая война|Первой мировой войны]] многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа. Так к концу 1914 года была сформирована одна из секций [[Британское Адмиралтейство|Британского Адмиралтейства]] — «[[комната 40]]», — которая стала ведущим криптографическим органом Великобритании. 26 августа 1914 года лёгкий немецкий крейсер «[[SMS Magdeburg (1911)|Магдебург]]» сел на камни у острова [[Осмуссаар|Оденсхольм]] в устье [[Финский залив|Финского залива]], принадлежавшего тогда Российской Империи. Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника. С конца ноября 1914 года «комната 40» начала регулярную дешифровку радиограмм германского флота, которыми передавались практически все приказы и распоряжения{{Книга:Staff_Battle_7_Seas|86|2}}. Впервые данные расшифровки попытались использовать во время [[Набег на Хартлпул, Скарборо и Уитби|вылазки германского флота]] к британским берегам 16 декабря 1914 года{{sfn|Ежов|2007}}.
== Обеспечение информационной безопасности ==


В [[межвоенный период]] системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать [[Шифратор (криптография)|специальные машины]], из которых наиболее известной является «[[Энигма]]», созданная немецкими инженерами в 1920-х годах. Уже в 1932 году [[Бюро шифров]] польской разведки удалось взломать шифр «Энигмы» методом [[Обратная разработка|обратной разработки]]{{sfn|Сингх|2009|с=30}}.
=== При использовании ===


Объём информации, которой обменивались страны [[Антигитлеровская коалиция|антигитлеровской коалиции]] в ходе [[Вторая мировая война|Второй мировой войны]] потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ. Воюющими сторонами были разработаны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну. Например, экипаж [[Кригсмарине|немецкой]] [[Подводная лодка|подводной лодки]] {{iw|HMS Graph|U-570|en|HMS Graph}} не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам{{sfn|Sebag–Montefiore|2011|p=162}}. Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась [[вермахт]]ом и другими службами [[Нацистская Германия|нацистской Германии]]. В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством [[Тьюринг, Алан|Алана Тьюринга]]. Разработанная ими дешифровальная машина «[[Turing Bombe]]» ({{tr|бомба Тьюринга}}), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников{{sfn|Сингх|2009|с=35}}. В [[Соединённые Штаты Америки|США]] для шифрования радиопереговоров на [[Тихоокеанский театр военных действий Второй мировой войны|Тихоокеанском театре военных действий]] набирали связистов из индейского племени [[Навахо (народ)|Навахо]], [[Навахо (язык)|язык которого]] за пределами США никто не знал{{sfn|Жельников|1996}}. Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации{{sfn|Сингх|2009|с=191—201}}. В [[Союз Советских Социалистических Республик|СССР]] с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания (в том числе, [[Ставка Верховного Главнокомандования|Ставки Верховного Главнокомандования]]) использовалась так называемая [[ВЧ-связь]], основанная на голосовой [[Амплитудная модуляция|модуляции]] высокочастотных сигналов и последующего их [[Скремблер|скремблирования]]. Однако отсутствие криптографической защиты позволяло, используя [[спектрометр]], восстанавливать сообщения в перехваченном сигнале{{sfn|Анин|2000|с=67—70}}.
Модели управления доступом, для обеспечения конфиденциальности, целостности и доступности:
* [[Мандатное управление доступом]]
* [[Избирательное управление доступом]]
* [[Управление доступом на основе ролей]]


Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной [[Малое предпринимательство|малому бизнесу]] и домашним пользователям. Очень быстро компьютеры были объединены [[Интернет]]ом, что привело к взрывному росту [[Электронный бизнес|электронного бизнеса]]. Всё это, в сочетании с появлением киберпреступности и множеством случаев [[Международный терроризм|международного терроризма]], вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Возникли научные дисциплины, такие, как, «[[Компьютерная безопасность]]» и {{iw|Методы защиты информации|«Методы защиты информации»|en|Information assurance}}{{ref+|В России они объединены в научную специализацию «05.13.19 Методы и системы защиты информации, информационная безопасность», которая однако не включает себя исследования в области [[Криптография|криптографии]], алгоритмов и методов криптографической защиты информации{{sfn|ВАК}}.|К}} и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем{{sfn|De Nardis|2007|pp=681–704}}.
Обеспечение безопасности при передаче:
* [[Шифрование]]


== Основные определения ==
Средства [[авторизация|авторизации]] и [[аутентификация|аутентификации]]:
'''''Защищаемая информация''''' — информация, подлежащая защите в соответствии с требованиями нормативных правовых актов или требованиями, устанавливаемыми обладателем информации<ref name="Защита информации 1-2015"/>.
* [[Пароль]]
* [[Ключ]]
* [[Биометрия]]


'''''Обладатель информации''''' — лицо, самостоятельно создавшее информацию либо получившее на основании закона или [[договор]]а право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателями информации могут быть: [[государство]], [[юридическое лицо]], группа физических лиц, отдельное [[физическое лицо]]<ref name="Защита информации 1-2015">{{статья|автор=Хорев А. А.|заглавие=Организация защиты конфиденциальной информации в коммерческой структуре|ссылка=http://www.inside-zi.ru/pages/1_2015/|язык=ru|издание=[[Защита информации. Инсайд]]|тип=журнал|год=2015|месяц=|число=|том=|номер=1|страницы=14—17|doi=|issn=2413-3582|archivedate=2021-06-29|archiveurl=https://web.archive.org/web/20210629121541/http://www.inside-zi.ru/pages/1_2015/}}</ref>.
Средства обеспечения апеллируемости:
* [[Журналирование]] (так же называется [[Аудит]])


'''''Безопасность информации''''' — такое состояние защищенности информации, при котором обеспечены её [[конфиденциальность]], [[Целостность информации|целостность]] и [[Доступность информации|доступность]]<ref name="Защита информации 1-2015"/>.
Средства обеспечения аутентичности:
* [[Подпись]]
* [[Цифровая подпись]]
* [[Печать (оттиск)]]


'''''Организация защиты информации''''' — совокупность действий, направленных на выявление угроз безопасности информации, планирование, реализацию мероприятий по защите информации и контроль состояния защиты информации<ref name="Защита информации 1-2015"/>.
=== Службы обеспечения [[безопасность|безопасности]] ===


'''''Система защиты информации''''' — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации<ref name="Защита информации 1-2015"/>.
Уровня предприятия
* [[Охрана]]
* [[Служба безопасности]]
* [[Пропускной режим]]


'''''Политика безопасности информации''''' в организации — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности<ref name="Защита информации 1-2015"/>.
Уровня государства:
* [[АНБ]]
* [[КГБ]]


=== «Информационная безопасность» в различных источниках ===
== Стандарты в области информационной безопасности ==
<!-- [[Файл:CIAJMK1209.png|мини|'''Характеристики информационной безопасности''': конфиденциальность, доступность и целостность. Три компонента информационных систем: средства связи, аппаратное и программное обеспечение служат, в соответствии с принятыми индустриальными стандартами, обеспечению информационной безопасности на трёх уровнях: физическом, персональном и организационном. Или иными словами, процедуры и политики внедряются для того, чтобы разъяснить администраторам и пользователям, как использовать продукты, чтобы обеспечить информационную безопасность в организации{{sfn|Cherdantseva|2013}}.]]-->
* [[BS 7799-1|BS 7799-1:2005]] — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения ''системы управления информационной безопасностью'' ([[СМИБ|СУИБ]]) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
Ниже приведены определения термина «информационная безопасность» из различных источников:
* [[BS 7799-2|BS 7799-2:2005]] — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
* Сохранение [[#Конфиденциальность|конфиденциальности]], [[#Целостности|целостности]] и [[#Доступность|доступности]] информации. Примечание: также сюда могут быть включены другие свойства, такие как {{comment|подлинность|Свойство, гарантирующее, что субъект или ресурс идентичен заявленному}}, {{comment|подотчетность|Ответственность субъекта за его действия и решения}}, {{comment|неотказуемость|Способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение}} ({{lang-en|non-repudiation}}) и {{comment|достоверность|Свойство соответствия предусмотренному поведению и результатам}}{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=1—3}}.
* [[BS 7799-3|BS 7799-3:2006]] — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
* Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности{{sfn|NIST IR 7298 r2|2013|pp=94—95}}.
* [[ISO/IEC 17799|ISO/IEC 17799:2005]] — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
* Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям (конфиденциальность), противоправного изменения (целостность) и недоступности, когда она необходима (доступность){{sfn|ISACA}}.
* [[ISO 27000|ISO/IEC 27000]] — Словарь и определения.
* Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности (технических, организационных, человекоориентированных, юридических) с целью предохранения информации от угроз повсюду, где бы она ни находилась (как внутри периметра организации, так и за его пределами) и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается. Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость{{sfn|Cherdantseva|2013}}.
* [[ISO/IEC 27001:2005]] — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
* [[ISO/IEC 27002]] — Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год.
* [[ISO/IEC 27005]] — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
* [[ГОСТ Р 50922-96]] — Защита информации. Основные термины и определения.
* [[Р 50.1.053-2005]] — Информационные технологии. Основные термины и определения в области технической защиты информации.
* [[ГОСТ Р 51188—98]] — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
* [[ГОСТ Р 51275-99]] — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
* [[ГОСТ Р ИСО/МЭК 15408-1-2002]] — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
* [[ГОСТ Р ИСО/МЭК 15408-2-2002]] — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
* [[ГОСТ Р ИСО/МЭК 15408-3-2002]] — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
* [[ГОСТ Р ИСО/МЭК 15408]] — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
* [[ГОСТ Р ИСО/МЭК 17799]] — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
* [[ГОСТ Р ИСО/МЭК 27001]] — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
* [[ГОСТ Р 51898-2002]] — Аспекты безопасности. Правила включения в стандарты.
* German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).


