Информационная безопасность

В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного исследования«СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

Система ИБ

Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности,
• динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов),
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона, доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека,
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы),
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

• информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные),
• сведения в открытом доступе,
• общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет,
• опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные, тайна следствия и судопроизводства, служебная тайна, профессиональная тайна (врачебная, нотариальная, адвокатская), коммерческая тайна, сведения об изобретениях и о полезных моделях, сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

• на информационное самоопределение,
• на доступ к личным персональным данным и внесение в них изменений,
• на блокирование персональных данных и доступа к ним,
• на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных,
• на возмещение причиненного ущерба.

Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

• печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете,
• сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей,
• средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование,
• документы всех типов: личные, служебные, государственные,
• программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании,
• электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

«КИБ СёрчИнформ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз«ProfileCenter СёрчИнформ». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

• Нормативные средства

Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:

• ISO – Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления,
• IEC – Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

• Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

• Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

Угрозы и меры противодействия Править

Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с «преступлением как услугой» (англ. Crime-as-a-Service ), Интернетом вещей, цепями поставок и усложнением требований регуляторов . «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим киберпреступникам en К 1 . Это позволяет последним совершать хакерские атаки, ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением . Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются во вне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR ), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают .

Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей) , фишинга или кражи личности. Фишинг (англ. Phishing ) представляет собой мошенническую попытку К 2 завладения конфиденциальной информацией (например, учётной записью, паролём или данными кредитной карты). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт, неотличимый от оригинального сайта какой-либо организации (банка, интернет-магазина, социальной сети и т. п.) . Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации , содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников . Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощью фишинга) используются для мошенничества и совершения иных преступлений . Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия . Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни , определение которой в различных культурах может весьма разниться .

Органы государственной власти, вооружённые силы, корпорации, финансовые институты, медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат, экономическая модель Гордона-Лоба en описывает математический аппарат для решения этой задачи . Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:

• снижение — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз,
• передача — перенос затрат, связанных с реализацией угроз на третьих лиц: страховые или аутсорсинговые компании,
• принятие — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы,
• отказ — отказ от чрезмерно рисковой деятельности .

С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и способов выявления попыток её фальсификации en . Например, Юлию Цезарю приписывают изобретение около 50 года до н. э. шифра Цезаря, который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены . Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках .

C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в 1653 году появилась Тайная канцелярия (англ. Secret Office ) . В России перлюстрация осуществлялась, по крайней мере, со времен Петра I — с 1690 года в Смоленске вскрывались все письма, идущие за границу. Системный характер практика тайного копирования корреспонденции почти всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века — появились так называемые «чёрные кабинеты» . После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Христиан Гольдбах, сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В отдельных случаях после успешного дешифрования письма осуществлялась подмена его содержимого — некоторое подобие атаки «человек посередине» .

В начале XIX века в России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел. С 1803 года на службе этого ведомства находился выдающийся российский ученый Павел Львович Шиллинг. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны 1812 года . В середине XIX века появились более сложные системы классификации секретной информации, позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией Закона о государственной тайне en .

Во время Первой мировой войны многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа. Так к концу 1914 года была сформирована одна из секций Британского Адмиралтейства — «комната 40», — которая стала ведущим криптографическим органом Великобритании. 26 августа 1914 года лёгкий немецкий крейсер «Магдебург» сел на камни у острова Оденсхольм в устье Финского залива, принадлежавшего тогда Российской Империи. Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника. С конца ноября 1914 года «комната 40» начала регулярную дешифровку радиограмм германского флота, которыми передавались практически все приказы и распоряжения . Впервые данные расшифровки попытались использовать во время вылазки германского флота к британским берегам 16 декабря 1914 года .

В межвоенный период системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать специальные машины, из которых наиболее известной является «Энигма», созданная немецкими инженерами в 1920-х годах. Уже в 1932 году Бюро шифров польской разведки удалось взломать шифр «Энигмы» методом обратной разработки .

Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ. Воюющими сторонами были разработанны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки U-570 en не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам . Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась вермахтом и другими службами Третьего рейха. В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством Алана Тьюринга. Разработанная ими дешифровальная машина «Turing Bombe» (с англ. — «бомба Тьюринга»), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников . В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо, язык которого за пределами США никто не знал . Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации . В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания (в том числе, Ставки Верховного Главнокомандования) использовалась так называемая ВЧ-связь, основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования. Однако отсутствие криптографической защиты позволяло, используя спектрометр, восстанавливать сообщения в перехваченном сигнале .

