Основные виды угроз информационной безопасности: Виды угроз / Блог компании VPS.house / Хабр

Виды угроз / Блог компании VPS.house / Хабр

Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?

«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.

Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.

Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.

Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.

В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.

Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником»

. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.

Угрозы информационной безопасности, которые наносят наибольший ущерб

Рассмотрим ниже классификацию видов угроз по различным критериям:

1. Угроза непосредственно информационной безопасности:
   
   • Доступность
   • Целостность
   • Конфиденциальность
2. Компоненты на которые угрозы нацелены:
   • Данные
   • Программы
   • Аппаратура
   • Поддерживающая инфраструктура
3. По способу осуществления:
   • Случайные или преднамеренные
   • Природного или техногенного характера
4. По расположению источника угрозы бывают:
   • Внутренние
   • Внешние

Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.

Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.

На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.

Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.

Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.

Угрозы непосредственно информационной безопасности

К основным угрозам доступности можно отнести

1. Внутренний отказ информационной системы;
2. Отказ поддерживающей инфраструктуры.

Основными источниками внутренних отказов являются:

• Нарушение (случайное или умышленное) от установленных правил эксплуатации
• Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
• Ошибки при (пере)конфигурировании системы
• Вредоносное программное обеспечение
• Отказы программного и аппаратного обеспечения
• Разрушение данных
• Разрушение или повреждение аппаратуры

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

• Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• Разрушение или повреждение помещений;
• Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Основные угрозы целостности

Можно разделить на угрозы статической целостности и угрозы динамической целостности.

Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.

С целью нарушения статической целостности злоумышленник может:

• Ввести неверные данные
• Изменить данные

Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Для наглядности данные виды угроз так же схематично представлены ниже на рис 1.

Рис. 1. Классификация видов угроз информационной безопасности

Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.

Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:

1. Что защищать?
2. От кого защищать, какие виды угроз являются превалирующими: внешние или внутренние?
3. Как защищать, какими методами и средствами?

Принимая все выше сказанное во внимание, Вы можете наиболее полно оценить актуальность, возможность и критичность угроз. Оценив всю необходимую информацию и взвесив все «за» и «против». Вы сможете подобрать наиболее эффективные и оптимальные методы и средства защиты.

Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».

Основы информационной безопасности. Часть 2. Информация и средства её защиты

В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

1. Свободно распространяемую
2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
4. Распространение, которой в Российской Федерации ограничивается или запрещается

Информация по назначению бывает следующих видов:

1. Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
2. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
3. Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
4. Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

Средства защиты информации необходимо применять непосредственно к информации доступ к которой ограничен — это государственная тайна и конфиденциальные данные.

Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

1. Сведения в военной области.
2. Сведения в области экономики, науки и техники.
3. Сведения в области внешней политики и экономики.
4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента от 6 марта 1997 г. №188 (ред. от 13 июля 2015 г.) «Об утверждении перечня сведений конфиденциального характера».

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

• Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• Судебные конфиденциальные данные: О государственной защите судей, должностных лиц правоохранительных и контролирующих органов. О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)

Рисунок 1. Классификация видов информации.

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

• Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• Документы всех типов: личные, служебные, государственные;
• Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Определив, какая информация подлежит защите, носители информации и возможный ущерб при ее раскрытии, Вы можете подобрать необходимые средства защиты.

Классификация средств защиты информации

В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• Соблюдение конфиденциальности информации ограниченного доступа;
• Реализацию права на доступ к информации.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

• Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• Своевременное обнаружение фактов несанкционированного доступа к информации;
• Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• Постоянный контроль за обеспечением уровня защищенности информации;
• Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).

Исходя из закона № 149-ФЗ защиту информации можно разделить так же на несколько уровней:

1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
   Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
   Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
   Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями. Например нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.

SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.

Рисунок 2. Классификация средства защиты информации.

угрозы, средства и способы обеспечения безопасности

Компьютерные и информационные технологии сегодня охватили все отрасли экономики. Для любой современной компании информация становится одним из главных ресурсов, сохранение и правильное распоряжение которым имеет ключевое значение для развития бизнеса и снижения уровня разнообразных рисков. Актуальной проблемой для предприятия становится обеспечение информационной безопасности.

Что означает понятие «информационная безопасность предприятия»

Под информационной безопасностью предприятия или компании понимают комплекс мер организационного и технического характера, направленных на сохранение и защиту информации и ее ключевых элементов, а также оборудование и системы, которые используются для работы с информацией, ее хранения и передачи. Этот комплекс включает технологии, стандарты и методы управления информацией, которые обеспечивают ее эффективную защиту.

Обеспечение информационной безопасности помогает защитить информацию и информационную инфраструктуру предприятия от негативных воздействий. Такие воздействия могут носить случайный или преднамеренный, внутренний или внешний характер. Результатом таких вмешательств может стать потеря важной информации, ее несанкционированное изменение или использование третьими лицами. Поэтому информационная безопасность — это важный аспект защиты бизнеса и обеспечения его непрерывности.

Принципы эффективного внедрения в компании систем информационной безопасности:

1. Конфиденциальность.

   Под конфиденциальностью понимают организацию и поддержку эффективного контроля для обеспечения достаточной степени безопасности данных, активов и информации на различных этапах бизнес-процессов для исключения несанкционированного или нежелательного раскрытия. Поддержка конфиденциальности обязательно применяется при сохранении и транзите информации в любом формате.

2. Целостность.

   Целостность охватывает элементы управления, которые обеспечивают внутреннюю и внешнюю последовательность информации. Обеспечение целостности позволяет исключить возможность искажения данных на любом из этапов деловых операций.

3. Доступность.

   Доступность поддерживает полноценный и надежный доступ к информации для должностных лиц, которые имеют соответствующие полномочия. Ключевым моментом здесь является предсказуемость процессов, протекающих в сетевой среде, чтобы пользователи имели возможность доступа к необходимым данным в нужный момент времени. Одним из важных факторов доступности информации является возможность быстрого и полного восстановления системы после сбоев, чтобы не допустить его негативного влияния на функционирование компании.

Осуществление контроля информационной безопасности предприятия

Обеспечить полноценную и надежную информационную безопасность предприятия можно только при условии применения комплексного и системного подхода. Система инфобезопасности должна быть построена с учетом всех актуальных угроз и уязвимостей, также с учетом тех угроз, которые могут возникнуть в будущем. Поэтому важно обеспечить поддержку непрерывного контроля, который должен действовать ежедневно и круглосуточно. Необходимым условием является обеспечение контроля на каждом из этапов жизненного цикла информации, начиная с момента ее поступления в инфраструктуру компании и заканчивая потерей ее актуальности или уничтожением данных.

Существует несколько видов контроля информационной безопасности, внедрение которых позволяет компании снижать риски в этой сфере и поддерживать их на приемлемом уровне. В том числе различают:

• Административный контроль.

Административный контроль информационной безопасности — это система, состоящая из комплекса установленных стандартов, принципов и процедур. Этот вид контроля определяет границы для осуществления бизнес-процессов и управления персоналом. Он включает законодательные и нормативные акты, принятую на предприятии политику корпоративной безопасности, систему найма сотрудников, дисциплинарные и другие меры.

• Логический контроль.

Логический контроль предусматривает использование средств управления (средств технического контроля), которые защищают информационные системы от нежелательного доступа. Эти средства объединяют специальное ПО, брандмауэры, пароли и т. д.

• Физический контроль.

Физический контроль сосредоточен на среде рабочих мест и средствах вычисления. В том числе он предусматривает обеспечение эффективного функционирования инженерных систем зданий предприятия, работа которых может повлиять на хранение и передачу информации. К таким системам относятся отопление и кондиционирование, противопожарные системы. Другой важной составляющей физического контроля являются системы контроля и управления доступом на объекты.

Виды угроз информационной безопасности

Информационная инфраструктура предприятия постоянно подвергается многочисленным угрозам, которые по своему происхождению делятся на несколько видов:

• Естественные. Угрозы, вызванные причинами, не зависящими от человека. К их числу относятся ураганы, пожары, удары молнии, наводнения, другие природные катаклизмы.
• Искусственные. Комплекс угроз информационной безопасности созданных человеком. Искусственные угрозы, в свою очередь, делят на преднамеренные и непреднамеренные. К преднамеренным угрозам относят действия конкурентов, хакерские атаки, вредительство обиженных работников и т. д. Непреднамеренные угрозы возникают в результате действий, совершенных из-за недостатка компетентности или по неосторожности.
• Внутренние. Угрозы, которые возникают внутри информационной инфраструктуры предприятия.
• Внешние. Угрозы, которые имеют происхождение за пределами информационной инфраструктуры предприятия.

В зависимости от характера воздействия угрозы информационной безопасности делятся на пассивные и активные. Пассивные угрозы — это факторы воздействия, которые не могут изменять содержание и структуру информации. Активные угрозы способны вносить такие изменения. К их числу относят, например, воздействие вредоносного ПО.

Главную опасность представляют искусственные преднамеренные угрозы. Учитывая все более возрастающую компьютеризацию всех сфер бизнеса и рост количества электронных транзакций, эти угрозы также бурно развиваются. В поисках способов получения секретных сведений и нанесения вреда компаниям злоумышленники активно используют современные технологии и программные решения. Их действия могут наносить значительный ущерб, в том числе в виде прямых финансовых потерь или утраты интеллектуальной собственности. Поэтому информационная безопасность предприятия также должна строиться на базе передовых технологий с использованием актуальных средств защиты данных.

Средства защиты информации

Средствами защиты информации называют устройства, приборы, приспособления, программное обеспечение, организационные меры, которые предотвращают утечку информации и обеспечивают ее сохранение в условиях воздействия всего спектра актуальных угроз.

В зависимости от используемых способов реализации, средства защиты информационной безопасности бывают следующих типов:

• Организационные. Комплекс мер и средств организационно-правового и организационно-технического характера. К первым относят законодательные и нормативные акты, локальные нормативные документы организации. Второй тип — это меры по обслуживанию информационной инфраструктуры объекта.
• Аппаратные (технические). Специальное оборудование и устройство, предотвращающее утечки, защищающее от проникновения в ИТ-инфраструктуру.
• Программные. Специальное ПО, предназначенное для защиты, контроля, хранения информации.
• Программно-аппаратные. Специальное оборудование с установленным программным обеспечением для защиты данных.