== Ключевые принципы ==
== См. также ==
[[Файл:C-I-A diagram-ru.svg|справа|мини|Триада CIA.]]
* [[Общие критерии оценки безопасности информационных технологий]]
В 1975 году {{iw|Зальцер, Джерри|Джерри Зальцер|en|Jerry Saltzer}} и [[Шрёдер, Майкл|Майкл Шрёдер]] в статье «Защита информации в компьютерных системах»{{sfn|Saltzer & Schroeder|1975}} впервые предложили разделить нарушения безопасности на три основных категории: ''неавторизованное раскрытие информации'' ({{lang-en|unauthorized information release}}), ''неавторизованное изменение информации'' ({{lang-en|Unauthorized information modification}}) и ''неавторизованный отказ в доступе'' ({{lang-en|Unauthorized denial of use}}) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:
* [[Информационная безопасность Украины]]
: {{tr|s='''C'''onfidentiality|[[#Конфиденциальность|конфиденциальность]]}} — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=2}};
* [[Международный день защиты информации]]
: {{tr|s='''I'''ntegrity|[[#Целостность|целостность]]}} — свойство сохранения правильности и полноты активов{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=3}};
: {{tr|s='''A'''vailability|[[#Доступность|доступность]]}} — свойство информации быть доступной и готовой к использованию по запросу авторизованного субъекта, имеющего на это право{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=2}}.
В совокупности эти три ключевых принципа информационной безопасности именуются '''триадой CIA'''{{sfn|Лукацкий|2012}}.

В 1992 году [[Организация экономического сотрудничества и развития|ОЭСР]] опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: ''осведомлённость'', ''ответственность'', ''противодействие'', ''этика'', ''демократия'', ''оценка риска'', ''разработка и внедрение безопасности'', ''управление безопасностью'', ''пересмотр''{{sfn|OECD|2002|pp=9—12}}{{ref+|В 2015 году они были заменены восемью новыми: ''осведомлённость, навыки и полномочия''; ''ответственность''; ''права человека и фундаментальные ценности''; ''сотрудничество''; ''цикл оценки и работы с рисками''; ''меры безопасности''; ''инновация''; ''обеспечение готовности и непрерывности''{{sfn|OECD|2015|pp=9—11}}.|К}}. В 1996 году на основе публикации ОЭСР 1992 года американский [[Национальный институт стандартов и технологий]] (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами», «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированы», а «владельцы систем несут ответственность за безопасность за пределами своей организации»{{sfn|NIST SP 800-14|1996|pp=4—10}}. На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии{{sfn|NIST SP 800-160v1|2016|p=205}}.

В 1998 году {{iw|Паркер, Донн|Донн Паркер|en|Donn B. Parker}} дополнил классическую триаду CIA ещё тремя аспектами: ''владение или контроль'' ({{lang-en|Possession or Control}}), ''аутентичность'' ({{lang-en|Authenticity}}) и ''полезность'' ({{lang-en|Utility}}){{sfn|Parker|1998}}. Достоинства этой модели, получившей название {{iw|Паркеровская гексада||en|Parkerian Hexad}} (от {{tr|s=hexad|группа из шести предметов}}), являются предметом дискуссий среди специалистов по информационной безопасности{{sfn|Slade}}.

В 2009 году [[министерство обороны США]] опубликовало «Три основополагающих принципа компьютерной безопасности»: ''подверженность системы [риску]'' ({{lang-en|System Susceptibility}}), ''доступность уязвимости'' ({{lang-en|Access to the Flaw}}) и ''способность эксплуатировать уязвимость'' ({{lang-en|Capability to Exploit the Flaw}}){{sfn|Hughes & Cybenko|2013}}{{sfn|TENS}}{{sfn|Teplow}}.

В 2011 году международный консорциум [[The Open Group]] опубликовал стандарт управления информационной безопасностью {{iw|O-ISM3||en|Open Information Security Maturity Model}}, в котором отказался от концептуального определения компонентов классической триады CIA в пользу их [[Операциональное определение|операционального определения]]. Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор ''целей безопасности'', относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: ''приоритетные цели безопасности'' (конфиденциальность), ''долгосрочные цели безопасности'' (целостность), ''цели качества информации'' (целостность), ''цели контроля доступа'' (доступность) и ''технические цели безопасности''. {{sfn|O-ISM3v2|2017}}.

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе{{sfn|Лукацкий|2012}}. Она зафиксирована в национальных{{sfn|NIST IR 7298 r2|2013|pp=94—95}} и международных стандартах{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=1—3}} и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как [[Certified Information System Security Professional|CISSP]]{{sfn|Gordon|2015|p=8}} и {{iw|Certified Information Security Manager|CISM|en|ISACA}}{{sfn|Krutz & Vines|2003|loc=Chapter 1, p. 1}}. Некоторые российские авторы используют [[Калька (лингвистика)|кальку]] с него — «триада '''КЦД'''»{{sfn|Лукацкий|2012}}. В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как ''принципы'', ''атрибуты безопасности'', ''свойства'', ''фундаментальные аспекты'', ''информационные критерии'', ''важнейшие характеристики'' или ''базовые структурные элементы''{{sfn|Samonas|2014|pp=21–45}}.

Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов{{sfn|Samonas|2014|pp=21–45}}. Некоторые из них уже включены в стандарты [[Международная организация по стандартизации|Международной организации по стандартизации]] (ISO):
* ''[[аутентичность|подлинность]]'' ({{lang-en|authenticity}}) — свойство, гарантирующее, что субъект или ресурс идентичны заявленному;
* ''{{iw|Подотчётность|подотчётность|en|Accountability}}'' ({{lang-en|accountability}}) — ответственность субъекта за его действия и решения;
* ''{{iw|Невозможность отказа|невозможность отказа|en|Non-repudiation}}'' ({{lang-en|non-repudiation}}{{ref+|В [[ISO 27000|ГОСТ Р ИСО/МЭК 27000-2012]] термин ''non-repudiation'' переведён с английского языка [[Окказионализм (филология)|окказионализмом]] ''неотказуемость''{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=3}}.|К}}) — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;
* ''[[достоверность]]'' ({{lang-en|reliability}}) — свойство соответствия предусмотренному поведению и результатам{{sfn|ГОСТ Р ИСО/МЭК 27000-2012|c=1—3}}.

=== Конфиденциальность ===
{{основная статья|Конфиденциальность}}
Конфиденциальность информации достигается предоставлением к ней доступа c [[Принцип минимальных привилегий|наименьшими привилегиями]] исходя из {{iw|Принцип минимальной необходимой осведомлённости|принципа минимальной необходимой осведомлённости|en|Need to know}} ({{lang-en|need-to-know}}). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к [[Коммерческая тайна|строго конфиденциальной]], или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности{{sfn|Gordon|2015|p=7}}.

=== Целостность ===
{{основная статья|Целостность информации}}
Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и [[Логическая бомба|логические бомбы]], ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, [[бэкдор]]ы и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами{{sfn|Gordon|2015|p=7}}{{sfn|Stewart|2015|p=5}}.

Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип {{iw|Разграничение обязанностей|разграничения полномочий|en|Separation of duties}}, согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое. Кроме того, любые изменения в ходе [[Жизненный цикл программного обеспечения|жизненного цикла информационных системы]] должны быть согласованны, [[Тестирование программного обеспечения|протестированы]] на предмет обеспечения информационной целостности и внесены в систему только корректно сформированными [[Транзакция (информатика)|транзакциями]]. Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированы{{sfn|Gordon|2015|p=7}}{{sfn|Stewart|2015|p=5}}.

=== Доступность ===
{{основная статья|Доступность информации}}
Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются [[DoS-атака|DoS-атаки]] ([[аббревиатура]] от {{tr|lang=en|s=Denial of Service|отказ в обслуживании}}), атаки программ-вымогателей, [[саботаж]]. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программами, уничтожения данных, проникновения извне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей{{sfn|Gordon|2015|p=7—8}}.

=== Невозможность отказа ===
Термин «невозможность отказа» ({{lang-en|Non-Repudiation}}, иногда употребляется слитно — ''Nonrepudiation'') впервые появился в 1988 году в международном стандарте «Безопасность взаимосвязи открытых систем» (ISO 7498-2). Обычно понимается, как противоположный по смыслу термину [[Англосаксонская правовая семья|англо-саксонского права]] {{tr|lang=en|s=Repudiation|отказ, отрицание}}, имеющего два основных толкования. С одной стороны, он означает фундаментальное право стороны отказаться от исполнения обязательств по сделке на законных основаниях{{sfn|McCarthy|2006|p=65}}, если, например, подпись на бумажном документе была подделана, либо оригинальная подпись была полученная незаконным путём (в результате мошенничества). При этом бремя доказательства подлинности подписи лежит на той стороне, которая на неё полагается{{sfn|McCullagh & Caelli|2000}}. Другая интерпретация — неправомерный отказ от обязательств. В контексте компьютерной безопасности это может быть, например, отрицание одной из сторон факта отправки, приёма, авторства, либо содержания электронного сообщения. В контексте информационной безопасности «невозможность отказа» понимается как подтверждение целостности и оригинального происхождения данных, исключающее возможность подделки, которое может быть в любой момент проверено сторонними лицами, либо как установление идентичности (личности, документа, объекта), которое с высокой степенью достоверности может считаться подлинным и не может быть опровергнуто{{sfn|McCullagh & Caelli|2000}}.

== Организационно-технические и режимные меры и методы ==
Для описания технологии защиты информации конкретной [[информационная система|информационной системы]] обычно строится так называемая ''Политика информационной безопасности'' или [[Политика безопасности]] рассматриваемой [[информационная система|информационной системы]].

