1.2. Основы информационной безопасности

1.2. Основы информационной безопасности

Прежде чем перейти к знакомству с основами информационной безопасности, резонно заметить, что объем приведенных материалов можно считать лишь ознакомительным, но никак не исчерпывающим руководством, в силу того что полное изложение данной темы выходит за рамки книги.

Итак, информационная безопасность (ИБ) – это процесс и состояние, при котором достигается приемлемый уровень защищенности информации в процессе ее использования.

Чтобы лучше понять, что же такое ИБ, зачем она нужна и какое состояние системы можно считать небезопасным, прежде всего необходимо уяснить себе, какие цели преследует эта самая ИБ.

Выделяют пять основных целей ИБ, среди которых самыми главными можно считать следующие:

? конфиденциальность;

? доступность;

? целостность.

Под конфиденциальностью понимается доступность информации только определенному кругу лиц (например, информация под грифом "секретно" предназначена исключительно для авторизованного персонала).

Под доступностью понимается возможность получения информации авторизованными пользователями в нужное для них время (например, банк предоставляет возможность осуществления транзакций посредством обращения пользователя к корпоративному сайту, при этом сайт должен быть доступен любому пользователю, подключившемуся к Интернету).

Под целостностью понимается гарантия существования информации в неискаженном, истинном виде (например, тот же банк должен быть уверен, что персональные данные, переданные в сеть пользователем, не искажены и верны).

Чтобы не возникло путаницы в определениях, терминах и понятиях, а также в вопросах, касающихся практического применения инструментов ИБ, уже достаточно давно были созданы стандарты информационной безопасности.

Наиболее известна оранжевая (по цвету обложки) книга Министерства обороны США. В этом документе определяется четыре уровня безопасности: D, С, В и А. По мере перехода от уровня D к А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы C1, C2, В1, В2 и ВЗ. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.

Вместе с тем следует упомянуть и британский стандарт BS 7799 "Управление информационной безопасностью. Практические правила", который лег в основу международного стандарта ISO/IEC 17799:2005, который, в свою очередь, стал базой для стандарта ISO/IEC 27001.

Следующим понятием ИБ, которое логически вытекает из представлений о стандартах информационной безопасности, является политика ИБ.

Итак, политика безопасности (от англ. security policy) представляет собой совокупность правил, установок и принципов, соблюдение которых обеспечивает приемлемый уровень безопасности/защищенности информационного пространства и инфраструктуры, непосредственно связанной с деятельностью рассматриваемой организации.

Результатом работы администратора безопасности должно стать создание документа политики ИБ.

При создании документа политики ИБ особое внимание необходимо обратить на следующие вопросы:

? что можно отнести к активам организации (данные, персонал, обслуживающая инфраструктура, материальные ценности);

? насколько чувствительна и секретна рассматриваемая информация;

? какие факторы и в каком объеме могут нанести фирме ущерб в информационном аспекте (идентификация угроз);

? насколько уязвима система для вторжения изнутри и снаружи (идентификация уязвимостей);

? каковы риски организации с учетом входных данных (угрозы, уязвимости, ущерб, активы) и что можно предпринять для минимизации этих рисков.

Определение рисков ИБ и их минимизация являются, пожалуй, ключевым моментом, определяющим актуальность и эффективность политики ИБ.

Как определить, является риск для организации большим или маленьким, приемлемым или недопустимым? В простейшем случае для выяснения степени риска можно воспользоваться матрицей рисков (табл. 1.1).

Из табл. 1.1 вовсе нетрудно догадаться, что величина риска является результатом произведения входных значений (угрозы и ущерба).

Как видно из таблицы, риск можно классифицировать по уровню:

? высокий;

? средний;

? низкий.

Таблица 1.1. Матрица рисков (согласно рекомендациям NIST "Risk Management Guide for Information Technology Systems")

Понятное дело, что если организация имеет дело с высоким риском, то его необходимо нейтрализовать или в крайнем случае минимизировать.

ПРИМЕЧАНИЕ

Если анализ системы показывает, что для минимизации и/или нейтрализации риска могут потребоваться слишком большие неоправданные затраты, то целесообразно отнести такой риск к категории приемлемых. Ущерб от атаки и затраты на ее предотвращение должны быть сбалансированы!

Как правило, система с высоким уровнем риска наиболее подвержена атакам. В зависимости от источника можно выделить по крайней мере два типа атак:

? внешние атаки;

? атаки, исходящие изнутри (чаще всего ассоциированы с действием инсайдеров).