Наиболее широкое распространение сегодня получили программные средства защиты информации. Они в полной мере отвечают требованиям эффективности и актуальности, регулярно обновляются, эффективно реагируя на актуальные угрозы искусственного характера.

Для защиты данных в современных сетях применяется широкий спектр специализированного программного обеспечения. Можно выделить следующие типы программных средств защиты:

• Антивирусное ПО. Специализированный софт для обнаружения, нейтрализации и удаления компьютерных вирусов. Обнаружение может выполняться во время проверок по расписанию или запущенных администратором. Программы выявляют и блокируют подозрительную активность программ в «горячем» режиме. Кроме того, современные антивирусы могут возобновлять файлы, зараженные вредоносными программами.
• Облачные антивирусы (CloudAV). Сочетание возможностей современных антивирусных программ с облачными технологиями. К таким решениям относятся сервисы Crowdstrike, Panda Cloud Antivirus, Immunet и многие другие. Весь основной функционал ПО размещен в облаке, а на защищаемом компьютере устанавливается клиент — программа с минимальными техническими требованиями. Клиент выгружает в облачный сервер основную часть анализа данных. Благодаря этому обеспечивается эффективная антивирусная защита при минимальных ресурсных требованиях к оборудованию. Решения CloudAV оптимально подходят для защиты ПК, которые не имеют достаточной свободной вычислительной мощности для работы стандартного антивируса.
• Решения DLP (Data Leak Prevention). Специальные программные решения, предотвращающие утечку данных. Это комплекс технологий, которые эффективно защищают предприятия от потери конфиденциальной информации в силу самых разных причин. Внедрение и поддержка DLP — требует достаточно больших вложений и усилий со стороны предприятия. Однако эта мера способна значительно уменьшить уровень информационных рисков для IT-инфраструктуры компании.
• Системы криптографии. (DES — Data Encryption Standard, AES — Advanced Encryption Standard). Преобразуют данные, после чего их расшифровка может быть выполнена только с использованием соответствующих шифров. Помимо этого, криптография может использовать другие полезные приложения для защиты информации, в том числе дайджесты сообщений, методы проверки подлинности, зашифрованные сетевые коммуникации, цифровые подписи. Сегодня новые приложения, использующие зашифрованные коммуникации, например, Secure Shell (SSH), постепенно вытесняют устаревающие решения, не обеспечивающие в современных условиях требуемый уровень безопасности, такие как Telnet и протокол передачи файлов FTP. Для шифрования беспроводной связи широко применяются современные протоколы WPA/WPA2. Также используется и достаточно старый протокол WEP, который уступает по безопасности. ITU-T G.hn и другие проводные коммуникации шифруются при помощи AES, а аутентификацию и обмен ключами в них обеспечивает X.1035. Для шифрования электронной почты используют такие приложения как PGP и GnuPG.
• Межсетевые экраны (МСЭ). Решения, которые обеспечивают фильтрацию и блокировку нежелательного трафика, контролируют доступ в сеть. Различают такие виды файерволов, как сетевые и хост-серверы. Сетевые файерволы размещаются на шлюзовых ПК LAN, WAN и в интрасетях. Межсетевой экран может быть выполнен в формате программы установленной на обычный компьютер или иметь программно-аппаратное исполнение. Программно-аппаратный файервол — это специальное устройство на базе операционной системы с установленным МСЭ. Помимо основных функций, межсетевые экраны предлагают ряд дополнительных решений для внутренней сети. Например, выступают в качестве сервера VPN или DHCP.
• Виртуальные частные сети VPN (Virtual Private Network). Решение, использующее в рамках общедоступной сети частную сеть для передачи и приема данных, что дает эффективную защиту подключенных к сети приложений. При помощи VPN обеспечивается возможность удаленного подключения к локальной сети, создания общей сети для головного офиса с филиалами. Непосредственно для пользователей VPN дает возможность скрытия местоположения и защиты выполняемых в сети действий.
• Прокси-сервер. Выполняет функцию шлюза между компьютером и внешним сервером. Запрос, отправляемый пользователем на сервер, вначале поступает на proxy и уже от его имени поступает на сервер. Возврат ответа производится также с прохождением промежуточного звена — proxy. Преимуществом является то, что кэш прокси-сервера доступен всем пользователем. Это повышает удобство в работе, поскольку наиболее часто запрашиваемые ресурсы находятся в кэше.
• Решения SIEM — системы мониторинга и управления информационной безопасностью. Специализированное ПО, которое берет на себя функцию управления безопасностью данных. SIEM обеспечивает сбор сведений о событиях из всех источников, поддерживающих безопасность, в том числе от антивирусного ПО, IPS, файерволов, а также от операционных систем и т. д. Также SIEM выполняет анализ собранных данных и обеспечивает их централизованное хранение в журнале событий. На основании анализа данных система выявляет возможные сбои, хакерские атаки, другие отклонения и возможные информационные угрозы.

Учитывая широкое распространение мобильных устройств, которые сотрудники часто используют за пределами предприятия в корпоративных целях, в системе информационной безопасности обязательно должен учитываться и этот фактор. Для контроля мобильных устройств персонала и защиты информации предприятия могут применяться такие программные продукты, как Blackberry Enterprise Mobility Suite, IBM MaaS360, VMware AirWatch и другие.

Как выбрать инструменты обеспечения безопасности корпоративной информации

Обеспечение информационной безопасности сегодня является насущной потребностью, пренебрежение которой может иметь разрушительные последствия для бизнеса. Широкий набор средств и решений, доступных сегодня защиты информации, может затруднять выбор для предприятия. Обеспечить безопасность IT-инфраструктуры позволяет определенный набор инструментов, который необходимо подбирать индивидуально. Это позволит реализовать многоуровневую систему защиты информации, которая обеспечит надежную нейтрализацию актуальных угроз.

Выбор инструментов защиты корпоративной информации при создании такой системы должен производиться с учетом целого комплекса факторов, таких как:

• сфера деятельности компании;
• размер бизнеса, наличие территориально отдаленных подразделений, а также подразделений, нуждающихся в особой IT-защите;
• техническая оснащенность компании — состав и характеристики используемого оборудования, уровень морального износа и т. д.;
• уровень подготовки и опыта персонала, занятого обслуживанием информационной инфраструктуры.

Собственное ИТ-подразделение компании обычно оказывается не в силах реализовать такой комплексный подход. Результатом этого становится использование стандартных решений, которые не могут отвечать современным вызовам в плане безопасности данных. Это приводит к возникновению больших пробелов в этой сфере, что грозит потерей или повреждением ценной информации в результате несанкционированного вмешательства со стороны.

Поэтому разработку и внедрение системы обеспечения безопасности информации на предприятии должны проводить профессионалы. Компания Смарт-Софт поможет обеспечить создание такой системы с использованием собственных продуктов, доказавших высокий уровень эффективности.

Информационная безопасность и виды возможных угроз

Информационная безопасность –  это защита информации от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб ее владельцу или пользователю.

Основные принципы информационной безопасности

1. Целостность данных —  такое свойство, в соответствии с которым информация  сохраняет свое содержание и структуру в процессе  ее передачи и хранения.  Создавать, уничтожать или изменять данные  может только пользователь, имеющий право доступа.

2. Конфиденциальность  — свойство, которое указывает на необходимость ограничения доступа к конкретной информации для обозначенного круга лиц. Таким образом, конфиденциальность дает гарантию того, что в процессе передачи данных, они могут быть известны только авторизованным пользователям

3. Доступность  информации —  это свойство характеризует способность обеспечивать своевременный и беспрепятственный доступ полноправных пользователей к требуемой  информации.

4.  Достоверность – данный  принцип выражается  в строгой принадлежности информации субъекту, который является ее источником или от которого она принята.

Задача обеспечения информационной безопасности подразумевает реализацию многоплановых и комплексных мер по предотвращению и отслеживанию несанкционированного доступа неавторизованных лиц, а также действий, предупреждающих  неправомерное использование, повреждение, искажение, копирование, блокирование информации.

Вопросы информационной безопасности становятся первоочередными в тех случаях, когда выход из строя или возникновение ошибки в конкретной компьютерной системе могут привести к тяжелым последствиям.

Виды угроз информационной безопасности

Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию.

Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа. В настоящее время известно достаточно  большое количество угроз, которые классифицируют по различным признакам.

По природе возникновения различают естественные и искусственные угрозы. К первой группе относятся те, что вызваны воздействием на компьютерную систему объективных физических процессов или стихийных природных явлений. Вторая группа – те угрозы, которые обусловлены деятельностью человека.

По степени преднамеренности проявления, угрозы разделяют на случайные и преднамеренные.

Также есть разделение в зависимости от их непосредственного источника, в качестве которого может выступать природная среда (например, стихийные бедствия), человек (разглашение конфиденциальных данных), программно-аппаратные средства: санкционированные (ошибка в работе операционной системы) и несанкционированные (заражение системы вирусами).

Источник угроз может иметь разное положение. В зависимости от этого фактора также выделяют три группы:

— Угрозы, источник которых находятся вне контролируемой группы компьютерной системы (пример – перехват данных, передаваемых по каналам связи)

— Угрозы, источник которых – в пределах контролируемой зоны системы (это может быть хищение носителей информации)

— Угрозы, находящиеся непосредственно в самой системе (например, некорректное использование ресурсов).

Угрозы способны по-разному воздействовать на компьютерную  систему.  Это могут быть пассивные воздействия, реализация которых не влечет за собой изменение структуры данных (например, копирование). Активные угрозы — это такие, которые, наоборот, меняют структуру и содержание компьютерной системы (внедрение специальных программ).

В соответствии с разделением угроз по  этапам доступа пользователей или программ к ресурсам системы существуют  такие опасности, которые проявляются на этапе доступа к компьютеру и обнаружимые после разрешения доступа (несанкционированное использование ресурсов).

Классификация по месту расположения в системе подразумевает деление на три группы: угрозы доступа к информации, находящейся на  внешних запоминающих устройствах, в оперативной памяти и к той, что циркулирует в линиях связи.

Угрозы могут использовать прямой стандартный путь к ресурсам с помощью незаконно полученных паролей или посредством неправомерного применения терминалов законных пользователей, а могут «обойти» существующие средства защиты иным путем.