Политика безопасности (информации в организации) ({{lang-en|Organizational security policy}})<!--<ref name=autogenerated1 />--> — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий ({{lang-en|ІСТ security policy}})<!--<ref name="g13335-1-2006"/>--> — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты [[информационная система|информационной системы]]<ref name="Домарев">Домарев В. В. {{cite web |author = |url = http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1221 |title = Безопасность информационных технологий. Системный подход |lang=ru|website = www.security.ukrnet.net |date = |accessdate = 2013-05-10 |archiveurl = https://web.archive.org/web/20130510182211/http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=1221 |archivedate = 2013-05-10 |deadlink = yes }} — К.: ООО ТИД Диа Софт, 2004. — 992 с.</ref>:
* [[Защита объектов информационной системы]];
* Защита процессов, процедур и [[компьютерная программа|программ]] обработки информации;
* Защита [[Канал связи|каналов связи]] ([[Акустическая информация|акустические]], инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
* Подавление побочных электромагнитных излучений;
* Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
# Определение информационных и технических ресурсов, подлежащих защите;
# Выявление полного множества потенциально возможных угроз и [[Каналы утечки информации|каналов утечки информации]];
# Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
# Определение требований к системе защиты;
# Осуществление выбора средств защиты информации и их характеристик;
# Внедрение и организация использования выбранных мер, способов и средств защиты;
# Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на [[информационная система|информационную систему]]. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, [[Контент-фильтр|Контентная фильтрация]] и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

== Программно-аппаратные средства системы обеспечения информационной безопасности ==
В литературе предлагается следующая классификация средств защиты информации<ref name="Домарев"/>.

* Средства защиты от [[Несанкционированный доступ к информации|несанкционированного доступа]]:
** [[авторизация|Средства авторизации]];
** [[Мандатное управление доступом]]<ref>{{cite web |author = |url = http://www.compress.ru/article.aspx?id=10099&iid=419 |title = Информационная безопасность в современных системах управления базами данных |lang = ru |website = www.compress.ru |date = |accessdate = 2019-01-13 |deadlink = no |archive-date = 2019-05-07 |archive-url = https://web.archive.org/web/20190507152359/https://compress.ru/article.aspx%3Fid%3D10099%26iid%3D419 }}</ref>;
** [[Избирательное управление доступом]];
** [[Управление доступом на основе ролей]];
** Журналирование (также называется [[Аудит]]).
* Системы анализа и моделирования информационных потоков ([[CASE]]-системы).
* Системы мониторинга сетей:
** [[Система обнаружения вторжений|Системы обнаружения и предотвращения вторжений]] (IDS/IPS).
** Системы [[Предотвращение утечек|предотвращения утечек]] конфиденциальной информации (DLP-системы<ref>{{Cite web|url=https://securitymedia.org/analytics/rossijskij-rynok-dlp-sistem-obzor-populyarnyh-reshenij.html|title=Российский рынок DLP-систем: обзор популярных решений|lang=ru|website=securitymedia.org|date=2022-10-27|access-date=2023-10-15|archive-date=2023-10-04|archive-url=https://web.archive.org/web/20231004034834/https://securitymedia.org/analytics/rossijskij-rynok-dlp-sistem-obzor-populyarnyh-reshenij.html|url-status=live}}</ref><ref>{{Cite web|url=https://www.rbc.ru/technology_and_media/03/06/2022/6298a3e99a7947ab77757a50|title=В России вырос спрос на системы против утечек данных из организаций|lang=ru|website=РБК|date=2022-06-03|access-date=2023-10-15|archive-date=2023-05-14|archive-url=https://web.archive.org/web/20230514051629/https://www.rbc.ru/technology_and_media/03/06/2022/6298a3e99a7947ab77757a50|url-status=live}}</ref>).
* [[:Категория:Анализаторы трафика|Анализаторы протоколов]].
* [[:Категория:Антивирусы|Антивирусные средства]].
* [[:Категория:Межсетевые экраны|Межсетевые экраны]].
* [[:Категория:Криптография|Криптографические средства]]:
** [[Шифрование]];
** [[Цифровая подпись]].
* [[Резервное копирование|Системы резервного копирования]].
* Системы бесперебойного питания:
** [[Источник бесперебойного питания|Источники бесперебойного питания]];
** Резервирование нагрузки;
** [[Электрический генератор|Генераторы напряжения]].
* [[:Категория:Аутентификация|Системы аутентификации]]:
** [[Пароль]];
** [[Ключ доступа|Ключ доступа (физический или электронный)]];
** [[Сертификат (криптография)|Сертификат]];
** [[Биометрия]].
* Средства предотвращения взлома корпусов и краж оборудования.
* [[Система контроля и управления доступом|Средства контроля доступа в помещения]].
* Инструментальные средства анализа систем защиты:
** [[Антивирус]].<!--
== Способы защиты от компьютерных злоумышленников ==
* Информационная безопасность это прежде всего защита сети от различного вида атак. Существует ряд простых средств с помощью которых можно остановить попытки проникновения в сеть, к ним относятся:
*# Оперативная установка исправлений для программ, работающих в интернете.
*# Антивирусные программы по обнаружению различного рода взломов и вирусов незаменимы для повышения безопасности любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы.
*# Следует использовать наиболее надёжные пароли, менять их как можно чаще и чтобы их длина была максимальной. Это может предотвратить кражу секретной и не секретной информации.
*# Соединения с удаленными машинами (компьютерами) должны быть защищены с помощью паролей, чтобы избежать проникновения в сеть с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей.
*# При установке новой операционной системы обычно разрешаются все сетевые средства, что является не безопасным. Кроме вышеперечисленных средств защиты информации, существует ещё множество способов предотвращения взломов и краж информации. Для избегания неприятных ситуаций необходимо изучать рекомендации по безопасности и придерживаться необходимых средств защиты.-->

== Организационная защита объектов информатизации ==
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
* организацию охраны, режима, работу с кадрами, с документами;
* использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности<ref>{{cite web |author = |url = http://inforsec.ru/business-security/org-security/85-paper-sec-practice-sec |title = Организационная безопасность на предприятии: бумажная и практическая безопасность |lang = ru |website = inforsec.ru |date = |accessdate = 2019-01-13 |deadlink = no |archive-date = 2014-04-25 |archive-url = https://web.archive.org/web/20140425010827/http://inforsec.ru/business-security/org-security/85-paper-sec-practice-sec }}</ref>.
К основным организационным мероприятиям можно отнести:
* организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
* организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
* организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
* организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
* организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
* организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

== Информационная безопасность предприятия ==
Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, [[аутентичность]] и доступность.

Задачи систем информационной безопасности предприятия различны:
* обеспечение защищённого хранения информации на носителях;
* защита данных, передаваемых по каналам связи;
* создание резервных копий, послеаварийное восстановление и т. д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично<ref>Русинов С. Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры: http://www.itsec.ru/articles2/Inf_security/infosec-torg {{Wayback|url=http://www.itsec.ru/articles2/Inf_security/infosec-torg |date=20160404155831 }}</ref>.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее<ref>Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации 3-е изд. Учеб. Пособие для студ. высш. учеб. заведений/В. П. Мельников, С. А. Клейменов, А. М. Петраков.-М.:2008. — 336 с.</ref>.

Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:
# оценка стоимости;
# разработка [[Политика безопасности|политики безопасности;]]
# реализация политики;
# квалифицированная подготовка специалистов;
# аудит.

С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности:
* определить ценность информационных активов;
* определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
* определить существующие уязвимые места в практической деятельности организации;
* установить риски организации в отношении информационных активов;
* предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
* обеспечить базу для создания проекта обеспечения безопасности.

Пять основных видов оценки:
* Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
* Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
* Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
* Аудит. Исследована существующая политика и соответствие организации этой политике.
* Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.

При проведении оценки должны быть исследованы такие документы, как:
* политика безопасности;
* информационная политика;
* политика и процедуры резервного копирования;
* справочное руководство работника или инструкции;
* процедуры найма-увольнения работников;
* методология разработки программного обеспечения;
* методология смены программного обеспечения;
* телекоммуникационные политики;
* диаграммы сети.

Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.

После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.

Необходимо разработать следующие политики и процедуры:
* [[Государственная информационная политика|Информационная политика]]. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
* Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
* Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
* Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
* Процедуры управления учётными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
* План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.

При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.

Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.

[[Аудит]] — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала<ref>Обеспечение информационной безопасности: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html {{Wayback|url=http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html |date=20160407153803 }}.</ref>.

{{Навигация
|Викиучебник = Защита конфиденциальных данных и анонимность в интернете
}}