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом, что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма, вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Возникли научные дисциплины, такие, как, «Компьютерная безопасность» и «Методы защиты информации» en К 3 и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем .

Ниже приведены определения термина «информационная безопасность» из различных источников:

• Сохранение конфиденциальности, целостности и доступности информации. Примечание: также сюда могут быть включены другие свойства, такие как подлинность ,
• подотчетность ,
• неотказуемость (англ. non-repudiation ) и
• достоверность .
• Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности .
• Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям (конфиденциальность), противоправного изменения (целостность) и недоступности, когда она необходима (доступность) .
• Процесс защиты интеллектуальной собственности организации .
• Одна из дисциплин управления рисками, чьей задачей является управление стоимостью информационных рисков для бизнеса .
• Обоснованная уверенность в том, что информационные риски уравновешены соответствующими мерами контроля и управления .
• Защита информации, минимизирующая риск разглашения информации неавторизованным лицам .
• Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности (технических, организационных, человекоориентированных, юридических) с целью предохранения информации от угроз повсюду, где бы она ни находилась (как внутри периметра организации, так и за его пределами) и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается. Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость .
• Процесс баланса между возникающими, воздействующими угрозами и успешностью противодействия этим угрозам со стороны органов государственной власти, отвечающих за безопасность государства .

В 1975 году Джерри Зальцер en и Майкл Шрёдер en в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации (англ. unauthorized information release ), неавторизованное изменение информации (англ. Unauthorized information modification ) и неавторизованный отказ в доступе (англ. Unauthorized denial of use ) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:

Confidentiality с англ. — «конфиденциальность» — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов , Integrity с англ. — «целостность» — свойство сохранения правильности и полноты активов , Availability с англ. — «доступность» — свойство быть доступным и готовым к использованию по запросу авторизованного субъекта .

В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA .

В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр К 4 . В 1996 году на основе публикации ОЭСР 1992 года американский Национальный институт стандартов и технологий (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами», «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированы», а «владельцы систем несут ответственность за безопасность за пределами своей организации» . На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии .

В 1998 году Донн Паркер en дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль (англ. Possession or Control ), аутентичность (англ. Authenticity ) и полезность (англ. Utility ) . Достоинства этой модели, получившей название Паркеровская гексада en (от hexad с англ. — «группа из шести предметов»), являются предметом дискуссий среди специалистов по информационной безопасности .

В 2009 году министерство обороны США опубликовало «Три основополагающих принципа компьютерной безопасности»: подверженность системы риску (англ. System Susceptibility ), доступность уязвимости (англ. Access to the Flaw ) и способность эксплуатировать уязвимость (англ. Capability to Exploit the Flaw ) .

В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью O-ISM3 en , в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения. Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности (конфиденциальность), долгосрочные цели безопасности (целостность), цели качества информации (целостность), цели контроля доступа (доступность) и технические цели безопасности. .

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе . Она зафиксирована в национальных и международных стандартах и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP и CISM en . Некоторые российские авторы используют кальку с него — «триада КЦД» . В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, атрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы .

Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов . Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):

• подлинность (англ. authenticity ) — свойство, гарантирующее, что субъект или ресурс идентичны заявленному,
• подотчётностьen (англ. accountability ) — ответственность субъекта за его действия и решения,
• невозможность отказаen (англ. non-repudiation К 5 ) — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение,
• достоверность (англ. reliability ) — свойство соответствия предусмотренному поведению и результатам .

Конфиденциальность Править

Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости en (англ. need-to-know ). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности .

Как использовать PAM-модули для локальной аутентификации в Linux по ключам ГОСТ-2012 на Рутокене

Простые пароли не защищают, а сложные невозможно запомнить. Поэтому они так часто оказываются на стикере под клавиатурой или на мониторе. Чтобы пароли оставались в головах “забывчивых” пользователей и надёжность защиты не терялась – есть двухфакторная аутентификация (2ФА).

Решение задания с pwnable.kr 08 — leg, и 10 — shellshock. ARM ассемблер. Уязвимость bash

В данной статье вспомним синтаксис ARM ассемблера, разберемся с уязвимостью shellshock, а также решим 8-е и 10-е задания с сайта pwnable.kr.

Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

• PWN,
• криптография (Crypto),
• cетевые технологии (Network),
• реверс (Reverse Engineering),
• стеганография (Stegano),
• поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.

Биометрия становится ближе

Биометрия быстро вошла в нашу повседневную жизнь: миллионы людей используют отпечатки пальцев для разблокировки своих мобильных устройств, снятия наличных через банкоматы и идентификации. Массовое внедрение технологий также стимулирует растущий спрос на биометрическую идентификацию при входе в помещения и обеспечения кибербезопасности в масштабах всего предприятия. Благодаря биометрии, такие приложения сочетают в себе удобство и безопасность, в то же время обеспечивая надежную проверку личности, связывая ее с наличием идентификационной карты или мобильного идентификатора на смартфоне.

Как готовят пентестеров? Разбор вступительных испытаний для стажеров «Digital Security»

Summer of Hack 2019 в Digital Security уже идёт полным ходом, а значит самое время рассказать, как мы набирали людей.

Под катом объемный и интересный материал о том, как мы отбираем молодых специалистов к нам на стажировку «Summer of Hack 2019», а конкретно — в департамент аудита защищенности.

Рассмотрим, что должен, на наш взгляд, знать пентестер, чтобы успешно делать свою работу.

Разберём ряд непростых задачек, которыми мы мучали ребят, в том числе и от лица одного из них.

Как живется разработчикам в Иране

В этой статье я буду говорить о цензуре и санкциях.

Фото с сайта izvestia.kiev.ua

Цензура неизбежно появляется с первыми же зачатками государственной власти. Во многих странах мира правительство имеет обыкновение блокировать для своих граждан доступ к определенным доменам или IP-адресам в Интернете. Некоторые говорят: «Это нужно, чтобы культура оставалась здоровой и сохранялись моральные ценности». Блокируются порносайты и все в таком духе. Даже в США можно найти некоторые домены, которые закрыты для широкой публики — например, сайты, где содержится детская порнография или контент, который идет вразрез с гуманистическими ценностями.

Но в Иране (и многих других странах) дела обстоят по-другому.

Трагедия не приходит одна

В 2016 году уязвимость ImageTragick в библиотеке ImageMagick наделала много шума. Как способ снижения риска предлагалось использовать GraphicsMagick — форк библиотеки ImageMagick, нацеленный на более стабильный и производительный API. Оригинальная уязвимость CVE-2016-3717, обнаруженная stewie, позволяла злоумышленнику прочитать произвольный файл на файловой системе при помощи специально созданного изображения. Сегодня я рассмотрю аналогичную уязвимость в GraphicsMagick, обнаруженную мной в ходе анализа исходного кода библиотеки.

Воруем ЭЦП, используя Man-In-The-Disk

Казахстанские мобильные приложения mEGOV и ЕНПФ используют ЭЦП, как один из способов авторизации. Чтобы авторизоваться этим способом, вам необходимо перенести файл с ЭЦП на телефон. Такой метод авторизации уязвим перед атакой Man-In-The-Disk (о ней в подробностях ниже). Чтобы стать жертвой атаки, вам достаточно установить любое ваше любимое приложение, которые было скрытно модифицировано злоумышленником. Я наглядно покажу, как это может быть сделано. Для начала выясним, как такие приложения могут попасть к пользователю.

«Режим бога для интернета»: слежка за пользователями через расширения Chrome и Firefox

У многих в браузере установлены расширения. Как минимум, блокировщик рекламы. Но при установке расширений следует проявлять осторожность: не все они полезны, а некоторые и вовсе используются для слежки.

Даже если конкретное расширение прямо сейчас не «ворует» никакой информации, нет никакой гарантии, что оно не начнёт это делать в будущем. Это системная проблема.

Недавно специалисты вскрыли деятельность «аналитической» компании Nacho Analytics, которая предлагает сервис под амбициозным девизом «Режим бога для интернета» (“God mode for the Internet”), отслеживая действия миллионов пользователей через расширения Chrome и Firefox почти в реальном режиме времени (с часовой задержкой).

Вопросы и ответы

Как украсть файл с сервера?

Как существуют хакерские приблуды на микроконтроллерах?

Влезли в телефон?

Как правильно сделать универсальную защита от xss-атак и sql-инъекций?