Такие действия, как хищение информации, относят к угрозам, проявляющимся независимо от активности системы. А, например, распространение вирусов может быть обнаружено исключительно в процессе обработки данных.

Случайными, или непреднамеренными называются такие угрозы, которые не связаны с действиями злоумышленников. Механизм их реализации изучен достаточно хорошо, поэтому существуют разработанные методы противодействия.

Аварии и стихийные бедствия представляют особую опасность для компьютерных систем, так как они влекут за собой наиболее негативные последствия. Вследствие физического разрушения систем информация становится недоступной, либо утрачивается.  Кроме того, невозможно полностью избежать или предупредить сбои и отказы в сложных системах, в результате которых, как правило, хранящаяся на них информация искажается или уничтожается, нарушается алгоритм работы технических устройств.

Ошибки, которые могут быть допущены в процессе разработки компьютерной системы, включая неверные алгоритмы работы и некорректное программное обеспечение, способны привести к последствиям, которые аналогичны тем, что происходят при сбое и отказе в работе технических средств. Более того, подобные ошибки могут использоваться злоумышленниками в целях воздействия на ресурсы системы.

Ошибки пользователей приводят к ослаблению информационной безопасности в 65 % случаев. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками на предприятиях приводит к уничтожению, нарушению целостности и конфиденциальности информации.

Выделяют также преднамеренные угрозы, которые  связаны с целенаправленными действиями нарушителя. Изучение этого класса затруднено, так как он имеет очень динамичный характер и постоянно пополняется новыми видами угроз.

Для проникновения в компьютерную систему с целью дальнейшего хищения или уничтожения информации используются такие методы и средства шпионажа, как прослушивание, хищение программ, атрибутов защиты, документов и носителей информации, визуальное наблюдение и другие.

При несанкционированном доступе к данным обычно используют штатные аппаратные и программные средства компьютерных систем, вследствие чего нарушаются установленные правила разграничения доступа пользователей или процессов к информационным ресурсам. Самые распространенные нарушения – это перехват паролей (производится с помощью специально разработанных программ), выполнение каких-либо действий под именем другого человека, а также использование злоумышленником привилегий законных пользователей.

Специальные вредоносные программы

– «компьютерные вирусы» —  это небольшие программы, способные самостоятельно распространятся после внедрения в компьютер  путем создания своих копий. При определенных условиях вирусы оказывают негативное воздействие на систему;

– «черви» – утилиты, которые активируются при каждой загрузке компьютера. Они обладают способностью перемещаться в пределах системы или сети и размножаться аналогично вирусам.  Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке работы;

– «троянские кони» — такие программы «скрываются» под видом полезного приложения, а, на самом деле, наносят вред компьютеру: разрушают программное обеспечение, копируют и пересылают злоумышленнику файлы с конфиденциальной информацией и т.д.

Лекция 3. Угрозы информационной безопасности — Студопедия

Виды угроз информационной безопасности

Одной из главных особенностей проблемы защиты информации является требование полноты определения угроз информации, потенциально возможных в современных информационных системах. Даже один неучтенный (невыявленный, не принятый во внимание) дестабилизирующий фактор может в значительной степени снизить (и даже свести на нет) эффективность защиты.

Угроза безопасности информации – это потенциально существующая возможность случайного или преднамеренного действия или бездействия, в результате которого может быть нарушена безопасность информации (данных).

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее.

Угроза – это человек, вещь, событие или идея, которая представляет некоторую опасность для ценностей, нуждающихся в защите.

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в системе защиты информации. Промежуток времени от момента, когда появляется возможность использовать уязвимое место, и до момента, когда в систему защиты вносятся изменения, ликвидирующие данную уязвимость, называется окном опасности, ассоциированным (связанным) с данным уязвимым местом.

Причины уязвимости системы:

— Особенностями технических средств, используемых в системе электронной обработки данных.

Например, если информация записывается на дискету, то ее целостность может быть легко нарушена вследствие механических повреждений, воздействия температуры и влажности, электромагнитных полей и других факторов.

— Особенностями используемого программного обеспечения.

Например, пароли для доступа в Интернет могут сохраняться в некотором файле на диске. Следовательно, существует угроза, что злоумышленник найдет этот файл и воспользуется чужим паролем для доступа в Интернет.

— Особенностями поведения персонала, работающего с системой электронной обработки данных.

Например, некоторые пользователи записывают свои пароли для доступа к различным ресурсам на отдельных листочках и хранят эти записи прямо на рабочем месте. Естественно, существует угроза, что злоумышленник может найти такой листочек и воспользоваться чужим паролем.

Многие уязвимые места не могут быть ликвидированы и являются постоянной причиной существования угрозы. Что же касается особенностей программного обеспечения, то, как правило, уязвимые места выявляются в процессе эксплуатации и устраняются путем выпуска новых версий и «пакетов обновлений» программ. Именно для таких уязвимых мест чаще всего используется понятие «окно опасности». Оно «открывается» с появлением средств использования данного пробела в защите и ликвидируется при ликвидации данного уязвимого места.

Для большинства уязвимых мест окно опасности существует сравнительно долго, поскольку за это время должны произойти следующие события:

— Должно стать известно о средствах использования данного пробела в защите

— Должны быть найдены способы ликвидации данного пробела

— Должны быть реализованы способы ликвидации данного пробела, то есть внесены соответствующие изменения в программу

— Эти изменения должны быть осуществлены у всех пользователей, использующих данную программу

Угрозы безопасности информации в современных информационных системах обусловлены:

— случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды;

— степенью надежности функционирования средств обработки информации;

— преднамеренными корыстными воздействиями несанкционированных пользователей, целью которых является хищение, разглашение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации;

— непреднамеренными, случайными действиями обслуживающего персонала и др.

Классификация информационных угроз

Угрозы информации можно классифицировать по нескольким критериям:

Классификация по аспекту информационной безопасности, против которого в первую очередь направлена угроза.

Угрозы целостности связаны со следующими возможностями:

— Физическое уничтожение или порча носителей информации.

Например, злоумышленник может сломать дискету, на которую Вы записали свой реферат.

— Уничтожение определенной информации.

Например, злоумышленник может удалить Ваш файл с отчетом по лабораторной работе

— Изменение информации, вследствие которого информация перестает отражать реальное положение дел либо становится противоречивой.

Например, злоумышленник может увеличить данные о сумме денег на своем счете.

Угрозы доступности связаны со следующими возможностями:

— Прекращение функционирования системы электронной обработки данных вследствие разрушения обеспечивающей инфраструктуры.

Например, система может прекратить функционирование вследствие отключения электричества, прорыва водопровода, поломки системы кондиционирования и повышения вследствие этого температуры до недопустимых значений.

— Прекращение функционирования системы вследствие поломки оборудования (компьютеров, коммуникационного оборудования и т.д.)

Например, если в железнодорожной кассе сломается компьютер, подключений к системе автоматизированной продажи билетов, то пассажиры не смогут купить билеты (получить информационную услугу по оформлению билетов) в данной кассе.

— Неправильное функционирование системы в результате ошибок в программном обеспечении либо несоответствия между реальной работой и документацией на систему.

Например, если пользователь осуществляет поиск в какой-то информационной системе, то в справочной информации может быть написано, что для поиска слова достаточно только ввести его начало, и будет найдены все слова, начинающиеся с заданной комбинации символов. Пользователь вводит символы «информ» в надежде, что будут найдены все слова «информатика», «информация», «информационные технологии» и так далее. Однако оказывается, что на самом деле программа работает не совсем так, как написано в справочной информации, и ищет именно то слово, которое задано. А чтобы найти слова, начинающие с заданной комбинации символов, надо в конце поставить «*». Т.е. для поиска слов «информация» и подобных надо было ввести символы «информ *». Но ведь пользователь не мог знать об этом, и в результате он не получает желаемой информационной услуги, а информация, хранящиеся в системе, оказывается для него недоступной.

— Ошибки персонала системы, которые могут быть вызваны как отсутствием необходимых навыков работы с конкретной системой, так и общим недостатком образования или квалификации.

Например, соискатель обращается в службу занятости с просьбой найти работу уборщицы с 17 до 19 часов. Сотрудница службы занятости не знает, что имеющиеся информационная система позволяет осуществлять поиск по параметрам рабочего времени (потому что для такого поиска надо перейти на дополнительную вкладку и нажать специальную кнопку, а сотруднице об этой никто не рассказывал), и предлагает клиенту просмотреть все имеющиеся вакансии уборщиц. В результате клиент не получает информационную услугу должного качества. В другом случае соискатель обращается к сотруднице службы занятости с просьбой найти вакансии программиста, и получает ответ, что таких вакансий не имеется. Однако на самом деле такие вакансии есть, просто сотрудница из-за своей безграмотности ввела в окне поиска вакансию «програмист». В результате клиент получил ложную информацию.

— Целенаправленные атаки с целью вызвать отказ в обслуживании (DOS – атаки). При таких атаках в систему электронной обработки данных одновременно направляется множество запросов на обслуживание, в результате чего система оказывается перегруженной и не может нормально функционировать. Такие атаки характерны для служб Интернета, когда злоумышленники пытаются нарушить функционирование отдельных серверов или сети в целом.

Целью таких атак может являться:

— причинение ущерба какой-либо фирме путем временного нарушения ее функционирования. Например, если будет нарушено функционирование сервера туристической фирмы, то люди не смогут узнать в это время об услугах этой фирмы и заказать путевки, и фирма потеряет клиентов

— нарушение нормального функционирования системы защиты с целью попытки получить доступ к конфиденциальной информации

— попытка проанализировать систему защиты и найти в ней уязвимые места в процессе мер по восстановлению работоспособности системы и отражения атаки.

Угрозы конфиденциальности связаны со следующими возможностями:

— Потеря технических средств идентификации (ключей, чипов)

— Прочтение информации с экрана монитора либо в процессе набора на клавиатуре посторонним человеком

— Небрежность пользователей, записывающих пароли и оставляющих эти записи в доступных местах

— Небрежное хранение копий и черновиков конфиденциальных документов, а также использованных при их печати копировальной и обычной бумаги

— Оставление без присмотра рабочих мест, с которых осуществлен доступ к конфиденциальной информации

— Использование «неправильных», то есть легко подбираемых паролей

— Использование специальных технических и программных средств для взлома системной защиты

Угрозы нарушения авторских и иных прав связаны с доступностью информации, являющейся объектом авторского права, а также возможностью «взлома» программ с целью их нелегального использования.