В рамках следующего раздела мы поговорим с вами о некоторых разновидностях сетевых атак, которые, как вы уже догадались, в большей своей части относятся к внешним атакам.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Глава 15: Знание об информационной безопасности и тренировки

Из книги Искусство обмана автора Митник Кевин

Глава 15: Знание об информационной безопасности и тренировки Перевод: sly (http://slyworks.net.ru ) icq:239940067Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза.Что остановит его?Ваш файервол? Нет.Мощная система идентификации?


Перечень информационных ресурсов Internet, посвященных вопросам информационной безопасности

Из книги Атака на Internet автора Медведовский Илья Давыдович

Перечень информационных ресурсов Internet, посвященных вопросам информационной безопасности Зарубежные сайтыFirst (Forum of Incident Response and Security Teams): http://www.first.orqCERT (Computer Emergensy Response Team): http://www.cert.oraCIAC (Computer Incident Advisory Capability): http://ciac.llnl.govNASIRC (NASA Automated Systems Incident Response Capability): http://nasirc.nasa.aovDoD Information


Сергей Александрович Петренко, Владимир Анатольевич Курбатов Политики информационной безопасности

Из книги Политики безопасности компании при работе в Интернет автора Петренко Сергей Александрович

Сергей Александрович Петренко, Владимир Анатольевич Курбатов Политики информационной


Приложение 1 ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В США

Из книги Цифровой журнал «Компьютерра» № 188 автора Журнал «Компьютерра»

Приложение 1 ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В США В начале 2005 года Институт компьютерной безопасности (Computer Security Institute, CSI) и Группа по компьютерным вторжениям отделения Федерального бюро расследований в Сан-Франциско (San Francisco Federal Bureau of Investigations Computer Intrusion


Приложение 2 МЕЖДУНАРОДНЫЙ ОПРОС 2003 ГОДА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЗОР РЕЗУЛЬТАТОВ ПО СТРАНАМ СНГ

Из книги Безопасность информационных систем. Учебное пособие автора Погонышева Дина Алексеевна

Приложение 2 МЕЖДУНАРОДНЫЙ ОПРОС 2003 ГОДА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЗОР РЕЗУЛЬТАТОВ ПО СТРАНАМ СНГ В начале 2004 года компания «Эрнст энд Янг» опубликовала результаты своего исследования состояния информационной безопасности в СНГ ( www.eu.com/russia ). В этом исследовании


Приложение 3 РУКОВОДСТВО ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (Site Security Handbook, RFC 1244)

Из книги автора

Приложение 3 РУКОВОДСТВО ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (Site Security Handbook, RFC 1244) Приводится в сокращенном варианте, с разрешения доктора физико-математических наук, профессора В.А Галатенко (автора перевода оригинального документа). Данное руководство является


Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Из книги автора

Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Инструкция для администратора безопасности сетиАдминистратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми


Пентагон как инкубатор стартапов для информационной безопасности Андрей Васильков

Из книги автора

Пентагон как инкубатор стартапов для информационной безопасности Андрей Васильков Опубликовано 26 августа 2013 Ряд известных сегодня компаний, занимающихся вопросами информационной безопасности, был создан ИТ-специалистами, работавшими на


3.2. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства

Из книги автора

3.2. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства Правовые документы в сфере обеспечения ИБ:1. Конституция Российской Федерации. Принята всенародным голосованием от 12.12.1993 (с учетом поправок, внесенных Законами Российской


4.1. Основные положения теории информационной безопасности информационных систем

Из книги автора

4.1. Основные положения теории информационной безопасности информационных систем Одной из наиболее важных проблем является надежная защита в информационном пространстве информационного обеспечения и предупреждение искажения, уничтожения, несанкционированной


4.3. Таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование

Из книги автора

4.3. Таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование Таксономия – абстрактная структура категорированных экземпляров, включает комплексное исследование предметной области и создание теоретической


4.4. Анализ способов нарушений информационной безопасности удаленная атака

Из книги автора

4.4. Анализ способов нарушений информационной безопасности удаленная атака Основой любого анализа безопасности компьютерных систем является знание присущих им основных угроз.Атаки, направленные на компьютерные сети, называются удаленными атаками.Основной


5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Из книги автора

5.2. Место информационной безопасности экономических систем в национальной безопасности страны В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,


5.3. Концепция информационной безопасности

Из книги автора

5.3. Концепция информационной безопасности Концепцией защиты информации называется инструментально-методологическая база, обеспечивающая практическую реализацию стратегий защиты (оборонительной, наступательной, упреждающей), при ее оптимизации и минимальности