== Примечания ==
'''Комментарии'''
{{примечания|group=К|35em}}

'''Источники'''
{{примечания|узкие}}

== Литература ==
{{refbegin|35em}}
<!-- * ''Бармен Скотт''. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
* ''Галатенко В. А.'' Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
* ''Галицкий А. В., Рябко С. Д., Шаньгин В. Ф.'' Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0.
* {{книга|автор={{nobr|Гафнер В. В.}}|заглавие=Информационная безопасность: учеб. пособие|ссылка=http://xn----7sbabeyocb2bkdagddhcqh9acx1a8cxksc.xn--80afh5aqv.xn--p1ai/|accessdate=2015-12-15|место=Ростов на Дону|издательство=Феникс|год=2010|страниц=324|isbn=978-5-222-17389-3}}
* ''Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В.'' Информационная безопасность открытых систем. В 2-х томах
** Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
** Том 2. — Средства защиты в сетях. — М.: Горячая линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.
* ''Лепехин А. Н.'' Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
* ''Лопатин В. Н.'' Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
* ''Малюк А. А.'' Теория защиты информации. — М.:Горячая линия — Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6.
* ''Родичев Ю.'' Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
* ''Петренко С. А., Курбатов В. А.'' Политики информационной безопасности. — М.: Компания [[АйТи]], 2006. — 400 с. — ISBN 5-98453-024-4.
* ''Петренко С. А.'' Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
* ''Шаньгин В. Ф.'' Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
* ''Щербаков А. Ю.'' Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
* ''Борисов М. А.'' Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0.
* ''Жданов О. Н., Чалкин В. А.'' Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8.
* ''Борисов М. А., Заводцев И. В., Чижов И. В.'' Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3.
* ''Борисов М. А., Романов О. А.'' Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). № 2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014. — 248 с. — ISBN 978-5-9710-0837-8.
* ''Применко Э. А.'' Алгебраические основы криптографии. № 9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014. — 294 с. — ISBN 978-5-397-04457-8.
* ''Гуров С. И.'' Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.2. М.: Книжный дом «ЛИБРОКОМ», 2013. — 352 с. — ISBN 978-5-397-03899-7.
* ''Исамидинов А. Н.'' Защита коммерческой тайны в сфере трудовых отношений. № 11. М.: Книжный дом «ЛИБРОКОМ», 2014. — 120 с. — ISBN 978-5-9710-1047-0.-->
* {{публикация|книга|автор=[[Гай Светоний Транквилл]]|часть=Книга первая|заглавие=Жизнь двенадцати цезарей|оригинал=De vita XII caesarvm|оригинал язык=la|ссылка=http://www.e-reading.ws/book.php?book=57260|ответственный=перевод Гаспаров М.|место=М.|издательство=Издательство «Наука»|год=1964|страниц=374|серия=Литературные памятники|ref=Светоний Транквилл
}}
* {{публикация|книга|заглавие=[[Книга шифров]]|подзаголовок=Тайная история шифров и их расшифровки|автор=Сингх|автор имя=Саймон|автор линк=Сингх, Саймон|год=2009|издательство=Издательство «АСТ»|место=М.|страниц=448|isbn=5-17-038477-7|ref=Сингх}}
* {{публикация|книга|автор=Измозик, В. С.|заглавие=«Черные кабинеты»|место=М.|издательство=Новое литературное обозрение|год=2015|isbn=978-5-4448-0392-9|ref=Измозик|подзаголовок=история российской перлюстрации. XVIII — начало XX века}}
* {{h|Жельников|1996|{{Книга:Жельников В.:Криптография от папируса до компьютера|часть=Язык сообщения}}}}
* {{h|Анин|2000|{{Книга:Анин Б.Ю.: Радиоэлектронный шпионаж|часть=«Марфинская шаражка»}}}}
* {{публикация|статья|автор=Носов В. А.|заглавие=Краткий исторический очерк развития криптографии|ссылка=https://istina.msu.ru/publications/article/5319340/|издание=Московский университет и развитие криптографии в России, МГУ, 17-18 октября, 2002|тип=материалы конференции|год=2002|страницы=20—32|ref=Носов}}
* {{Статья|автор=Токарева Н. Н.|заглавие=Об истории криптографии в России|ссылка=http://journals.tsu.ru/pdm/&journal_page=archive&id=525&article_id=720|издание=Прикладная дискретная математика|тип=|год=2012|месяц=12|номер=4 (18)|ref=Токарева }}
* {{публикация|статья|автор=Алексей Лукацкий|заглавие=Триада \"конфиденциальность, целостность, доступность\": откуда она?|ссылка=https://www.securitylab.ru/blog/personal/Business_without_danger/24456.php|издание=[[SecurityLab.ru]]|год=2012|месяц=9|день=20|ref=Лукацкий}}
* {{публикация|книга|часть основной автор=Шушков Г. М., Сергеев И. В.|часть=Концептуальные основы информационной безопасности Российской Федерации|заглавие=Актуальные вопросы научной и научно-педагогической деятельности молодых ученых|подзаголовок=сборник научных трудов III Всероссийской заочной научно-практической конференции (23.11.2015 – 30.12.2015 г., Москва)|ответственный=под общ. ред. Е.А. Певцовой; редколл.: Е.А. Куренкова и др.|место=М.|год=2016|издательство=ИИУ МГОУ|isbn=978-5-7017-2532-2|ref=Шушков и Сергеев}}{{проверить авторитетность|1|05|2021}}
* {{публикация|статья|автор=Ежов|автор имя=М. Ю.|заглавие=Один из мифов о крейсере «Магдебург»|ссылка=http://www.august-1914.ru/ejov.html|издание=[[Вопросы истории]]|год=2007|выпуск=2|страницы=152—156|issn=0042-8779|ref=Ежов}}
* {{cite web 2|title=05.13.19 Методы и системы защиты информации, информационная безопасность|url=http://vak.ed.gov.ru/documents/10179/2327517/05.13.19+Методы%20и%20системы%20защиты%20информации,%20информационная%20.doc/7fd97eb2-ad32-440e-b6a4-311e0b55a664|website=Высшая аттестационная комиссия (ВАК)|format=DOC|ref=ВАК|accessdate=2018-07-19}}
* {{cite web 2|title=ГОСТ Р ИСО/МЭК 27000-2012|subtitle=Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология|url=http://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&month=1&year=-1&search=%D0%93%D0%9E%D0%A1%D0%A2%20%D0%A0%20%D0%98%D0%A1%D0%9E/%D0%9C%D0%AD%D0%9A%2027000-2012&RegNum=1&DocOnPageCount=15&id=175549|website=[[Федеральное агентство по техническому регулированию и метрологии|Росстандарт]]|format=PDF|ref=ГОСТ Р ИСО/МЭК 27000-2012|accessdate=2018-07-20}}