Поскольку все аспекты информационной безопасности тесно связанны между собой, то и конкретная угроза оказывается направленной сразу против нескольких аспектов безопасности.

Например, при отключении электричества не только нарушается доступность информации в течение того времени, пока система не работает, но и может произойти разрушение или нарушение целостности информации вследствие прекращения работы системы в момент выполнения какой-либо критической операции.

Классификация по компонентам системы, на которую нацелена угроза (атака)

— угроза данным может быть связана с возможностью хищения или порчей носителей данных, несанкционированного удаления или изменения данных, а также с возможностью того, что данные станут доступны лицам, которым они не должны быть доступны

— угроза программам может быть связана с внедрением вредоносного программного обеспечения, в первую очередь компьютерных вирусов

— угроза техническим средствам может быть связаны с возможностью выхода из строя техники в связи со случайными или преднамеренными воздействиями естественного или искусственного характера

— угроза персоналу может быть связанна с возможностью создания условий, вынуждающих отдельных сотрудников выполнять действия, связанные с нарушением защиты информации (шантаж, подкуп и так далее)

Основные угрозы безопасности сайта / Хабр

Безопасность веб-приложений — один из наиболее острых вопросов в контексте информационной безопасности. Как правило большинство веб-сайтов, доступных в Интернете, имеют различного рода уязвимости и постоянно подвергаются атакам. В статье будут рассмотрены основные угрозы информационной безопасности веб-приложений.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности веб-приложения:

1. Угрозы конфиденциальности – несанкционированный доступ к данным.
2. Угрозы целостности – несанкционированное искажение или уничтожение данных.
3. Угрозы доступности – ограничение или блокирование доступа к данным.

Основным источником угроз информационной безопасности веб-приложения являются внешние нарушители. Внешний нарушитель – лицо, мотивированное, как правило, коммерческим интересом, имеющее возможность доступа к сайту компании, не обладающий знаниями об исследуемой информационной системе, имеющий высокую квалификацию в вопросах обеспечения сетевой безопасности и большой опыт в реализации сетевых атак на различные типы информационных систем.

Говоря простыми словами — основная угроза безопасности сайта — хакерская атака. Она может иметь конечную цель, быть т.н. целевой атакой, либо атака носит бессистемный характер, по принципу — атакую все подряд, что-нибудь да сломается.

В первом случае злоумышленник может выявлять максимально возможное количество векторов атаки для составления и реализации потенциально успешных сценариев взлома, во втором же объекты атакуются массово, обычно использую несколько поверхностных уязвимостей.

Виды угроз

Угрозы безопасности связаны с несколькими факторами: в первую очередь это уязвимости веб-приложений или их компонентов. Во вторую — с используемыми механизмами проверки идентификации. В третью очередь угрозы безопасности относятся к атакам на самих пользователей, клиент-сайд атаки. Четвертый вид угроз — утечка или разглашение критичной информации. Пятый вид угроз — логические атаки.

Уязвимости веб-приложений, как правило, приводят к выполнению кода на удаленном сервере. Все серверы используют данные, переданные пользователем при обработке запросов. Часто эти данные используются при составлении команд, применяемых для генерации динамического содержимого. Если при разработке не учитываются требования безопасности, злоумышленник получает возможность модифицировать исполняемые команды. К такого рода уязвимостям относятся, например, SQL-injection.

Атаки, направленные на используемые веб-приложением методы проверки идентификатора пользователя, службы или приложения, либо направленные на методы, которые используются веб-сервером для определения того, имеет ли пользователь, служба или приложение необходимые для совершения действия разрешения. К такого рода атакам относятся — bruteforce, обход авторизации, небезопасное восстановление паролей, предсказуемое значение сессии или ее фиксация.

Во время посещения сайта, между пользователем и севером устанавливаются доверительные отношения, как в технологическом, так и в психологическом аспектах. Пользователь ожидает, что сайт предоставит ему легитимное содержимое. Кроме того, пользователь не ожидает атак со стороны сайта. Эксплуатируя это доверие, злоумышленник может использовать различные методы для проведения атак на клиентов сервера. Такого рода атаки могут быть задействованы как в сложных сценариях атаки (watering hole, drive by), так и в более привычных — клиент-сайд атаках, например XSS.

К разглашению информации относится как информация непосредственно о веб-приложении, его компонентах, платформе и составляющих, так и утечка чувствительной информации с сайта, из-за ее ненадлежащей защиты. Подразумевается раскрытие информации лицам, доступ к которым им запрещен, либо раскрытие информации в результате неверной настройки веб-приложения или веб-сервера.

Логические атаки направлены на эксплуатацию функций приложения или логики его функционирования. Логика приложения представляет собой ожидаемый процесс функционирования программы при выполнении определенных действий. В качестве примеров можно привести восстановление паролей, регистрацию учетных записей,, аукционные торги, транзакции в системах электронной коммерции. Приложение может требовать от пользователя корректного выполнения нескольких последовательных действий для выполнения определенной задачи. Злоумышленник может обойти или использовать эти механизмы в своих целях. К такого рода атакам относятся и атаки класса отказ в обслуживании, DoS.

Виды атак на веб-приложения

Целевые атаки — это атаки, специально нацеленные на один сайт или их группу, объединенную одним признаком (сайты одной компании, либо сайты, относящиеся к определённой сфере деятельности, либо объединенные рядом признаков). Опасность таких атак заключается именно в «заказном» характере. Исполнителями таких атак становятся, как правило, злоумышленники, обладающие высокой квалификацией в области безопасности веб-приложений.

Целью таких атак обычно является получение конфиденциальной информации, которая может быть использована недобросовестными конкурентами или преступниками для получения прибыли.

Нецелевые атаки — это атаки, которые проводится фактически “на удачу”, а ее жертвами становятся случайные веб-сайты независимо от популярности, размера бизнеса, географии или отрасли. Нецелевая атака на сайт – это попытка получения несанкционированного доступа к веб-ресурсу, при которой злоумышленник не ставит целью взломать конкретный сайт, а атакует сразу сотни или тысячи ресурсов, отобранных по какому-то критерию. Например, сайты, работающие на определенной версии системы управления сайтом. Такого рода атаки бьют по «площадям», стараясь охватить максимальное количество сайтов при минимуме затрат.

При удачной попытке атаке злоумышленник старается извлечь из этого пользу: закрепиться на сайте, загрузив хакерский скрипт (бэкдор, веб-шелл), добавить еще одного администратора, внедрить вредоносный код или получить необходимую информацию из базы данных.

Целевые атаки — проводятся скрытно, как правило достигают своей цели. Нецелевые атаки довольно «шумные» и зачастую не достигают поставленных целей, но, тем не менее, могут доставить множество проблем владельцу веб-ресурса.

Чем это грозит?

В первую очередь это несет угрозу работоспособности сайта. Во вторую, но не менее важную, — сохранность пользовательских данных. Из этих причин вытекает логичное следствие — финансовые и репутационные потери компании.

Хакеры используют ваш сайт для атак на другие ресурсы, в качестве опорного плацдарма, для рассылки спама или проведения DoS атак. Ваш сайт блокируют поисковики и браузеры, вы теряете пользователей.

Атака на веб-сайт в корпоративной среде может является т.н. точкой входа в корпоративную сеть компании.

Атаки на системы электронной коммерции могут быть использованы для совершения мошеннических действий, похищения клиентских баз и т.д.

Также, все эти атаки могут быть нацелены на дальнейшее «заражение» пользователей сайта, например с помощью т.н. эксплоит-паков — средств эксплуатации уязвимостей браузеров и их компонентов, в том числе и с применением социотехнических векторов атаки.

Природа атак

Распространение атак на веб-приложения связаны с двумя основными факторами: халатное отношение к безопасности сайта и низкий порог входа потенциальных злоумышленников.

В большинстве случаев на сайтах не используются специальные средства обнаружения, мониторинга и защиты, а также нет ответственного персонала и осведомленности об угрозах безопасности сайта. Качеству кода и безопасной настройке веб-приложения (и веб-сервера) уделяется мало внимания.

Распространение утилит и сканеров безопасности веб-приложений обуславливает низкий порог вхождения потенциальных злоумышленников. А многочисленные коммюнити и «околохакерские» форумы способствуют распространению техник атак среди всех желающих. Также этому способствует широкая и довольно оперативная огласка об обнаружении новых уязвимостей или технических аспектах атак.

Предотвращение угроз

Необходимо не забывать о соблюдении базовых мер безопасности при разработке и поддержке работы сайта: обновлять CMS и ее компоненты; регулярно менять пароли; отказаться от использования устаревших протоколов; настроить и использовать HTTPS/HSTS.

Используйте WAF для своевременного обнаружения и блокирования различных веб-атак. Это позволит быть спокойным за защищенность веб-приложений от хакерских атак и их последствий.

основные понятия и парадигма / Хабр

В данной публикации читателям предлагается ознакомиться с основными терминами и определениями в области информационной безопасности, а также будут рассмотрены концепция и парадигма информационной безопасности. Информация в данной и последующих публикациях основывается на общепринятых российских и мировых подходах к информационной безопасности.

С развитием информационных технологий и их всеобъемлющим проникновением практически во все сферы деятельности современных государств и компаний вопросы защиты информации становятся ключевыми: так называемая четвертая научная революция немыслима без использования наукоёмких информационных технологий, которые со всеми преимуществами привносят и связанные с ними риски, поскольку одновременно с проникновением ИТ в жизни государств, компаний и обычных граждан растут и множатся угрозы информационной безопасности.