Реален ли взлом в 21 веке?

Business Email Compromise: атака, от которой нет защиты

Киберпреступники изобрели множество вариантов кибератак, отличающихся по сложности технической реализации и эффективности. Среди них особое место занимает атака, которая удивительна своей технической простотой и результативностью, — Business Email Compromise (BEC), или атака с использованием компрометации деловой переписки. Она не требует глубоких технических знаний, имеет высочайшую эффективность, защититься от неё традиционными средствами практически невозможно. По данным ФБР ущерб от таких атак в 2018 году составил более 1,2 млрд долларов США.

Security Week 30: приватность, технологии и общество

12 июля в прессе появились пока не подтвержденные официально сообщения о том, что Facebook пошел на соглашение с Федеральной Торговой Комиссией США по поводу утечки пользовательской информации. Основной темой расследования FTC стали действия компании Cambridge Analytica, еще в 2015 году получившей данные десятков миллионов пользователей Facebook. Facebook обвиняется в недостаточной защите приватности пользователей, и если сообщения подтвердятся, соцсеть заплатит американской госкомиссии крупнейший в истории штраф в размере 5 миллиардов долларов.

Скандал с Facebook и Cambridge Analytica — первый, но далеко не последний пример обсуждения технических проблем совершенно нетехническими методами. В этом дайджесте мы рассмотрим несколько свежих примеров таких дискуссий. Конкретнее — как вопросы приватности пользователей обсуждаются без оглядки на конкретные особенности работы сетевых сервисов.

Битва за аккаунт. Основатель сети Jeffrey’s Coffee подаёт в суд на ВКонтакте

Мошенники украли страницу ВКонтакте предпринимателя Алексея Миронова из-за уязвимости в системе идентификации клиентов МТС. Социальная сеть так и не вернула её владельцу и требует от него неисполнимого. Сейчас он подаёт за это на ВКонтакте в суд. Его интересы представляет Центр цифровых прав.

Алексей Миронов — основатель сети Jeffrey’s Coffee. Это франшиза кофеен в Москве и регионах. Алексей часто общался с коллегами и партнёрами ВКонтакте и вел там весьма популярный паблик своей сети, насчитывающий более 50 000 подписчиков.

В ноябре 2018 года, рано утром, когда Алексей находился в командировке в Китае, его страницу ВКонтакте взломали. Ему пришли SMS от ВКонтакте, WhatsApp и сообщение от оператора МТС, в котором говорилось, что настроена переадресация на другой номер. Алексей переадресацию не настраивал, поэтому сразу забеспокоился и позвонил в МТС. Там даже не сразу определили, что переадресация действительно есть. Отключить её оператор смог только через два часа после звонка Алексея. В МТС так и не нашли данные о том, как и когда была подключена переадресация.

Как исследование блокчейна Namecoin позволило предсказывать кибератаки группировки RTM

Блокчейн Namecoin был создан как защищенная от цензуры и принудительного изъятия доменов альтернатива традиционным регистраторам DNS. В последние несколько лет его начали использовать операторы таких ботнетов, как Dimnie, Shifu, RTM и Gandcrab, для управления адресами C&C-серверов.

С одной стороны, децентрализованность и устойчивость блокчейна не позволяют исследователям и провайдерам удалить такие домены или перехватить управление ими. С другой стороны, инфраструктура на основе блокчейна имеет архитектурную особенность: все изменения в сети публично доступны и могут быть использованы для изучения и отслеживания действий злоумышленников.

В этой работе представлен подход, использованный для картографирования активов ботнета в Namecoin и дальнейшего их отслеживания для извлечения новых IOC. С помощью описанного подхода были собраны перечни активов (см. приложение), использованных упомянутыми выше ботнетами.

Проблема PGP

Криптоинженеры уже несколько десятилетий кричат о недостатках PGP. Когда это слышат обычные разработчики, то бывают крайне удивлены. Как, PGP никуда не годится? Зачем же тогда его советуют использовать? Ответ в том, PGP действительно никуда не годится, и никому никогда не следует его рекомендовать. Он должен исчезнуть.