'''На иностранных языках'''
* {{публикация|книга|ссылка=https://books.google.com/books?id=9NI0AwAAQBAJ&pg=PA6|заглавие=The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice|автор=Andress, J.|издательство=Syngress|allpages=240|год=2014|isbn=9780128008126|ref=Andress}}
* {{публикация|книга|заглавие=CISSP®|подзаголовок=Certified Information Systems Security Professional Study Guide|автор=Stewart|автор имя=James Michael|автор2 имя=Mike|автор2=Chapple|автор3 имя=Darril|автор3=Gibson|издание=Seventh Edition|издательство=John Wiley & Sons, Inc.|год=2015|isbn=978-1-119-04271-6|место=Canada|язык=en|allpages=1023|ref=Stewart}}
* {{публикация|книга|автор=Moore|автор имя=Robert|заглавие=Cybercrime|подзаголовок=Investigating High Technology Computer Crime|год=2011|издательство=Anderson Publ.|место=Boston|isbn=9781437755824|язык=en|издание=2nd ed.|allpages=318|ref=Moore}}
* {{публикация|книга|часть основной автор=Ramzan, Zulfikar|часть=Phishing attacks and countermeasures|ответственный=Peter Stavroulakis, Mark Stamp|заглавие=Handbook of Information and Communication Security|язык=en|издательство=Springer Science & Business Media|год=2010|isbn=978-3-642-04117-4|ссылка часть=https://books.google.com/books?id=I-9P1EkTkigC&pg=PA433|место=L.|allpages=867|ref=Ramzan}}
* {{публикация|книга|автор имя=John|автор=Johnson|заглавие=The Evolution of British Sigint|подзаголовок=1653–1939|год=1998|издательство=Her Majesty's Stationary Office|allpages=58|язык=en|ссылка=http://a.co/9RugO7f|ref=Johnson}}
* {{публикация|книга|автор имя=Т. А.|автор=Соболева|часть=Введение|заглавие=История шифровального дела в России|ссылка=https://www.worldcat.org/oclc/50849821|место=М.|издательство=ОЛМА-Пресс|год=2002|страниц=510|isbn=5224036348|ref=Соболева}}
* {{Книга:Staff_Battle_7_Seas}}
* {{публикация|книга|сслыка=https://books.google.com/books?id=A8WoNp2vI-cC&pg=PA589|часть=Official Secrets Act (1889; New 1911; Amended 1920, 1939, 1989)|заглавие=Spies, Wiretaps, and Secret Operations|подзаголовок=An Encyclopedia of American Espionage|volume=2|ответственный=editor Hastedt, G. P.|издательство=ABC-CLIO, LLC|год=2011|isbn=978-1-85109-807-1|место=Santa Barbara, CA, USA|ref=Hastedt}}
* {{публикация|книга|заглавие=Enigma|подзаголовок=The Battle for the Code|автор=Sebag–Montefiore|автор имя=Hugh|автор линк=:en:Hugh Sebag-Montefiore|allpages=576|издательство=Orion|год=2011|isbn=9781780221236|ref=Sebag–Montefiore}}
* {{публикация|книга|автор имя=Donald L.|автор=Pipkin|заглавие=Information Security|подзаголовок=Protecting the Global Enterprise|год=2000|издательство=Prentice Hall PTR|место=N. Y.|allpages=364|язык=en|ссылка=https://books.google.com/books?id=HTtkQgAACAAJ|isbn=9780130173232|ref=Pipkin}}
* {{публикация|книга|заглавие=Official (ISC)²® Guide to the CISSP® CBK®|подзаголовок=Fourth Edition|ответственный=Adam Gordon, Editor|издательство=CRC Press|год=2015|isbn=978-1-4822-6275-9|место=Boca Raton, FL, USA|язык=en|allpages=1278|ref=Gordon}}
* {{публикация|книга|автор имя=Donn B.|автор=Parker|автор линк=:en:Donn B. Parker|заглавие=Fighting Computer Crime|подзаголовок=A New Framework for Protecting Information|год=1998|издательство=[[John Wiley & Sons]]|место=N. Y.|allpages=528|язык=en|ссылка=https://books.google.com/books?id=k_u_QgAACAAJ|isbn=0-471-16378-3|ref=Parker}}
* {{публикация|книга|автор имя=Ronald L.|автор=Krutz|автор2 имя=Russell Dean|автор2=Vines|заглавие=The CISM Prep Guide|подзаголовок=Mastering the Five Domains of Information Security Management|год=2003|издательство=[[John Wiley & Sons]]|место=N. Y.|allpages=433|язык=en|ссылка=https://books.google.com/books?id=7K_NCwAAQBAJ|isbn=0-471-45598-9|ref=Krutz & Vines}}
* {{публикация|книга|ссылка=https://books.google.com/books?id=0RfANAwOUdIC|часть=Digital Libraries|часть подзаголовок=Security and Preservation Considerations|заглавие=Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management|автор=McCarthy|автор имя=C.|ответственный=Bidgoli, H.|язык=en|издательство=John Wiley & Sons|volume=3|год=2006|isbn=9780470051214|ref=McCarthy}}
* {{публикация|статья|автор имя=Thomas|автор=Schlienger|автор2 имя=Stephanie|автор2=Teufel|заглавие=Information security culture|подзаголовок=From analysis to change|ссылка=http://icsa.cs.up.ac.za/issa/2003/Publications/025.pdf|издание=South African Computer Journal|место=Pretoria, South Africa|год=2003|ref=Schlienger|volume=31|язык=en}}
* {{публикация|статья|заглавие=The CIA Strikes Back|подзаголовок=Redefining Confidentiality, Integrity and Availability in Security|издание=Journal of Information System Security|автор=Samonas, S.|автор2=Coss, D.|volume=10|issue=3|год=2014|ссылка=http://www.jissec.org/Contents/V10/N3/V10N3-Samonas.html|ref=Samonas|язык=en|ISSN=1551-0123|издательство=Information Institute Publishing|место=Washington DC, USA}}
* {{h|Jacques|2016|{{cite web 2|url=http://www.fulcrumapp.com/blog/cost-of-paper/|title=The True Costs of Paper-Based Business |author=Jacques, R. J. |work=Fulcrum Blog|publisher=Spatial Networks, Inc||lang=en|showlang=yes|date=2016-01-13|accessdate=2018-06-27}}}}
* {{h|Pettey|2017|{{cite web 2|url=https://www.gartner.com/newsroom/id/3810771 |first=Christy|last=Pettey|title=Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are Crucial to Measuring Success |publisher=Gartner, Inc.|место=ORLANDO, FL, USA|date=2017-10-02|lang=en|showlang=yes|accessdate=2018-06-27}}}}
* {{h|Forni|2017|{{cite web 2|url=https://www.gartner.com/newsroom/id/3689017|first=Amy Ann|last=Forni|first2=Rob|last2=van der Meulen|title=Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation|publisher=Gartner, Inc.|место=Egham, U.K.|date=2017-04-24|lang=en|showlang=yes|accessdate=2018-06-27}}}}
* {{h|Frost & Sullivan|2017|{{cite web 2|url=https://www.isc2.org/-/media/6A274742AC67400E9ADB857885D4179F.ashx|title=2017 Global Information Security Workforce Study|subtitle=Benchmarking Workforce Capacity and Response to Cyber Risk — EMEA|website=[[(ISC)²]]|year=2017|publisher=Frost & Sullivan|allpages=8|format=PDF|lang=en|showlang=yes|accessdate=2018-06-27}}}}
* {{h|Europol|2017|{{cite web 2|url=https://www.europol.europa.eu/newsroom/news/crime-in-age-of-technology-%E2%80%93-europol%E2%80%99s-serious-and-organised-crime-threat-assessment-2017|title=Crime in the age of technology|subtitle=Europol’s serious and organised crime threat assessment 2017|type=press release|date=2017-03-09|publisher=[[Европол|Europol]]|lang=en|showlang=yes|accessdate=2018-06-27}}}}
* {{h|Olavsrud|2017|{{cite web 2|url=https://www.cio.com/article/3237784/security/5-information-security-threats-that-will-dominate-2018.html|first=Thor|last=Olavsrud|title=5 information security threats that will dominate 2018||date=2017-11-20|publisher=IDG Communications, Inc.|website={{cite web|author = |url = https://www.cio.com|title = CIO.com|lang = |website = |date = |accessdate = 2019-01-13 |deadlink = no}}|lang=en|showlang=yes|accessdate=2018-06-27}}}}
* {{h|Земская|2005|{{cite web 2|url=http://gramota.ru/biblio/magazines/gramota/28_520|first=Е. А.|last=Земская|title=Особенности русской речи эмигрантов четвертой волны||date=2005-04-09|publisher=[[Грамота.ру]]|accessdate=2018-06-27}}}}
* {{публикация|статья|автор=Gordon|автор имя=Lawrence|автор2=Loeb|автор2 имя=Martin|заглавие=The Economics of Information Security Investment|издание=ACM Transactions on Information and System Security|год=2002|месяц=11|язык=en|volume=5|issue=4|ref=Gordon & Loeb|doi=10.1145/581271.581274}}
* {{публикация|статья|автор=Van der Merwe, Alta|заглавие=Characteristics and Responsibilities involved in a Phishing Attack|издание=WISICT '05 Proceedings of the 4th international symposium on Information and communication technologies|ссылка=https://dl.acm.org/citation.cfm?id=1071800|год=2005|месяц=01|день=03|ref=Van der Merwe|соавторы=Loock, Marianne, Dabrowski, Marek|pages=249—254|место=Cape Town, South Africa|isbn=1-59593-169-4|язык=en}}
* {{h|Hoofnagle|2007|{{cite web 2|url=https://papers.ssrn.com/sol3/papers.cfm?abstract_id=969441 |title=Identity Theft|subtitle=Making the Known Unknowns Known|last=Hoofnagle|first=Chris Jay|date=2007-03-13|publisher=University of California|location=Berkeley, CA, USA|website=Social Science Research Network|lang=en|showlang=yes|accessdate=2018-07-04}}}}
* {{h|Armstrong|2017|{{cite web 2|first=Drew|last=Armstrong|url=https://www.bloomberg.com/news/articles/2017-09-13/my-three-years-in-identity-theft-hell|title=My Three Years in Identity Theft Hell|publisher=Bloomberg|date=2017-09-17|archiveurl=https://web.archive.org/web/20170919142519/https://www.bloomberg.com/news/articles/2017-09-13/my-three-years-in-identity-theft-hell|archivedate=2017-09-19|lang=en|showlang=yes|accessdate=2018-07-04}}}}
* {{h|Gorodyansky|2013|{{cite web 2|first=David|last=Gorodyansky|title=Internet privacy and security|subtitle=A shared responsibility|url=https://www.wired.com/insights/2013/10/internet-privacy-and-security-a-shared-responsibility/|year=2013|month=10|publisher=|website=[[wired|wired.com]]|lang=en|showlang=yes|accessdate=2018-07-04}}}}
* {{публикация|книга|часть основной автор=Bob Blakley, Ellen McDermott, Dan Geer|часть=Information security is information risk management|заглавие=Proceedings of the 2001 workshop on New security paradigms|место=N. Y.|часть ссылка=https://dl.acm.org/citation.cfm?id=508187|год=2001|pages=97—104|издательство=ACM|isbn=1-58113-457-6|ref=Blakley, McDermott & Geer}}
* {{публикация|статья|автор=Anderson|автор имя=J. M.|год=2003|заглавие=Why we need a new definition of information security|издание=Computers & Security|volume=22|issue=4|pages=308–313|doi=10.1016/S0167-4048(03)00407-3|ref=Anderson}}
* {{публикация|статья|автор=Venter|автор имя=H. S.|автор2=Eloff|автор2 имя=J. H. P.|год=2003|заглавие=A taxonomy for information security technologies|издание=Computers & Security|volume=22|issue=4|pages=299–307|doi=10.1016/S0167-4048(03)00406-1|ref=Venter & Eloff}}
* {{публикация|книга|часть=Chapter 24|часть подзаголовок=A History of Internet Security|заглавие=The History of Information Security|подзаголовок=A Comprehensive Handbook|часть основной автор=De Nardis, L.|ответственный=edited by de Leeuw, K. M. M. and Bergstra, J.|издательство=Elsevier|год=2007|isbn=9780080550589|ref=De Nardis}}
* {{публикация|книга|автор=Cherdantseva|автор имя=Y.|автор2=Hilton|автор2 имя=J.|часть=Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals|заглавие=Organizational, Legal, and Technological Dimensions of Information System Administrator|ответственный=Almeida F., Portela, I. (eds.)|издательство=IGI Global Publishing|год=2013|ref=Cherdantseva}}
* {{публикация|статья|автор=Saltzer|автор имя=H. Saltzer|автор линк=:en:Jerry Saltzer|автор2=Schroeder|автор2 имя=Michael D.|автор2 линк=:en:Michael Schroeder|заглавие=The Protection of Information in Computer Systems|издание=Proceedings of the IEEE|издательство=[[Институт инженеров электротехники и электроники|IEEE]]|ссылка=https://www.acsac.org/secshelf/papers/protection_information.pdf|год=1975|месяц=09|issue=09|volume=63|ref=Saltzer & Schroeder|pages=1278—1308|место=USA|issn=1558-2256|язык=en}}
* {{публикация|статья|автор=Hughes|автор имя=J.|автор2=Cybenko|автор2 имя=G.|заглавие=Quantitative Metrics and Risk Assessment|подзаголовок=The Three Tenets Model of Cybersecurity|издание=Technology Innovation Management Review|издательство=Talent First Network (Carleton University)|ссылка=https://www.acsac.org/secshelf/papers/protection_information.pdf|год=2013|месяц=08|pages=15—24|место=Ottawa, Canada|issn=1927-0321|язык=en|ref=Hughes & Cybenko}}
* {{публикация|статья|автор= McCullagh|автор имя=Adrian|автор2=Caelli|автор2 имя=William|заглавие=Non-Repudiation in the Digital Environment|издание=Technology Innovation Management Review|издательство=First Monday|ссылка=http://firstmonday.org/ojs/index.php/fm/article/view/778/687|volume=8|issue=8|год=2000|месяц=08|место=Chicago, USA|issn=1396-0466|язык=en|ref=McCullagh & Caelli}}
* {{публикация|книга|заглавие=NIST Interagency or Internal Report 7298|подзаголовок=Glossary of Key Information Security Terms|ссылка=https://dx.doi.org/10.6028/NIST.IR.7298r2|ответственный=Richard L. Kissel, editor, Computer Security Division, Information Technology Laboratory|место=Gaithersburg, MD, USA|издательство=[[Национальный институт стандартов и технологий|National Institute of Standards and Technology]]|год=2013|ref=NIST IR 7298 r2|язык=en|издание=Revision 2|allpages=222}}
* {{публикация|книга|заглавие=NIST Special Publication 800-14|подзаголовок=Generally Accepted Principles and Practices for Securing Information Technology Systems|ссылка=http://ws680.nist.gov/publication/get_pdf.cfm?pub_id=890092|место=Gaithersburg, MD, USA|издательство=National Institute of Standards and Technology|год=1996|ref=NIST SP 800-14|язык=en|allpages=61}}
* {{публикация|книга|заглавие=NIST Special Publication 800-160|подзаголовок=Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems|ссылка=https://doi.org/10.6028/NIST.SP.800-160v1|место=Gaithersburg, MD, USA|издательство=National Institute of Standards and Technology|год=2016|ref=NIST SP 800-160v1|язык=en|volume=1|allpages=260}}
* {{публикация|книга|заглавие=OECD Guidelines for the Security of Information Systems and Networks|подзаголовок=Towards a Culture of Security|ссылка=http://www.oecd.org/internet/ieconomy/15582260.pdf|место=P.|издательство=OECD Publications|год=2002|ref=OECD|язык=en|allpages=30}}
* {{публикация|книга|заглавие=Digital Security Risk Management for Economic and Social Prosperity|подзаголовок=OECD Recommendation and Companion Document|ссылка=http://dx.doi.org/10.1787/9789264245471-en|место=P.|издательство=OECD Publishing|год=2015|ref=OECD|язык=en|allpages=74}}
* {{публикация|книга|заглавие=Open Group Standard|подзаголовок=Open Information Security Management Maturity Model (O-ISM3), Version 2.0|год=2017|издательство=[[The Open Group]]|место= Reading, Berkshire, United Kingdom|allpages=130|язык=en|ссылка=https://publications.opengroup.org/standards/security/c17b|isbn=1-937218-98-0|ref=O-ISM3v2}}
{{refend}}