Налицо постоянная эволюция как информационных технологий, так и сферы защиты информации, а также самих атакующих: если ещё в конце 20-го века вопросами взлома компьютерных систем занимались, как правило, увлеченные энтузиасты из академических сред, которые не ставили своей целью получение незаконной прибыли и обман компаний и граждан, то в последнее время с каждым годом растет количество финансово мотивированных злоумышленников. Более того, в современном киберпространстве орудуют настоящие армии хакеров, поддерживаемые и спонсируемые правительствами разных стран. Они осуществляют нападения на ресурсы и инфраструктуру других государств и крупных корпораций с целью получения разведывательной информации и, зачастую, вывода из строя объектов критической инфраструктуры или даже целых отраслей промышленности. Одновременно с этим нарастает также и государственное регуляторное давление: осознавая важность защиты информации и информационной инфраструктуры, практически все развитые государства принимают законодательные нормы, отвечающие современным вызовам. Таким образом, современная информационная безопасность находится «на линии перекрестного огня» высококвалифицированных атакующих, ИТ-потребностей бизнеса и государства, а также правового регулирования. Для победы в данных условиях прежде всего необходим твердый фундамент, а именно четкое понимание основных явлений, терминов, а также самой концепции информационной безопасности.

Под защитой информации в классическом понимании подразумевается обеспечение целостности, конфиденциальности, доступности информационных ресурсов. Кроме этого, дополнительными свойствами информации в состоянии защищенности являются неотказуемость, подлинность, подотчетность.

Под угрозой безопасности информации понимают потенциальную причину возникновения нежелательного инцидента информационной безопасности, который может нанести ущерб активам и нарушить состояние защищенности информации; инциденту может предшествовать несанкционированное изменение состояния актива, называющееся событием информационной безопасности.

Моделирование угроз — это идентификация всех угроз, которые могут нанести ущерб активам, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.

Под риском информационной безопасности понимают потенциальную возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Как и в классическом риск-менеджменте, есть следующие способы обработки киберриска: игнорировать, принять, избежать, передать, минимизировать. Выбор именно последнего, наиболее оптимального во многих случаях способа обработки риска предшествует разработке и внедрению систем и средств информационной безопасности. При этом при выборе и реализации конкретных мер по обеспечению информационной безопасности активов следует руководствоваться целесообразностью применения этих мер в контексте решаемой бизнес-задачи, стоимости актива и величины прогнозируемого ущерба, а также потенциальных затрат злоумышленников. Согласно общепринятому подходу, стоимость защитных мер не должна превышать стоимость актива или величину прогнозируемого ущерба, а расчетные целесообразные затраты на атаку для злоумышленника должны быть меньше, чем ожидаемая им прибыль от реализации этой атаки.

Ущерб от реализации атаки может быть прямым или непрямым. Прямой ущерб — это непосредственные очевидные и легко прогнозируемые потери компании, такие как утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д. Непрямой ущерб может означать качественные или косвенные потери. Качественными потерями могут являться приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг. Косвенные потери — это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы.

Угроза безопасности информации возникает при наличии следующих взаимосвязанных компонентов: источника угрозы, уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. Приведем пример: хакер (источник угрозы) атакует непропатченный веб-сервер компании (уязвимость актива) путем внедрения SQL-инъекции (способ реализации угрозы) в обслуживающую этот веб-сервер СУБД (объект воздействия) и незаконно получает конфиденциальную информацию (вредоносное воздействие).

Далее эти компоненты угрозы информационной безопасности будут рассмотрены подробнее.

1. Источником угрозы могут являться внешние или внутренние (по отношению к рассматриваемому объекту защиты) нарушители, третьи лица, силы природы.

Внешние нарушители не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными юридическими отношениями с рассматриваемой организацией. Такие нарушители не имеют легитимного доступа к объекту защиты (информационному активу) и классифицируются по ихнавыкам, возможностям и мотивации. Примерами внешних нарушителей могут быть как проправительственные хакеры-эксперты с государственной финансовой поддержкой или нанятые конкурентами киберпреступники, так и «хактивисты», профессиональные кибермошенники или даже подростки, вооруженные широкодоступными хакерским программами. Мерами противодействия внешним нарушителям является практически весь спектр «классических» способов обеспечения информационной безопасности: разработка и внедрение внутренних регламентирующих документов, средств защиты информации, мер активного противодействия, реагирование и расследование киберинцидентов и т.д. Организациям следует проводить регулярную оценку собственной подверженности риску атаки внешних злоумышленников, при которой нужно учитывать сферу деятельности, зависимость от информационных технологий, публичность, привлекательность для атакующих, широту охвата потенциальной атаки. В целом, именно внешние нарушители являются самым непредсказуемым и бесконтрольным фактором киберриска, требующим реализации самых современных мер и способов защиты.

Внутренними нарушителями могут считаться физические лица — сотрудники и руководители компании, а также юридические лица, которые имеют договорные отношения с компанией. Внутренние нарушители классифицируются по целенаправленности и злонамеренности их действий, а для осуществления целенаправленного несанкционированного доступа у злонамеренного инсайдера должны быть мотив, способ и соответствующая возможность для атаки. Поставщики услуг, оборудования или персонала также несут в себе риски информационной безопасности — известны случаи, когда причинами утечек становились поставщики IT-сервисов, производители вспомогательного оборудования и сотрудники компании-подрядчика. Повайдеры облачных сервисов также попадают в категорию потенциальных внутренних нарушителей, чему может свидетельствовать большое количество утечек данных из некорректно сконфигурированных облачных хранилищ. Следует отметить тенденцию последнего времени в виде стандартизации методов оценки и управления риском привлечения сторонних организаций: ЦБ РФ выпустил стандарт СТО БР ИББС-1.4-2018 «Управление риском информационной безопасности при аутсорсинге», а международный стандарт ISO 27036 можно использовать для управления информационной безопасностью при взаимодействии с поставщиками услуг, в том числе и с провайдерами облачных сервисов (руководствуясь ISO 27036-4:2016).

Кроме внешних и внутренних нарушителей не стоит забывать и о других источниках угроз: третьи лица и силы природы могу оказать существенное негативное влияние на деятельность компании. Так, третьими лицами можно считать органы государственной власти, последствия от вмешательства которых в работу компании могут быть соразмерны с воздействием стихийного бедствия. Новости о проведении следственных мероприятий могут негативно сказаться на имидже и репутации компании, а вынесенное предписание о приостановке деятельности на даже относительно непродолжительный срок может фактически означать уход компании с рынка. Такими же последствиями могут обернуться изъятие оборудования, опечатывание серверных помещений, арест ключевых руководителей компании. Мерами минимизации рисков, порожденных воздействием третьих лиц, должны быть как неукоснительное выполнение всех требований действующего законодательства, так и непрерывные внутренние compliance-проверки. Наконец, силами природы в контексте категоризации источников угроз являются стихийные бедствия, такие как природные и техногенные катастрофы, а также социальные катастрофы: эпидемии, военные действия, теракты, революции, забастовки и прочие форс-мажоры. Для минимизации рисков данных происшествий зачастую требуются большие финансовые вложения в системы обеспечения непрерывности деятельности и восстановления работоспособности, а также учет данных рисков на начальных этапах развития компании: следует тщательно выбирать месторасположение офисов с учетом местности, близости других учреждений и объектов инфраструктуры, погодных условий, состояния государства и социума, учитывать прогнозы экономического и социального развития конкретного региона присутствия. Кроме минимизации рисков воздействия стихийных бедствий описанными выше способами, компании могут выбрать и еще один способ обработки данных рисков — страхование. При продуманной и грамотно выбранной схеме страховых выплат можно нивелировать ущерб от воздействия непреодолимых сил на бизнес. Однако, любому руководителю и сотруднику всегда стоит помнить о том, что жизнь человека бесценна по сравнению с даже самым прибыльным бизнесом, поэтому при любых обстоятельствах спасение жизней и здоровья людей должно быть первым приоритетом.

2. Уязвимость — это недостаток средств защиты информационной системы, который может быть использован нарушителем (как внешним, так и внутренним) для реализации угроз информационной безопасности. Уязвимости информационной системы могут быть порождены как ошибками при создании, внедрении или эксплуатации системы, так и слабостью наложенных защитных средств и примененных мер.

С логической точки зрения, не может существовать идеально защищенных и безопасных информационных систем, которые при этом не находятся в изолированном пространстве, а выполняют свою бизнес-функцию, поэтому даже в самой казалось бы надежной и проверенной системе могут оказаться уязвимости. Российский стандарт ГОСТ Р 56546-2015 выделяет несколько возможных типов уязвимостей: уязвимости кода, конфигурации, архитектуры, организационная уязвимость, многофакторная уязвимость. Данный стандарт указывает и на потенциальные места возникновения уязвимостей: общесистемное, прикладное, специальное ПО, технические средства, сетевое оборудование, средства защиты. Уязвимость характеризуется степенью своей опасности, которая стандартом ГОСТ Р 56546-2015 определяется как сравнительная величина, характеризующая подверженность информационной системы уязвимости и влияние этой уязвимости на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).

Общепринятым способом расчета опасности уязвимости в количественном выражении является использование метрики CVSS (Common Vulnerability Scoring System) американского Национального института стандартов и технологий (NIST, National Institute of Standards and Technology). Данная метрика позволяет описать основные особенности уязвимости и количественно оценить её опасность (по шкале от 0 до 10) в зависимости от сложности эксплуатации, влияния на свойства безопасности актива, наличия готового эксплойта и его доступности для злоумышленника, возможности устранить уязвимость, уровня достоверности сообщения о наличии уязвимости, а также в привязке к конкретной среде эксплуатации уязвимой системы.

Идея централизованно регистрировать и классифицировать уязвимости нашла свою реализацию в нескольких официальных реестрах уязвимостей, таких как MITRE CVE (Common Vulnerabilities and Exposures), БДУ ФСТЭК России (Банк данных угроз безопасности информации), NIST NVD (National Vulnerability Database), CERT/CC VND (Vulnerability Notes Database).

Реестр CVE организации MITRE ведется с 1999 года, и за это время в нем были сохранены данные о более чем 115 тысячах уязвимостей. Информацию в данный реестр вносят CNA (CVE Numbering Authorities) — зарегистрированные организации (такие как государственные CERT’ы), компании-производители ПО, а также независимые исследователи безопасности, которые имеют полномочия присваивать обнаруженным уязвимостям идентификатор вида CVE-YYYY-NNNN, где YYYY — год обнаружения уязвимости, а NNNN — её порядковый номер. В настоящий момент в списке CNA присутствуют 98 организаций и лиц, среди которых есть две российских компании — Яндекс и Лаборатория Касперского.