Как вы скоро увидите, у PGP много проблем. Если не вдаваться в подробности, основная причина в том, что программа разработана в 90-е годы, до появления серьёзной современной криптографии. Ни один компетентный криптоинженер сегодня не станет разрабатывать систему в таком виде и не потерпит большинства её дефектов ни в какой другой системе. Серьёзные криптографы в основном отказались от PGP и больше не тратят на неё времени (за некоторыми заметными исключениями). Поэтому хорошо известные проблемы в PGP остаются нерешёнными более десяти лет.

karelovao 20 июля 2019 в 09:48

Используем пайпы для пивотинга

Ни для кого не секрет, что корпоративные IPS становятся все умнее и умнее. Сейчас уже никого не удивишь IPS с SSL-митмом на периметре сети или даже внутри корпоративной сети между сегментами. В то же время, по-мимо всем известных IPS, стали появляться и распространяться различные EDR-решения, которые уже непосредственно на хостах смотрят за устанавливаемыми соединениями. В связи с этим порядочному RedTeam специалисту с каждым днем все труднее и труднее скрываться от вездесущего взгляда BlueTeam. Приходится становиться все изобретательнее в своей нелегкой работе.

Одним из решений для маскировки наших «более полезных деструктивных действий»(с) внутри корпоративных сетей может послужить использование протоколов SMB или RDP. Можно спрятаться внутри них и замаскироваться под легитимный трафик. В этом ничего особо нового нет и техника маскировки внутри SMB используется со времен знаменитых APT-компаний Duqu и Sauron. Там ребята также с большим успехом использовали SMB протокол для передачи управляющих команд своим агентам. После этого данную технику переняли разработчики Metasploit и Cobalt Strike.

В данной статье мы рассмотрим варианты использования протокола SMB для пивотинга, а RDP уже оставим на потом.

Как обеспечить безопасность разработки, сохранив время и нервы

Переход в digital-сегмент банков, ритейла, медицины и других жизненно важных отраслей производства и обслуживания спровоцировал многочисленные угрозы в плане безопасности. Сегодня во всем мире продолжает расти активность злоумышленников, а вопросы защиты пользовательских и корпоративных данных от кражи и намеренного повреждения все чаще становятся предметом обсуждения профессионалов.

Как бизнесу и ИТ правильно интегрировать безопасность в процесс разработки, какие инструменты для этого лучше использовать, как это все ложится на реальную практику внедрения. Делимся подходами Ростелеком, М.Видео-Эльдорадо, DD Planet, AGIMA.

Ярослав Александров, руководитель отдела разработки Solar appScreener в Ростелеком, — о том, как встроить SAST в разработку

С ростом компании и увеличением числа разработчиков проверять продукт на уязвимости «вручную» становится все сложнее. Приходится использовать SAST — средства статического тестирования защищенности приложений (Static Application Security Testing). В Solar appScreener информационная безопасность строится на базе внутреннего продукта. Продукт анализирует исходные коды. На сегодня поддерживается 26 языков программирования, исходники которых могут быть проанализированы уязвимость, и поддерживает все популярные форматы и системы управления проектами.

Как выбрать SAST?

Даже простую уязвимость невозможно отыскать при помощи примитивных алгоритмов. Сегодня на рынке представлена масса SAST-решений, как платных, так и бесплатных. Самые популярные из них — AppScan от IBM Security, Synopsys, Veracode, Application Inspector, Micro Focus, Appercut, Checkmarks.

От выбора инструмента зависит эффективность процесса разработки. Главные преимущества платных решений:

Как я Telegram ломал

Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Но, не ошибается тот, кто ничего не делает!

Защита от взлома

Если бы все люди на планете занимались созиданием, мир, пожалуй, был бы гораздо более продвинутым, но и невыносимо скучным. Некоторые встают на путь разрушения, поддерживая равновесие в природе.

Когда вор ломает дверь, он получает доступ в квартиру, которая ему не принадлежит. У хакера же оказывается в распоряжении чужая информация или возможности.

Чаще всего это происходит в том случае, когда создатель сайта берется за самостоятельное написание программных модулей вместо использования тех, которые предлагают популярные системы управления контентом.

Причина кроется в том, что CMS уже снабжают свой код всей необходимой защитой ( хотя и нет ничего непробиваемого ), а программист в одиночку может о чём-то позабыть.

Целью хакера чаще всего является возможность доступа под видом администратора или другого пользователя. Для этого требуется логин и пароль, в грамотном использовании и надежном хранении которых и кроется защита сайта от взлома.

Для надежной защиты от профессиональных хакеров нужно немало времени, еще лучше – найти специалиста по этим вопросам.