== Ссылки ==
== Ссылки ==
* {{cite web|author = |url = http://www.cnews.ru/reviews/free/security2006/index.shtml |title = Обзор. Средства защиты информации и бизнеса 2006 |lang = ru |website = www.cnews.ru |date = |accessdate = 2019-01-13 |deadlink = no}} CNews
* [http://www.femida.info/14/19002.htm Доктрина информационной безопасности Российской Федерации N ПР-1895 от 9 сентября 2000 г.]
* {{cite web |author = |url = http://www.profinfo.ru/biblio/slovar.doc |title = Словарь терминов по безопасности и криптографии |lang = ru |website = www.profinfo.ru |date = |accessdate = 2019-01-13 |deadlink = yes |archiveurl = https://web.archive.org/web/20060109185515/http://www.profinfo.ru/biblio/slovar.doc |archivedate = 2006-01-09 }} Европейский институт стандартов по электросвязи
* [http://www.iso27000.ru/standarty/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu-1/ Международные стандарты управления информационной безопасностью]
* {{cite web|author = |url = https://web.archive.org/web/20091124063027/http://www.scrf.gov.ru/documents/5.html |title = Доктрина информационной безопасности Российской Федерации |lang = |website = web.archive.org |date = |accessdate = 2019-01-13 |deadlink = no}}
* [http://just.siberia.net/50922_96.htm ГОСТ Р 50922-96. «Защита информации. Основные термины и определения».]
* {{cite web|author = |url = https://web.archive.org/web/20090604170952/http://www.agentura.ru/dossier/russia/sovbez/docs/concept/ |title = Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации |lang = |website = web.archive.org |date = |accessdate = 2019-01-13 |deadlink = no}}
* [http://www.cnews.ru/reviews/free/security2006/articles/bs/ CNews: BS 7799 — прародитель международных стандартов]
* {{h|Provos|2012|{{cite web 2|url=https://security.googleblog.com/2012/06/safe-browsing-protecting-web-users-for.html|title=Safe Browsing - Protecting Web Users for 5 Years and Counting|first=Niels|last=Provos|date=2012-06-19|accessdate=2018-07-04|website=Google Security Blog|lang=en|showlang=yes}}}}
* [http://www.cnews.ru/reviews/free/security2006/index.shtml Cnews: Обзор. Средства защиты информации и бизнеса 2006]
* {{h|Dawes|2012|{{cite web 2|title=Landing another blow against email phishing|url=https://security.googleblog.com/2012/01/landing-another-blow-against-email.html|first=Adam|last=Dawes|date=2012-01-29|accessdate=2018-07-04|website=Google Security Blog|lang=en|showlang=yes}}}}
* [http://www.racal.ru/rsp/glossary_2.htm Словарь терминов по безопасности и криптографии] Европейский институт стандартов по электросвязи.
* {{cite web 2|title=Synthetic ID Theft|url=http://www.unc.edu/~dubal/idtheft/synthetic.htm|website=Cyber Space Times|lang=en|showlang=yes|first=Uttam|last=Dubal|first2=Stu|last2=Rigot|archiveurl=https://web.archive.org/web/20151009122632/http://www.unc.edu/~dubal/idtheft/synthetic.htm|archivedate=2015-10-09|deadlink=yes|ref=Dubal|accessdate=2018-07-04}}
* [http://bugtraq.ru/library/security/secabb.html Список аббревиатур по информационной безопасности] Алексей Лукацкий.
* {{cite web 2|url=https://www.merriam-webster.com/dictionary/identity%20theft|title=Identity Theft|website=Merriam-Webster.com|publisher=[[Merriam-Webster]]|lang=en|showlang=yes|accessdate=2018-07-04|ref=Identity Theft}}
* [http://www.xml-dev.com/blog/?action=viewtopic&id=141 InfoSec Training Media Archive- Videos and Poster]
* {{cite web 2|url=https://www.isaca.org/Pages/Glossary.aspx?tid=1486&char=I|title=Glossary|subtitle=Information security|website=www.isaca.org|publisher={{iw|ISACA}}|lang=en|showlang=yes|accessdate=2018-08-21|ref=ISACA}}
* [http://www.e-nigma.ru/fz.php Федеральный закон о персональных данных N 152-ФЗ от 27 июля 2006 года]
* {{cite web 2|last=Slade|first=Rob|url=http://blog.isc2.org/isc2_blog/2008/12/cia-triad-versus-parkerian-hexad.html|title=CIA TRIAD VERSUS PARKERIAN HEXAD|website=(ICS)2 Blog|lang=en|showlang=yes|date=2008-12-15|accessdate=2018-09-07|ref=Slade}}
* [http://bezpeka.com/ru/lib/sec/art540.html Безопасность информационных технологий. Методология создания систем защиты] Валерий Домарев.
* {{cite web 2|url=https://www.tens.af.mil/threat.htm|title=The Three Tenets|website=Trusted End Node Security|publisher=[[Министерство обороны США|DOD]]|lang=en|showlang=yes|accessdate=2018-09-08|ref=TENS}}
* [http://security-zone.ru/ Стандарты защиты информации]
* {{cite web 2|last=Teplow|first=Lily|url=https://www.continuum.net/blog/are-your-clients-falling-for-these-it-security-myths-chart|title=Are Your Clients Falling for These IT Security Myths? [CHART]|website=Continuum Blog|publisher=Continuum Managed Services|location=Boston, MA, USA|lang=en|showlang=yes|date=2016-11-18|accessdate=2018-09-08|ref=Teplow}}
* [http://itsec.ru/ Журнал "Информационная безопасность"]


{{вс}}
[[Категория:Защита информации|*]]
{{Информационная безопасность}}


[[Категория:Информационная безопасность| ]]
[[de:Informationssicherheit]]
[[en:Information security]]
[[fi:Tietoturva]]
[[he:אבטחת מערכות מידע]]
[[nl:Informatiebeveiliging]]
[[no:Datasikkerhet]]
[[pt:Segurança da informação]]
[[th:การรักษาความปลอดภัยทางข้อมูล]]
[[uk:Інформаційна безпека]]
[[vi:An toàn thông tin]]
[[zh:信息安全]]

Текущая версия от 10:44, 19 декабря 2024

Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная или, например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных[1], с учётом целесообразности применения и без какого-либо ущерба производительности организации[2]. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками[3].

Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и администраторов. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура непрерывного совершенствования[англ.] не привита должным образом[4].

Общие сведения

[править | править код]

В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо компрометации в критической ситуации[5]. К таким ситуациям относятся природные, техногенные и социальные катастрофы, компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах[6], требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях[7][8], что влечёт за собой привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев — какой-либо разновидности компьютерных систем). Под компьютером в данном контексте подразумевается не только бытовой персональный компьютер, а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров, объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак, зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.

Информационная безопасность, как сфера занятости, значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры, защиты программного обеспечения и баз данных, аудит информационных систем, планирование непрерывности бизнеса, выявление электронных записей и компьютерная криминалистика[англ.] (форензика). Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Масштабные исследования, проведённые организацией (ISC)² показали, что на 2017 год 66 % руководителей информационной безопасности признали острую нехватку рабочей силы в своих подразделениях, а по прогнозам к 2022 году недостаток специалистов в этой области составит по всему миру 1 800 000 человек[9].

Угрозы и меры противодействия

[править | править код]

Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с «преступлением как услугой» (англ. Crime-as-a-Service), Интернетом вещей, цепями поставок и усложнением требований регуляторов[10]. «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим киберпреступникам[англ.][К 1]. Это позволяет последним совершать хакерские атаки, ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением[12]. Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются вовне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент защиты персональных данных (англ. General Data Protection Regulation, GDPR), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают[10].

Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей)[13], фишинга или кражи личности. Фишинг (англ. Phishing) представляет собой мошенническую попытку[К 2] завладения конфиденциальной информацией (например, учётной записью, паролем или данными кредитной карты). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт, неотличимый от оригинального сайта какой-либо организации (банка, интернет-магазина, социальной сети и т. п.)[14][15]. Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации[16], содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников[17]. Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году[18] для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощью фишинга) используются для мошенничества и совершения иных преступлений[19][20]. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия[21]. Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни[22], определение которой в различных культурах может весьма разниться[23].

Эксперты отмечают, что хуже всего защищены от кибератак госорганы[24]. Органы государственной власти, вооружённые силы, корпорации, финансовые институты, медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая модель Гордона-Лоба[англ.] описывает математический аппарат для решения этой задачи[25]. Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:

  • снижение — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз;
  • передача — перенос затрат, связанных с реализацией угроз на третьих лиц: страховые или аутсорсинговые компании;
  • принятие — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы;
  • отказ — отказ от чрезмерно рисковой деятельности[26].

С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и способов выявления попыток её фальсификации[англ.]. Например, Юлию Цезарю приписывают изобретение около 50 года до н. э. шифра Цезаря, который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены[27]. Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках[28].

C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в 1653 году появилась Тайная канцелярия (англ. Secret Office)[29]. В России перлюстрация осуществлялась, по крайней мере, со времен Петра I — с 1690 года в Смоленске вскрывались все письма, идущие за границу. Системный характер практика тайного копирования корреспонденции почти всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века — появились так называемые «чёрные кабинеты»[30]. После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Христиан Гольдбах, сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В отдельных случаях после успешного дешифрования письма осуществлялась подмена его содержимого — некоторое подобие атаки «человек посередине»[31].

В начале XIX века в России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел. С 1803 года на службе этого ведомства находился выдающийся российский ученый Павел Львович Шиллинг. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны 1812 года[32][33]. В середине XIX века появились более сложные системы классификации секретной информации, позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией Закона о государственной тайне[англ.][34].

Во время Первой мировой войны многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа. Так к концу 1914 года была сформирована одна из секций Британского Адмиралтейства — «комната 40», — которая стала ведущим криптографическим органом Великобритании. 26 августа 1914 года лёгкий немецкий крейсер «Магдебург» сел на камни у острова Оденсхольм в устье Финского залива, принадлежавшего тогда Российской Империи. Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника. С конца ноября 1914 года «комната 40» начала регулярную дешифровку радиограмм германского флота, которыми передавались практически все приказы и распоряжения[35]. Впервые данные расшифровки попытались использовать во время вылазки германского флота к британским берегам 16 декабря 1914 года[36].

В межвоенный период системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать специальные машины, из которых наиболее известной является «Энигма», созданная немецкими инженерами в 1920-х годах. Уже в 1932 году Бюро шифров польской разведки удалось взломать шифр «Энигмы» методом обратной разработки[37].

Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ. Воюющими сторонами были разработаны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки U-570[англ.] не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам[38]. Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась вермахтом и другими службами нацистской Германии. В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством Алана Тьюринга. Разработанная ими дешифровальная машина «Turing Bombe» (с англ. — «бомба Тьюринга»), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников[39]. В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо, язык которого за пределами США никто не знал[40]. Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации[41]. В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания (в том числе, Ставки Верховного Главнокомандования) использовалась так называемая ВЧ-связь, основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования. Однако отсутствие криптографической защиты позволяло, используя спектрометр, восстанавливать сообщения в перехваченном сигнале[42].

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом, что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма, вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Возникли научные дисциплины, такие, как, «Компьютерная безопасность» и «Методы защиты информации»[англ.][К 3] и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем[44].

Основные определения

[править | править код]

Защищаемая информация — информация, подлежащая защите в соответствии с требованиями нормативных правовых актов или требованиями, устанавливаемыми обладателем информации[45].

Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателями информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо[45].

Безопасность информации — такое состояние защищенности информации, при котором обеспечены её конфиденциальность, целостность и доступность[45].

Организация защиты информации — совокупность действий, направленных на выявление угроз безопасности информации, планирование, реализацию мероприятий по защите информации и контроль состояния защиты информации[45].

Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации[45].

Политика безопасности информации в организации — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности[45].

«Информационная безопасность» в различных источниках

[править | править код]

Ниже приведены определения термина «информационная безопасность» из различных источников:

  • Сохранение конфиденциальности, целостности и доступности информации. Примечание: также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, неотказуемость (англ. non-repudiation) и достоверность[46].
  • Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности[1].
  • Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям (конфиденциальность), противоправного изменения (целостность) и недоступности, когда она необходима (доступность)[47].
  • Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности (технических, организационных, человекоориентированных, юридических) с целью предохранения информации от угроз повсюду, где бы она ни находилась (как внутри периметра организации, так и за его пределами) и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается. Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость[48].

Ключевые принципы

[править | править код]
Триада CIA.

В 1975 году Джерри Зальцер[англ.] и Майкл Шрёдер в статье «Защита информации в компьютерных системах»[49] впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации (англ. unauthorized information release), неавторизованное изменение информации (англ. Unauthorized information modification) и неавторизованный отказ в доступе (англ. Unauthorized denial of use) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:

Confidentiality с англ. — «конфиденциальность» — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов[50];
Integrity с англ. — «целостность» — свойство сохранения правильности и полноты активов[51];
Availability с англ. — «доступность» — свойство информации быть доступной и готовой к использованию по запросу авторизованного субъекта, имеющего на это право[50].

В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA[52].

В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр[53][К 4]. В 1996 году на основе публикации ОЭСР 1992 года американский Национальный институт стандартов и технологий (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами», «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированы», а «владельцы систем несут ответственность за безопасность за пределами своей организации»[55]. На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии[56].

В 1998 году Донн Паркер[англ.] дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль (англ. Possession or Control), аутентичность (англ. Authenticity) и полезность (англ. Utility)[57]. Достоинства этой модели, получившей название Паркеровская гексада[англ.] (от hexad с англ. — «группа из шести предметов»), являются предметом дискуссий среди специалистов по информационной безопасности[58].

В 2009 году министерство обороны США опубликовало «Три основополагающих принципа компьютерной безопасности»: подверженность системы [риску] (англ. System Susceptibility), доступность уязвимости (англ. Access to the Flaw) и способность эксплуатировать уязвимость (англ. Capability to Exploit the Flaw)[59][60][61].

В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью O-ISM3[англ.], в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения. Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности (конфиденциальность), долгосрочные цели безопасности (целостность), цели качества информации (целостность), цели контроля доступа (доступность) и технические цели безопасности. [62].

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе[52]. Она зафиксирована в национальных[1] и международных стандартах[46] и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP[63] и CISM[англ.][64]. Некоторые российские авторы используют кальку с него — «триада КЦД»[52]. В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, атрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы[5].

Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов[5]. Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):

  • подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленному;
  • подотчётность[англ.] (англ. accountability) — ответственность субъекта за его действия и решения;
  • невозможность отказа[англ.] (англ. non-repudiation[К 5]) — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;
  • достоверность (англ. reliability) — свойство соответствия предусмотренному поведению и результатам[46].

Конфиденциальность

[править | править код]

Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости[англ.] (англ. need-to-know). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности[65].

Целостность

[править | править код]

Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и логические бомбы, ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами[65][66].

Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип разграничения полномочий[англ.], согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое. Кроме того, любые изменения в ходе жизненного цикла информационных системы должны быть согласованны, протестированы на предмет обеспечения информационной целостности и внесены в систему только корректно сформированными транзакциями. Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированы[65][66].

Доступность

[править | править код]

Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программами, уничтожения данных, проникновения извне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей[67].

Невозможность отказа

[править | править код]

Термин «невозможность отказа» (англ. Non-Repudiation, иногда употребляется слитно — Nonrepudiation) впервые появился в 1988 году в международном стандарте «Безопасность взаимосвязи открытых систем» (ISO 7498-2). Обычно понимается, как противоположный по смыслу термину англо-саксонского права Repudiation с англ. — «отказ, отрицание», имеющего два основных толкования. С одной стороны, он означает фундаментальное право стороны отказаться от исполнения обязательств по сделке на законных основаниях[68], если, например, подпись на бумажном документе была подделана, либо оригинальная подпись была полученная незаконным путём (в результате мошенничества). При этом бремя доказательства подлинности подписи лежит на той стороне, которая на неё полагается[69]. Другая интерпретация — неправомерный отказ от обязательств. В контексте компьютерной безопасности это может быть, например, отрицание одной из сторон факта отправки, приёма, авторства, либо содержания электронного сообщения. В контексте информационной безопасности «невозможность отказа» понимается как подтверждение целостности и оригинального происхождения данных, исключающее возможность подделки, которое может быть в любой момент проверено сторонними лицами, либо как установление идентичности (личности, документа, объекта), которое с высокой степенью достоверности может считаться подлинным и не может быть опровергнуто[69].

Организационно-технические и режимные меры и методы

[править | править код]

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[70]:

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  1. Определение информационных и технических ресурсов, подлежащих защите;
  2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  4. Определение требований к системе защиты;
  5. Осуществление выбора средств защиты информации и их характеристик;
  6. Внедрение и организация использования выбранных мер, способов и средств защиты;
  7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-аппаратные средства системы обеспечения информационной безопасности

[править | править код]

В литературе предлагается следующая классификация средств защиты информации[70].

Организационная защита объектов информатизации

[править | править код]

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

  • организацию охраны, режима, работу с кадрами, с документами;
  • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности[74].

К основным организационным мероприятиям можно отнести:

  • организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
  • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
  • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
  • организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
  • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
  • организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Информационная безопасность предприятия

[править | править код]

Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Задачи систем информационной безопасности предприятия различны:

  • обеспечение защищённого хранения информации на носителях;
  • защита данных, передаваемых по каналам связи;
  • создание резервных копий, послеаварийное восстановление и т. д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично[75].