Российский реестр БДУ находится в ведении ФСТЭК России и ГНИИИ ПТЗИ. С 2015 года он пополнился информацией о более чем 21 тысяче уязвимостей, имеющих идентификаторы вида BDU: ГГГГ-ННННН, где ГГГГ — год обнаружения, а ННННН — порядковый номер уязвимости. Данный реестр характерен тем, что содержит уникальную информацию об уязвимостях в ПО российской разработки, которая не представлена в других реестрах, а также позволяет разработчикам отечественных средств защиты информации получать актуальные данные об уязвимостях из надежного государственного источника. Любой нашедший уязвимость гражданин или организация могут отправить информацию о ней через веб-форму или по электронной почте непосредственно во ФСТЭК России.

Кроме указанных официальных, существует и большое количество альтернативных реестров уязвимостей и эксплойтов, которые ведутся как разработчиками ПО (например, Microsoft, Cisco, Oracle, IBM, Red Hat, Ubuntu, VMware и прочие), так и отдельными организациями и энтузиастами.

Причиной возникновения уязвимости может быть ошибка, допущенная при разработке или настройке ПО. Американский Национальный институт стандартов и технологий классифицирует 124 типа ошибок в своем перечне CWE (Common Weakness Enumeration). Более того, для каждой из приведенных ошибок на сайте организации MITRE приведено её подробное описание с примерами уязвимого кода, указаниями по обнаружению и устранению подобных ошибок с привязкой к стадиями разработки ПО, а также со ссылками на зарегистрированные уязвимости CVE, которые были вызваны данной ошибкой, и на шаблоны атак CAPEC (Common Attack Pattern Enumeration and Classification), связывающие ошибку и возможные атаки.

ФСТЭК России создала реестр угроз безопасности информации в качестве отечественной альтернативы классификатору MITRE CAPEC. Данный реестр на текущий день содержит 213 типов угроз, при этом каждый тип угрозы имеет свой уникальный идентификатор (вида УБИ.***), описание угрозы, источника, объекта воздействия и последствий от её реализации. Доступен поиск по названию, источнику или последствиям реализации угрозы. При этом в реестре содержатся не только чисто технические угрозы, но и организационные, такие как, например, УБИ.040 (Угроза конфликта юрисдикций различных стран), УБИ.056 (Угроза некачественного переноса инфраструктуры в облако) или УБИ.134 (Угроза потери доверия к поставщику облачных услуг).

Для выявления уязвимостей можно применять как автоматизированные системы (сканеры уязвимостей, системы управления конфигурациями и версиями), так и проводить оценку защищенности и тесты на проникновение, в результате чего организация получает информацию о наличии потенциально эксплуатируемых уязвимостей. Однако нужно помнить, что каждый день появляется в среднем несколько десятков новых уязвимостей, так что эпизодическим анализом обходиться не следует, а стоит выстраивать непрерывный процесс управления уязвимостями. В его рамках организации могут циклически проходить инвентаризацию, классификацию и приоритизацию активов, анализ текущей защищенности, поиск уязвимостей и их обработку (устранение/минимизация/изоляция/принятие) в соответствии с их критичностью, последующую проверку и оценку эффективности пройденных шагов.

3. Способы реализации угроз также поддаются классификации. Например, ФСТЭК России предлагает следующие категории методов реализации угроз: несанкционированный сбор информации, исчерпание ресурсов, инъекция, подмена при взаимодействии, манипулирование сроками и состоянием, злоупотребление функционалом, вероятностные методы, нарушение аутентификации, нарушение авторизации, манипулирование структурами данных, анализ целевого объекта, манипулирование ресурсами, использование технических отказов и ошибок, получение физического доступа, использование слабостей организации.

Проект MITRE ATT&CK является базой знаний о способах реализации угроз, расширяя список методов до тактик, техник и процедур (TTPs — Tactics, Techniques, Procedures), применяемых атакующими. MITRE ATT&CK связан с классификатором шаблонов атак MITRE CAPEC, о котором мы говорили ранее. Для каждой из тактик атак приводится перечень конкретных техник, которые сопровождаются детальным техническим описанием реализации атаки, списком ПО, используемого атакующими, и идентификаторами конкретных киберпреступных группировок, использующих в соответствии со своим «почерком» те или иные TTPs, по которым атаку можно атрибутировать для успешного противодействия или расследования.

4. Объектами вредоносного воздействия при атаке могут быть все активы компании, как материальные, так и нематериальные: люди, информация, процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты систем. При этом следует помнить, что именно люди — сотрудники, руководители, аутсорсеры — являются зачастую самым слабым звеном в системе обеспечения информационной безопасности компании. Если технические средства защиты функционируют в соответствии с заложенными в них правилами и для их эффективной работы достаточно произвести корректную настройку, то для минимизации «человеческого фактора» при кибератаках следует непрерывно вести разъяснительную работу с персоналом и проводить тренировки и обучение, учитывая психологические и социокультурные особенности поведения сотрудников.

5. Видами вредоносного воздействия, как правило, являются нарушение целостности, конфиденциальности, доступности информационных ресурсов, а также атаки на неотказуемость, подлинность, подотчетность информации.

Интересными примерами нарушения целостности могут являться разнообразные способы манипулирования и мошенничества с данными, такие как Data Diddling (скрытое внесение некорректных изменений в систему с целью сохранения искаженных сведений и получения от этого финансовой выгоды в дальнейшем — например, для манипулирования финансовой отчетностью компании и стоимостью акций), Salami Fraud (внесение большого количества очень малозаметных изменений на протяжении длительного времени, что в итоге приводит к значительным последствиям — например, списание 10 копеек с каждого банковского счета всех клиентов на протяжении года), «логические бомбы» (внедрение программных закладок, приводящих к искажению хранящихся/обрабатывающихся данных при наступлении определенных условий — например, несанкционированное начисление повышенных процентов по вкладу определенному сотруднику банка после его увольнения).

Нарушение конфиденциальности информации чревато не только очевидными последствиями в краткосрочной перспективе, например, при обнаружении персональных данных клиентов в отрытом доступе, но и тем, что украденная информация может неожиданно «всплыть» через несколько лет после факта компрометации — например, порочащие компанию или руководителя сведения могут быть разглашены накануне IPO или назначения на новую должность. Кража ноу-хау компании конкурентами может привести не только к потере конкурентных преимуществ и доли на рынке, но и к фактам вымогательства со стороны атаковавших конкурентов, угрожающих предать огласке «серые» способы ведения бизнеса компанией.

Атаки, в результате которых нарушается доступность информации, как правило, оказываются самыми легкими для обнаружения, одновременно являясь чрезвычайно разрушительными с точки зрения осуществления операционной деятельности и сохранения репутации. Примерами могут являться как нашумевшие международные эпидемии WannaCry или NotPetya, так и DDoS-атаки на российские платежные системы и банки. Организации и частные лица также всё чаще сталкиваются с вирусами-вымогателями, которые становятся опаснее год от года и способны приостановить функционирование целых предприятий.

Описанные выше совокупные компоненты угроз информационной безопасности (источники, уязвимости и способы реализации угроз, объекты и виды вредоносного воздействия) могут быть нейтрализованы защитными мерами, которые традиционно подразделяются на организационные, технические, физические и применяются к сотрудникам, процессам и технологиям. По целям применяемых мер существует разделение на предупредительные, директивные, превентивные, сдерживающие, корректирующие, восстановительные, расследовательные и компенсирующие меры.

Основными международными стандартами практического обеспечения информационной безопасности являются ISO/IEC 27001:2013 Information security management systems – Requirements («Системы менеджмента информационной безопасности – Требования») и NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»), которые включают в себя описание организационных и технических требований для разработки целостной системы обеспечения и управления информационной безопасностью. Следует отметить, что все меры защиты, описанные в стандарте NIST SP 800-53, включают в себя также и конкретные шаги по реализации соответствующей меры, что делает этот документ гораздо более подробным, нежели стандарт ISO/IEC 27001:2013.

Внедрение различных технических средств защиты целесообразно производить только после прохождения основных этапов построения комплексной системы управления информационной безопасностью: разработки внутренних нормативных документов в области риск-менеджмента и кибербезопасности, инвентаризации и классификации активов, оценки и анализа рисков, технико-экономического обоснования внедрения конкретных типов средств защиты. Следует также учесть, что даже самое современное и «продвинутое» средство требует тонкой настройки для выполнения защитных бизнес-функций в конкретной компании, поэтому для экономически эффективного использования потребуется сначала выработать понимание того, какие именно риски будет закрывать та или иная система киберзащиты, а затем соответствующим образом её настроить и непрерывно поддерживать в актуальном состоянии.

В заключение хотелось бы еще раз отметить, что развитие и польза от применения современных информационных технологий идут рука об руку с ассоциированными с ними рисками и угрозами. Поэтому внедрение информационных технологий, как любой новый проект, несущий в себе определенную неизвестность, следует сочетать с анализом и обработкой рисков. Однако зачастую бытует устаревший подход, при котором вопросы обеспечения информационной безопасности рассматриваются в отрыве от бизнес-контекста, а также не сочетаются с управлением рисками. Только целостное понимание компонентов актуальных угроз информационной безопасности вкупе с применением методик оценки рисков внедрения и эксплуатации тех или иных информационных систем, а также понимание современных способов нейтрализации угроз защитными мерами принесет вам пользу при выборе ИТ-стратегии развития компании и её цифровой трансформации, а также при внедрении и использовании тех или иных информационных технологий, продуктов и сервисов.

угроз информационной безопасности — SearchInform

Информационная безопасность в самом широком смысле — это комбинация средств защиты информации от случайного или преднамеренного раскрытия. Владелец информации несет убытки независимо от того, было ли воздействие вызвано естественными или искусственными факторами.

Принципы информационной безопасности

Целостность означает способность данных сохранять исходную форму и структуру во время хранения и после повторных передач.Только владелец или пользователь с законным доступом к данным имеет право редактировать, удалять или дополнять информацию.

Конфиденциальность свидетельствует о необходимости ограничения доступа к информационным ресурсам для определенного круга лиц. Во время действий и операций информация доступна только пользователям, которые включены в информационные системы и успешно аутентифицированы.

Доступность означает, что публичная информация должна быть доступна авторизованным пользователям ресурсов своевременно и беспрепятственно.

Подлинность показывает, что информация принадлежит доверенному лицу или владельцу, который в то же время действует как источник информации.