Но для борьбы с менее искушенными взломщиками достаточно следовать базовым рекомендациям:

• Использовать сложные пароли. Чем больше символов использовано, тем дольше будет работать программа по автоматическому подбору. Стоит ли говорить о том, что собственное имя или год рождения – не самые подходящие данные для пароля.
• Административная панель – только для администратора. Если доступ к « админке » имеют ваши знакомые, их знакомые и некий Аноним Неизвестный, то велика вероятность, что у ресурса появятся « куртизанские наклонности ».
• Запоминайте пароли или держите их в менеджерах. Текстовый файл « Мои самые важные данные » на рабочем столе – это, по-своему, очень круто, но непосвященным в такую религию лучше использовать специальные программы, которые обеспечат шифровку и сортировку паролей.
• Не переходите по непроверенным ссылкам и не допускайте их появления на сайте. Контроль над обновлением информации позволит значительно сократить количество нежелательных линков.

Защита от копирования

В большинстве случаев пользователи ищут на сайте информацию, и для того, чтобы ресурс был популярным, его контент должен в первую очередь обладать высоким качеством.

Посетителя мало интересует дублирование размещенных текстов, но данный параметр чрезвычайно « волнует » поисковики. Уникальность контента влияет на ранжирование, то есть, на позиции в результатах поиска.

Если ресурс имеет солидный возраст и авторитет, то владельцы особо не переживают по поводу копирования контента. Но если сайт молод и еще не снискал уважения поисковиков, то « позаимствованная » информация может очень негативно сказаться на развитии ресурса.

То, что контент вашего сайта кому-то полезен – хорошо. Но если копирование происходит без размещения обратной ссылки, то ресурсу от этого будет только плохо. Для того чтобы воспрепятствовать подобным действиям, осуществляется защита сайта от копирования. Для её обеспечения применяют следующие методы.

Защита от вирусов

Вредоносные программы также угрожают безопасности ресурса, поэтому защита сайта от вирусов важна не меньше, чем от хакеров. Для предотвращения подобных угроз нужно выполнять следующие инструкции:

• Проверять антивирусом компьютеры людей, у которых имеется доступ к административной части сайта.
• Стараться избегать использования Internet Explorer. Являясь наиболее популярным браузером, IE привлекает к себе пристальное внимание создателей вирусов.
• Используя CMS, необходимо своевременно переходить на новейшие версии программного обеспечения.
• Обновлять антивирус как можно чаще.

Часто возникает необходимость проверки безопасности не только своего сайта, но и других ресурсов. Ведь выполнить вирусный код можно где угодно, и это в любом случае приведёт к неприятным последствиям.

Проверим сайт на вирусы с помощью сервиса Antivirus-alarm.ru :

Но важно постоянно обращать внимание на защиту ресурса и следовать современным тенденциям.

Безопасный сайт – надёжный, а надёжным доверяют.

Целостность Править

Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и логические бомбы, ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами .

Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип разграничения полномочий en , согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое. Кроме того, любые изменения в ходе жизненного цикла информационных системы должны быть согласованны, протестированы на предмет обеспечения информационной целостности и внесены в систему только корректно сформированными транзакциями. Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированы .

Доступность Править

Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем, отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи, неудачно проведённое обновление аппаратного или программного обеспечения, отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программами, уничтожения данных, проникновения из-вне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей .

Невозможность отказа Править

Термин «невозможность отказа» (англ. Non-Repudiation , иногда употребляется слитно — Nonrepudiation) впервые появился в 1988 году в международном стандарте «Безопасность взаимосвязи открытых систем» (ISO 7498-2). Обычно понимается, как противоположный по смыслу термину англо-саксонского права Repudiation с англ. — «отказ, отрицание», имеющего два основных толкования. С одной стороны, он означает фундаментальное право стороны отказаться от исполнения обязательств по сделке на законных основаниях , если, например, подпись на бумажном документе была подделана, либо оригинальная подпись была полученная незаконным путём (в результате мошенничества). При этом бремя доказательства подлинности подписи лежит на той стороне, которая на неё полагается . Другая интерпретация — неправомерный отказ от обязательств. В контексте компьютерной безопасности это может быть, например, отрицание одной из сторон факта отправки, приёма, авторства, либо содержания электронного сообщения. В контексте информационной безопасности «невозможность отказа» понимается как подтверждение целостности и оригинального происхождения данных, исключающее возможность подделки, которое может быть в любой момент проверено сторонними лицами, либо как установление идентичности (личности, документа, объекта), которое с высокой степенью достоверности может считаться подлинным и не может быть опровергнуто .