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее[76].

Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:

  1. оценка стоимости;
  2. разработка политики безопасности;
  3. реализация политики;
  4. квалифицированная подготовка специалистов;
  5. аудит.

С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности:

  • определить ценность информационных активов;
  • определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
  • определить существующие уязвимые места в практической деятельности организации;
  • установить риски организации в отношении информационных активов;
  • предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
  • обеспечить базу для создания проекта обеспечения безопасности.

Пять основных видов оценки:

  • Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
  • Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
  • Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
  • Аудит. Исследована существующая политика и соответствие организации этой политике.
  • Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.

При проведении оценки должны быть исследованы такие документы, как:

  • политика безопасности;
  • информационная политика;
  • политика и процедуры резервного копирования;
  • справочное руководство работника или инструкции;
  • процедуры найма-увольнения работников;
  • методология разработки программного обеспечения;
  • методология смены программного обеспечения;
  • телекоммуникационные политики;
  • диаграммы сети.

Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.

После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.

Необходимо разработать следующие политики и процедуры:

  • Информационная политика. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
  • Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
  • Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
  • Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
  • Процедуры управления учётными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
  • План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.

При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.

Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.

Аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала[77].

Примечания

[править | править код]

Комментарии

  1. На профессиональном жаргоне информационной безопасности киберпреступников часто называют Black hat с англ. — «чёрная шляпа»[11].
  2. Российский Уголовный кодекс определяет «Мошенничество в сфере компьютерной информации», как:

    …хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей…

    ч. 6 ст. 159 УК РФ
  3. В России они объединены в научную специализацию «05.13.19 Методы и системы защиты информации, информационная безопасность», которая однако не включает себя исследования в области криптографии, алгоритмов и методов криптографической защиты информации[43].
  4. В 2015 году они были заменены восемью новыми: осведомлённость, навыки и полномочия; ответственность; права человека и фундаментальные ценности; сотрудничество; цикл оценки и работы с рисками; меры безопасности; инновация; обеспечение готовности и непрерывности[54].
  5. В ГОСТ Р ИСО/МЭК 27000-2012 термин non-repudiation переведён с английского языка окказионализмом неотказуемость[51].

Источники

  1. 1 2 3 NIST IR 7298 r2, 2013, pp. 94—95.
  2. Andress, 2014.
  3. NIST IR 7298 r2, 2013, p. 164.
  4. Schlienger, 2003, pp. 46—52.
  5. 1 2 3 Samonas, 2014, pp. 21–45.
  6. Jacques, 2016.
  7. Pettey, 2017.
  8. Forni, 2017.
  9. Frost & Sullivan, 2017, p. 2.
  10. 1 2 Olavsrud, 2017.
  11. Moore, 2011.
  12. Europol, 2017.
  13. Stewart, 2015, pp. 882–883.
  14. Ramzan, 2010, p. 433.
  15. Van der Merwe, 2005, pp. 249—254.
  16. Dawes, 2012.
  17. Provos, 2012.
  18. Identity Theft.
  19. Dubal.
  20. Hoofnagle, 2007.
  21. Armstrong, 2017.
  22. Gorodyansky, 2013.
  23. Земская, 2005.
  24. Positive Technologies: госорганы хуже всех защищены от кибератак. Коммерсантъ (15 апреля 2022). Дата обращения: 28 октября 2023. Архивировано 1 декабря 2023 года.
  25. Gordon & Loeb, 2002.
  26. Stewart, 2015, pp. 72.
  27. Светоний Транквилл, 1964.
  28. Сингх, 2009.
  29. Johnson, 1998.
  30. Измозик, 2015.
  31. Соболева, 2002.
  32. Токарева, 2012, с. 82—107.
  33. Носов, 2002.
  34. Hastedt, 2011, p. 589—590.
  35. Staff. Battle on the Seven Seas. — P. 86
  36. Ежов, 2007.
  37. Сингх, 2009, с. 30.
  38. Sebag–Montefiore, 2011, p. 162.
  39. Сингх, 2009, с. 35.
  40. Жельников, 1996.
  41. Сингх, 2009, с. 191—201.
  42. Анин, 2000, с. 67—70.
  43. ВАК.
  44. De Nardis, 2007, pp. 681–704.
  45. 1 2 3 4 5 6 Хорев А. А. Организация защиты конфиденциальной информации в коммерческой структуре // Защита информации. Инсайд : журнал. — 2015. — № 1. — С. 14—17. — ISSN 2413-3582. Архивировано 29 июня 2021 года.
  46. 1 2 3 ГОСТ Р ИСО/МЭК 27000-2012, с. 1—3.
  47. ISACA.
  48. Cherdantseva, 2013.
  49. Saltzer & Schroeder, 1975.
  50. 1 2 ГОСТ Р ИСО/МЭК 27000-2012, с. 2.
  51. 1 2 ГОСТ Р ИСО/МЭК 27000-2012, с. 3.
  52. 1 2 3 Лукацкий, 2012.
  53. OECD, 2002, pp. 9—12.
  54. OECD, 2015, pp. 9—11.
  55. NIST SP 800-14, 1996, pp. 4—10.
  56. NIST SP 800-160v1, 2016, p. 205.
  57. Parker, 1998.
  58. Slade.
  59. Hughes & Cybenko, 2013.
  60. TENS.
  61. Teplow.
  62. O-ISM3v2, 2017.
  63. Gordon, 2015, p. 8.
  64. Krutz & Vines, 2003, Chapter 1, p. 1.
  65. 1 2 3 Gordon, 2015, p. 7.
  66. 1 2 Stewart, 2015, p. 5.
  67. Gordon, 2015, p. 7—8.
  68. McCarthy, 2006, p. 65.
  69. 1 2 McCullagh & Caelli, 2000.
  70. 1 2 Домарев В. В. Безопасность информационных технологий. Системный подход. www.security.ukrnet.net. Дата обращения: 10 мая 2013. Архивировано из оригинала 10 мая 2013 года. — К.: ООО ТИД Диа Софт, 2004. — 992 с.
  71. Информационная безопасность в современных системах управления базами данных. www.compress.ru. Дата обращения: 13 января 2019. Архивировано 7 мая 2019 года.
  72. Российский рынок DLP-систем: обзор популярных решений. securitymedia.org (27 октября 2022). Дата обращения: 15 октября 2023. Архивировано 4 октября 2023 года.
  73. В России вырос спрос на системы против утечек данных из организаций. РБК (3 июня 2022). Дата обращения: 15 октября 2023. Архивировано 14 мая 2023 года.
  74. Организационная безопасность на предприятии: бумажная и практическая безопасность. inforsec.ru. Дата обращения: 13 января 2019. Архивировано 25 апреля 2014 года.
  75. Русинов С. Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры: http://www.itsec.ru/articles2/Inf_security/infosec-torg Архивная копия от 4 апреля 2016 на Wayback Machine
  76. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации 3-е изд. Учеб. Пособие для студ. высш. учеб. заведений/В. П. Мельников, С. А. Клейменов, А. М. Петраков.-М.:2008. — 336 с.
  77. Обеспечение информационной безопасности: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html Архивная копия от 7 апреля 2016 на Wayback Machine.

Литература

[править | править код]
  • Гай Светоний Транквилл. Книга первая // Жизнь двенадцати цезарей = De vita XII caesarvm : [пер. с лат.] / перевод Гаспаров М.. — М. : Издательство «Наука», 1964. — 374 с. — (Литературные памятники).
  • Сингх, Саймон. Книга шифров : Тайная история шифров и их расшифровки. — М. : Издательство «АСТ», 2009. — 448 с. — ISBN 5-17-038477-7.
  • Измозик, В. С. «Черные кабинеты» : история российской перлюстрации. XVIII — начало XX века. — М. : Новое литературное обозрение, 2015. — ISBN 978-5-4448-0392-9.
  • Жельников В. Язык сообщения // Криптография от папируса до компьютера. — М.: ABF, 1996. — 335 с. — ISBN 5-87484-054-0.
  • Анин, Б. Ю.. «Марфинская шаражка» // Радиоэлектронный шпионаж. — М. : Центрполиграф, 2000. — 491, [2] с., [8] л. ил., портр. — (Секретная папка). — 10 000 экз. — ISBN 5-227-00659-8.
  • Носов В. А. Краткий исторический очерк развития криптографии // Московский университет и развитие криптографии в России, МГУ, 17-18 октября, 2002 : материалы конференции. — 2002. — С. 20—32.
  • Токарева Н. Н. Об истории криптографии в России // Прикладная дискретная математика. — 2012. — Декабрь (№ 4 (18)).
  • Алексей Лукацкий. Триада \"конфиденциальность, целостность, доступность\": откуда она? // SecurityLab.ru. — 2012. — 20 сентября.
  • Концептуальные основы информационной безопасности Российской Федерации / Шушков Г. М., Сергеев И. В. // Актуальные вопросы научной и научно-педагогической деятельности молодых ученых : сборник научных трудов III Всероссийской заочной научно-практической конференции (23.11.2015 – 30.12.2015 г., Москва) / под общ. ред. Е.А. Певцовой; редколл.: Е.А. Куренкова и др.. — М. : ИИУ МГОУ, 2016. — ISBN 978-5-7017-2532-2.[неавторитетный источник]
  • Ежов, М. Ю. Один из мифов о крейсере «Магдебург» // Вопросы истории. — 2007. — Вып. 2. — С. 152—156. — ISSN 0042-8779.
  • 05.13.19 Методы и системы защиты информации, информационная безопасность : [DOC] // Высшая аттестационная комиссия (ВАК). — Дата обращения: 19.07.2018.
  • ГОСТ Р ИСО/МЭК 27000-2012 : Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология : [PDF] // Росстандарт. — Дата обращения: 20.07.2018.

На иностранных языках