Обеспечение и поддержание информационной безопасности включает в себя набор различных мер по предотвращению, отслеживанию и устранению несанкционированного доступа третьих лиц. Меры информационной безопасности также направлены на защиту от повреждения, искажения, блокировки или копирования информации. Все задачи следует решать одновременно, только тогда обеспечивается полная и надежная защита.

Основные вопросы о способах защиты информации особенно остро стоят, когда взлом или кража с искажением информации приводят к тяжелым последствиям или финансовому ущербу.

При моделировании создается следующая логическая цепочка преобразования информации:

Виды угроз информационной безопасности

Информационная угроза — это потенциально возможное влияние или воздействие на автоматизированную систему с последующим повреждением чьих-либо потребностей.

На сегодняшний день существует более ста позиций и типов угроз информационной системе. Крайне важно анализировать все риски с помощью различных методов диагностики. На основании проанализированных детализированных показателей можно грамотно построить систему защиты от угроз в информационном пространстве.

Классификация уязвимостей безопасности

Угрозы информационной безопасности проявляются не самостоятельно, а через возможное соприкосновение с пробелами в системе защиты или факторами уязвимости.Угроза приводит к нарушению работы систем на конкретном носителе.

Основные уязвимости вызваны следующими факторами:

• Недостатки программного или аппаратного обеспечения
• Различные характеристики структуры автоматизированных систем в информационном потоке
• Некоторые операционные процессы системы неадекватны
• Неточность протоколов обмена информацией и интерфейса
• Сложные условия эксплуатации и условия, в которых находится информация.

,

угроз информационной безопасности в организациях и обеспечение предотвращения и восстановления

В современных организациях стало обычным делом иметь обширную ИТ-инфраструктуру (информационные технологии), а также программные и аппаратные активы. В самом деле, с полным внедрением ИТ организациями ни одна организация, достойная своего имени, не имела бы ИТ-магистрали, какой бы небольшой она ни была. Это означает, что организации не могут функционировать без ИТ-систем.

Кроме того, ИТ стали критически важными для обеспечения конкурентных преимуществ организаций, и без ИТ невозможно вести бизнес.

Сказав это, необходимо отметить, что наличие ИТ-системы не означает успеха или гарантированных результатов, если организации не предпримут шагов для обеспечения того, чтобы их протоколы и процедуры информационной безопасности были хорошо спроектированы, а их ИТ-активы были защищены от внешних и внутренних угроз. ,

Действительно, , когда ИТ становятся повсеместными, так же как и многочисленные угрозы, такие как взлом со стороны внешних субъектов, кража конфиденциальной и частной информации внутренними субъектами, включая сотрудников , кибератаки, которые делают ИТ-инфраструктуру уязвимой для финансовых потерь, и, прежде всего, всепроникающая угроза того, что все эти злоумышленники получат доступ к ИТ-системам организации и прибегнут к действиям, которые могут поставить под угрозу бизнес организаций.

Мы перечислили внешние и внутренние угрозы выше. Хотя хорошо известно, что внешние угрозы проявляются из-за того, что хакеры и киберпреступники используют лазейки и уязвимости в ИТ-системах и инфраструктуре, необходимо также отметить, что угрозы изнутри столь же опасны, как и угрозы извне.

Действительно, в последние годы наблюдается растущая тенденция киберпреступников получать помощь от внутренних субъектов в организациях, которые предоставляют им внутреннюю информацию и подробные сведения об организационных системах и ИТ-инфраструктуре.

Более того, также было обнаружено, что чаще всего именно инсайдеры позволяют хакерам извне проникать в ИТ-системы организации и создавать хаос и сеять хаос.

С другой стороны, нельзя полностью игнорировать угрозы со стороны хакеров, которые стремятся проникнуть в ИТ-системы не только со скрытыми мотивами, но также со стороны конкурентов и других субъектов, которые теперь используют киберпространство как средство расширения своих конкурентных игр.

В самом деле, если не что иное, угроза со стороны хакеров, которые верны своим конкурентам и коллегам, постепенно признается как законный повод для беспокойства среди профессионалов в области информационной безопасности.

Кроме того, , даже целые страны и их спецслужбы теперь занимаются кибер-взломами организаций своих стран-конкурентов, чтобы нанести им ущерб и экономические потери. Это особенно актуально в контексте соперничества между США, Китаем и Россией, когда хакеры из всех стран, которым помогают и подстрекают их сторонники из коммерческих интересов и интересов национальной безопасности, взламывают системы своих соперников, чтобы нанести ущерб и причиняют экономический, финансовый и репутационный ущерб, не говоря уже о нарушении работы бизнеса.

Таким образом, все эти аспекты означают, что профессионалы ИБ в организациях должны защищать свои системы от неправильного обращения, чтобы обезопасить их от этих множественных угроз и обеспечить защиту своих ИТ-активов и оборудования, а также ИТ-инфраструктуры. Действительно, с таким количеством угроз, скрывающихся в киберпространстве, организации и отделы информационной безопасности нередко устанавливают межсетевые экраны и ограничивают доступ к своим системам из внешних источников.

Это также причина, по которой многие организации в последние годы предприняли шаги по ограничению использования Интернета их сотрудниками, чтобы они не оставляли цифровых следов в киберпространстве, которые могут быть использованы злонамеренными хакерами и киберпреступниками.

Еще одна область, вызывающая беспокойство у специалистов по ИБ, — это растущее число случаев фишинга и кражи личных данных, что гораздо серьезнее, когда это касается счетов менеджеров и руководителей высшего звена, помимо руководства в их организациях.

Хотя кража личных данных и фишинг могут нанести ущерб кому-либо и организациям, если они затрагивают старших сотрудников, они могут серьезно навредить целям организации, поскольку большинство этих сотрудников будут иметь строго секретную и конфиденциальную информацию, хранящуюся в их системах.

Это причина, по которой многие профессионалы в области ИБ сейчас отстаивают безопасные и защищенные системы для менеджеров и старших руководителей, которые отличаются и более изолированы от систем, используемых рядовыми сотрудниками.

Действительно, с таким большим беспокойством по поводу этих аспектов, специалисты по ИБ также обеспечивают, чтобы выше определенного уровня в организациях доступ к ИТ и Интернету осуществлялся по выделенным и автономным линиям, а не по общему и общекорпоративному доступу, который есть у других сотрудников.

Наконец, как говорится, профилактика лучше, чем лечение, а нападение — лучшая форма защиты, а это означает, что специалистам по ИБ следует принять меры для предотвращения, а не реагирования на кибер-нарушения, и занять агрессивную позицию против потенциальных хакеров. а также злонамеренные инсайдеры вместо того, чтобы отреагировать после взлома или взлома.

Кроме того, также бывает, что такие повседневные вещи, как запись паролей на листах, оставленных без присмотра и незапертых под замком, также могут вызывать нарушения ИБ.Кроме того, хотя кто-то думает, что взлом — это то, что происходит где-то там, такое простое, как посещение веб-сайта с неадекватными мерами безопасности, также может стать источником серьезного нарушения. В заключение следует помнить, что невнимательность и надзор лежат в основе рисков ИБ, и поэтому рекомендуется принять меры для минимизации этих аспектов.

Авторство / Ссылки — Об авторе (ах)

Статья написана «Прачи Джунджа» и проверена Management Study Guide Content Team .В состав группы MSG по содержанию входят опытные преподаватели, профессионалы и эксперты в предметной области. Мы являемся сертифицированным поставщиком образовательных услуг ISO 2001: 2015 . Чтобы узнать больше, нажмите «О нас». Использование этого материала в учебных и образовательных целях бесплатно. Укажите авторство используемого содержимого, включая ссылку (-ы) на ManagementStudyGuide.com и URL-адрес страницы содержимого.

,

Типы компьютерной безопасности: угрозы и способы защиты

Компьютерная безопасность — одна из самых важных проблем в организациях, которые не могут позволить себе потерю данных. В связи с тем, что в сети происходит много всего, становится крайне необходимо защитить контент от потери и перехвата, поскольку постоянно витает видение злого умысла, направленного на нарушение безопасности веб-мира.

Компьютерная безопасность — это отрасль информационных технологий, которая занимается защитой данных в сети или на автономном компьютере.Поскольку каждая организация зависит от компьютеров, технология ее безопасности требует постоянного развития. Вот различные типы компьютерной безопасности.

Аппаратная безопасность

Угроза

Хотите написать для нас? Что ж, мы ищем хороших писателей, которые хотят распространять информацию. Свяжитесь с нами, и мы поговорим …

Давайте работать вместе!

Даже если компьютер не подключен к сети, человек может открыть его шкаф и получить доступ к жестким дискам, украсть их и неправильно использовать или уничтожить данные, сохраненные на них, или полностью повредить устройство.Также необходимо помнить, что, если кто-то обманывает оборудование своего компьютера, риск потери гарантии становится очень высоким.

Защита

Безопасность компьютерного оборудования и его компонентов также необходима для общей защиты данных. Если автономная система содержит важную или секретную информацию, она должна находиться под постоянным наблюдением. Система блокировки для настольного компьютера и цепочка безопасности для ноутбука являются основными устройствами безопасности для вашей машины.Доступны определенные дисковые замки различных размеров, которые управляют снятием крышки процессора, защищающей внутренние компоненты системы.

Например, вы найдете замок для накопителя на магнитной ленте, замок корпуса компьютера с тросиком и навесным замком, тросы безопасности и т. Д. Замок для диска охраняет все внутренние точки доступа, расположенные на ЦП, и защищает их.

Безопасность программного обеспечения

Сетевая безопасность

В наши дни компьютерные сети являются неотъемлемой частью любой организации, поскольку они обеспечивают свободный поток данных и услуг для авторизованных пользователей.Однако такие сети также представляют угрозу безопасности в случае, если данные засекречены и конфиденциальны, что делает безопасность сети жизненно необходимой.

Угрозы

Поскольку данные доступны только авторизованным пользователям, хакеры могут притвориться таковыми, указав правильное имя пользователя и пароль. Безопасность компьютерной сети может быть нарушена или нарушена следующими способами:

Отказ в обслуживании

Отказ в обслуживании предназначен для отключения компьютера или сети и может выполняться с ограниченными ресурсами.Это одна из наиболее распространенных форм хакерских атак, которая может эффективно вывести из строя всю сеть организации. Атака отказа в обслуживании делает компьютерный ресурс недоступным для предполагаемого пользователя.