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности :

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

• выявить требования защиты информации, специфические для данного объекта защиты,
• учесть требования национального и международного Законодательства,
• использовать наработанные практики (стандарты, методологии) построения подобных СОИБ,
• определить подразделения, ответственные за реализацию и поддержку СОИБ,
• распределить между подразделениями области ответственности в осуществлении требований СОИБ,
• на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты,
• реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации,
• реализовать Систему менеджмента (управления) информационной безопасности (СМИБ),
• используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся :

Акты федерального законодательства:

• Международные договоры РФ,
• Конституция РФ,
• Законы федерального уровня (включая федеральные конституционные законы, кодексы),
• Указы Президента РФ,
• Постановления Правительства РФ,
• Нормативные правовые акты федеральных министерств и ведомств,
• Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

• Методические документы государственных органов России:
  • Доктрина информационной безопасности РФ,
  • Руководящие документы ФСТЭК (Гостехкомиссии России),
  • Приказы ФСБ,
• Стандарты информационной безопасности, из которых выделяют:
  • Международные стандарты,
  • Государственные (национальные) стандарты РФ,
  • Рекомендации по стандартизации,
  • Методические указания.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Службы, организующие защиту информации на уровне предприятия

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy ) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy ) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы :

• Защита объектов информационной системы,
• Защита процессов, процедур и программ обработки информации,
• Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях,
• Подавление побочных электромагнитных излучений,
• Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите,
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации,
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки,
4. Определение требований к системе защиты,
5. Осуществление выбора средств защиты информации и их характеристик,
6. Внедрение и организация использования выбранных мер, способов и средств защиты,
7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

В литературе предлагается следующая классификация средств защиты информации.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

• организацию охраны, режима, работу с кадрами, с документами,
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности .

К основным организационным мероприятиям можно отнести:

• организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц,
• организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.,
• организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение,
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации,
• организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты,
• организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Задачи систем информационной безопасности предприятия различны:

• Обеспечение защищённого хранения информации на носителях,
• защита данных, передаваемых по каналам связи,
• создание резервных копий, послеаварийное восстановление и т. д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично .

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее .

Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:

1. Оценка стоимости
2. Разработка политики безопасности
3. Реализация политики
4. Квалифицированная подготовка специалистов
5. Аудит

С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности:

• определить ценность информационных активов,
• определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов,
• определить существующие уязвимые места в практической деятельности организации,
• установить риски организации в отношении информационных активов,
• предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня,
• обеспечить базу для создания проекта обеспечения безопасности.

Пять основных видов оценки:

• Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
• Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
• Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
• Аудит. Исследована существующая политика и соответствие организации этой политике.
• Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.

При проведении оценки должны быть исследованы такие документы, как:

• политика безопасности,
• информационная политика,
• политика и процедуры резервного копирования,
• справочное руководство работника или инструкции,
• процедуры найма-увольнения работников,
• методология разработки программного обеспечения,
• методология смены программного обеспечения,
• телекоммуникационные политики,
• диаграммы сети.

Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.

После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.

Необходимо разработать следующие политики и процедуры:

• Информационная политика. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
• Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
• Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
• Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
• Процедуры управления учётными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
• План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.

При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.

Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.

Аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала .

• ГОСТ ИСО/МЭК 27000 — серия стандартов по менеджменту информационной безопасности
• Information Protection and Control
• Common Criteria
• Критерии определения безопасности компьютерных систем
• Предотвращение утечек информации
• Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
• Правонарушения в области технической защищённости систем
• Стандарт SCAP
• Модели оценки ценности информации
• Государственная информационная политика
• Доктрина информационной безопасности Российской Федерации
• Компьютерная безопасность
• (ISC)²
• Единый реестр российского ПО

1. ↑ На профессиональном жаргоне информационной безопасности киберпреступников часто называют Black hat с англ. — «чёрная шляпа» .
2. ↑Российский Уголовный кодекс определяет «Мошенничество в сфере компьютерной информации», как:

…хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей…

Смотрите видео: Информационная безопасность: Основы

(Пока оценок нет)

Загрузка...