Для проведения такой атаки хакеры обычно наводняют сеть или маршрутизаторы доступа ложным трафиком. Они также предпринимают попытки разорвать соединение между двумя машинами и предотвратить доступ людей к службе.

Троянский конь

Троянский конь — распространенное явление и одна из самых потенциальных угроз компьютерной безопасности.Это вредоносные программы, нарушающие безопасность, замаскированные под что-то, что программное обеспечение безопасности не считает вредоносным. Это полезный инструмент для хакеров, пытающихся взломать частные сети. Хакеры обычно прикрепляют к файлу троянского коня, который запускает вирус или удаленно управляемое программное обеспечение, предоставляя хакеру полный контроль над компьютером.

Вирусы и черви

Хотите написать для нас? Что ж, мы ищем хороших писателей, которые хотят распространять информацию.Свяжитесь с нами, и мы поговорим …

Давайте работать вместе!

Вирусы и черви известны своей деструктивной природой и способностью к самовоспроизводству. По сути, они представляют собой фрагменты компьютерных программных кодов, которые написаны хакерами и другими компьютерными гениями.

Обнюхивание

Sniffing — это перехват пакетов TCP / IP во время их передачи по сети.Перехват обычно происходит путем простого подслушивания, выполняемого хакером.

Защита

Межсетевой экран

Это один из наиболее важных типов сетевой безопасности в современном мире Интернета. Брандмауэр — это фильтр, который предотвращает доступ мошеннических веб-сайтов к вашему компьютеру и повреждение данных. Однако брандмауэр — не лучший вариант для защиты серверов в Интернете, потому что основная задача сервера — предоставить доступ неизвестным пользователям для подключения к различным веб-страницам.

Программное обеспечение безопасности

Наряду с брандмауэром попробуйте установить хорошее антивирусное и защитное программное обеспечение, чтобы повысить уровень безопасности вашей компьютерной системы.

Безопасность данных

Угроза

Хотя и нечасто, неисправность оборудования может оказаться серьезной угрозой для ваших данных на компьютере. Срок службы жестких дисков всегда ограничен из-за окружающих факторов, и это может привести к серьезной потере всех ваших файлов, сохраненных на диске, если нет надлежащего резервного копирования этих файлов, сделанного в любой другой системе.

Защита

Сохранить резервную копию

Важно избегать потери данных и информации в случае поломки жесткого диска. Единственное решение — регулярно хранить резервные копии всех данных на других носителях, таких как магнитные ленты, CD-ROM и т. Д. Рекомендуется хранить носитель вне офиса, а в случае сбоя диска восстанавливать информацию с резервный носитель на новый диск.

Если резервный носитель недоступен, следует попытаться сохранить файлы как минимум на двух разных носителях.Эти мультимедийные устройства следует систематически хранить в безопасном и защищенном месте, поскольку содержащаяся в них информация может быть конфиденциальной. Обычно у людей есть резервные копии файлов баз данных, файлов электронных таблиц и больших документов. Поскольку технические ограничения всегда есть, лучше делать регулярные резервные копии, чтобы избежать потери информации.

Программа очистки

Установите на компьютер программу, которая очистит все старые неиспользуемые файлы и ключи реестра.Это также поможет обнаружить вредоносные программы и уберечь ваш компьютер от серьезных повреждений. Держите свою систему в курсе последних обновлений и предупреждений безопасности, иначе она станет уязвимой для угроз безопасности.

Важно вести учет консультантов по технической поддержке и документации по программному обеспечению, например руководств и руководств, чтобы сделать их доступными для сотрудников компании.

,

Что такое информационная безопасность и почему это важно?

Двухфакторная аутентификация, разрешения пользователей и брандмауэры — вот некоторые из способов защиты нашей личной информации от внешних источников. Согласно определению Национального института стандартов и технологий (NIST), информационная безопасность — это «защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения». Благодаря широкому распространению технологий количество клиентов, нуждающихся в защите от угроз безопасности, постоянно растет.От крупных глобальных корпораций до небольших стартапов — всем, кто использует технологии для ведения своего бизнеса, нужна помощь в предотвращении нарушений безопасности.

Важность информационной безопасности

Организации признали важность наличия препятствий для защиты частной информации от разглашения, особенно когда эта информация является конфиденциальной. В отчете о тенденциях кибербезопасности за 2017 год представлены результаты, которые отражают потребность в квалифицированном персонале по информационной безопасности на основе текущих прогнозов и опасений кибератак.

• Чувство уверенности в уровне безопасности своей организации : Когда члены сообщества по информационной безопасности участвовали в составлении отчета о тенденциях кибербезопасности, их спросили, насколько положительно они относятся к своей позиции в области безопасности. 62% сообщили, что чувствовали себя умеренно или совсем не уверены; только 7% были крайне уверены. «Специалистов по кибербезопасности больше всего беспокоят фишинговые атаки, злонамеренные инсайдеры и вредоносное ПО», — говорится в отчете.
• Потребность в квалифицированных рабочих и выделение средств на безопасность в рамках своего бюджета : Компании прилагают усилия, чтобы выделить больше средств в свои бюджеты на безопасность.По мере роста угроз кибератак эксперты по информационной безопасности настаивают на том, чтобы уделять больше внимания защите компаний от потери времени из-за сбоев в защите сети.
• Сбои в их повседневной работе : Время — деньги. Нарушения системы безопасности, которые мешают существенному функционированию компании, представляют собой угрозу, с которой можно бороться с помощью квалифицированных специалистов по информационной безопасности, которые остановят проникновение, которое изначально оставалось незамеченным.

вакансий в информационной безопасности

Заинтересованы в том, чтобы стать частью команды по информационной безопасности, но не знаете, где лучше всего использовать свои навыки? Изучение различных типов рабочих мест, доступных в области информационной безопасности, может помочь вам найти занятие в области ИТ, которое не только вас интересует, но и подвергнет испытанию ваши знания в области информационной безопасности.Указанные оклады, любезно предоставленные Бюро статистики труда США, являются средними окладами и не должны рассматриваться как начальная зарплата.

• Аналитик информационной безопасности
  Заработная плата: 95 510 долларов США
  Обязанности: Аналитики информационной безопасности отслеживают компьютерные сети своих компаний, чтобы бороться с хакерами и составлять отчеты о нарушениях безопасности. Они также могут тестировать сети своих компаний и моделировать кибератаки.
• Разработчик программного обеспечения
  Заработная плата: 103 560 долларов США
  Обязанности: Разработчикам программного обеспечения можно поручить широкий круг обязанностей, которые могут включать в себя проектирование частей компьютерных программ и приложений и разработку того, как эти части работают вместе.Они также могут порекомендовать обновления для компьютерных систем пользователей и обеспечить продолжение работы программ посредством обслуживания и тестирования.
• Архитекторы компьютерных сетей
  Заработная плата: 104 000 долларов
  Обязанности: Создание корпоративной сети для малого бизнеса или облачной инфраструктуры для бизнеса с корпоративными офисами в городах на противоположных побережьях. Как архитектор компьютерных сетей, у вас будет возможность спроектировать сеть, отвечающую конкретным потребностям компании.Архитекторы компьютерных сетей думают о будущем, чтобы в будущем легко удовлетворить потребности компании.
• Менеджеры компьютерных и информационных систем
  Заработная плата: 139 000 долларов США
  Обязанности: менеджеры по информационным системам работают над тем, чтобы технологии компании могли достичь поставленных ИТ-целей. Признавая как краткосрочные, так и долгосрочные потребности компании, менеджеры информационных систем работают над обеспечением безопасности любой информации, передаваемой по сети компании и электронных документов.

Принципы информационной безопасности

NIST сказал, что средства защиты данных действуют «для обеспечения конфиденциальности, целостности и доступности» защищенной информации. Эти принципы, с аспектами которых вы можете сталкиваться ежедневно, изложены в модели безопасности ЦРУ и устанавливают стандарты защиты данных. Конфиденциальность ограничивает доступ к информации для уполномоченного персонала, например наличие PIN-кода или пароля для разблокировки вашего телефона или компьютера. Целостность гарантирует, что информацию могут изменять только авторизованные пользователи, сохраняя достоверность информации и представляя организацию или сайт как заслуживающие доверия.Доступность требует, чтобы информация была доступна авторизованным пользователям в любое время, когда они в ней нуждаются. Чтобы это стало возможным, необходимо обновить системы и создать резервную копию программного обеспечения. «Тщательное внедрение средств управления информационной безопасностью жизненно важно для защиты информационных активов организации, а также ее репутации, правового положения, персонала и других материальных активов», — говорится в сообщении NIST.

Реализация модели безопасности CIA обеспечивает защиту информации. В связи с растущим беспокойством по поводу конфиденциальности и безопасности конфиденциальной информации как отдельных лиц, так и корпораций, компании вкладывают больше ресурсов в кибербезопасность.«В сегодняшней среде вредоносного кода, системных нарушений и внутренних угроз, — заявил NIST, — публичные проблемы безопасности могут иметь ужасные последствия, особенно для прибыльности и репутации организации».

Информационная безопасность — это растущая область, в которой нужны знающие ИТ-специалисты. Получение степени бакалавра компьютерных наук со специализацией в области информационной безопасности даст вам опыт, необходимый для удовлетворения потребностей организаций, которые хотят активизировать свою игру в области безопасности.Обладая навыками работы с компьютером и стремлением защитить информацию, вы станете незаменимым активом, который любая организация будет благодарна за наличие.

Как попасть в информационную безопасность

Хотя для работы аналитиком информационной безопасности обычно требуется степень бакалавра (например, степень бакалавра компьютерных наук или степень защиты информации), некоторые работодатели также предпочитают аналитиков со степенью MBA в области информационных технологий. По словам BLS, получение опыта в качестве администратора компьютеров или сетевых систем также привлекательно для многих предприятий.

Существует также ряд сертификатов по информационной безопасности, которые могут укрепить ваши навыки и, возможно, ваше резюме, включая Сертифицированный специалист по безопасности информационных систем.

Эшли Уоллис — ветеран армии и писатель со степенью бакалавра английского языка и литературы в SNHU. В настоящее время она живет в районе Денвера. Найдите ее в твиттере @AshDWallis.

,