Безопасность информационной инфраструктуры

Защита сетевой инфраструктуры Защита сетевой инфраструктуры Сетевая инфраструктура организации, как кровеносная система человека, выполняет важную транспортную функцию при обмене информацией между информационными системами. Что достигается путем решения ряда задач, в том числе: обеспечения защиты от несанкционированного сетевого доступа путем фильтрации сетевых пакетов в соответствии с заданными правилами; разделения сети на сегменты по степени ограничения доступа к защищаемой информации, функциональному принципу и принципу обеспечения требуемого уровня информационной безопасности в каждом сегменте; обеспечения обнаружения преднамеренного несанкционированного доступа или специального воздействия на информационные ресурсы со стороны внешних нарушителей, действующих из внешних сетей, в том числе сети Интернет; обеспечения анализа трафика на наличие угроз, возникающих в сети, включая вредоносное поведение и аномалии в сетевом трафике; предоставления возможности расследования инцидентов информационной безопасности, связанной с взаимодействием защищаемых сегментов с внешними сетями. Решения вендоров.

Поставщик корпоративных решений Enterprise Solution Provider с 2007 г. Партнер по продажам с 2006 г. Партнер по программе технической поддержки Microsoft Services Partner Advantage сервисная поддержка уровня Premier в 2006 г. Реселлер для крупных заказчиков Licensing Solution Partner c 2002 г. Сертифицированный Поставщик Решений с 1996 г. Самый инновационный партнер в 2007 г. Самая широкая экспертиза Microsoft по инфраструктуре в 2006 г. Самый быстрый рост технологической квалификации компании в 2005 г.

Документы по обеспечению безопасности критической информационной инфраструктуры

К таким ситуациям относятся природные, техногенные и социальные катастрофы , компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах [6] , требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях [7] [8] , что влечёт за собой привлечение специалистов по безопасности информационных технологий ИТ для защиты информации.

Следует отметить, что под компьютером в данном контексте подразумевается не только бытовой персональный компьютер , а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров , объединённых компьютерными сетями.

Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак , зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации. Информационная безопасность, как сфера занятости , значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры , защиты программного обеспечения и баз данных , аудит информационных систем , планирование непрерывности бизнеса , выявление электронных записей и компьютерная криминалистика [en].

Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Угрозы и меры противодействия[ править править код ] Угрозы информационной безопасности могут принимать весьма разнообразные формы.

Crime-as-a-Service , Интернетом вещей , цепями поставок и усложнением требований регуляторов [10]. Это позволяет последним совершать хакерские атаки , ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением [12].

Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома.

Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются во вне.

Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней.

Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций.

Например, введённый в действие в 2018 году в Евросоюзе Общий регламент защиты персональных данных англ. General Data Protection Regulation, GDPR , требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются.

Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают [10]. Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности.

Например, становятся жертвами вредоносных программ вирусов и червей , троянских программ , программ-вымогателей [13] , фишинга или кражи личности. Фишинг англ. Phishing представляет собой мошенническую попытку [К 2] завладения конфиденциальной информацией например, учётной записью , паролём или данными кредитной карты. Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации [16] , содержащих ссылки на мошеннические сайты.

Открыв такую ссылку в браузере , ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников [17].

Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия [21]. Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни [22] , определение которой в различных культурах может весьма разниться [23].

Органы государственной власти , вооружённые силы , корпорации , финансовые институты , медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери.

С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая модель Гордона-Лоба [en] описывает математический аппарат для решения этой задачи [24].

История[ править править код ] С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и способов выявления попыток её фальсификации [en]. Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией.

Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках [27]. C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем.

Так в Англии для этих целей в 1653 году появилась Тайная канцелярия англ. Secret Office [28]. После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Христиан Гольдбах , сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В начале XIX века в России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел.

С 1803 года на службе этого ведомства находился выдающийся российский ученый Павел Львович Шиллинг. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны 1812 года [31] [32]. В середине XIX века появились более сложные системы классификации секретной информации , позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией Закона о государственной тайне [en] [33].

Во время Первой мировой войны многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа.

Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника.

Впервые данные расшифровки попытались использовать во время вылазки германского флота к британским берегам 16 декабря 1914 года [35]. Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами как правило, офицеры, нежели рядовые , и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ.

Воюющими сторонами были разработаны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки U-570 [en] не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам [37]. В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо , язык которого за пределами США никто не знал [39].

Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации [40]. В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания в том числе, Ставки Верховного Главнокомандования использовалась так называемая ВЧ-связь , основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования.

Однако отсутствие криптографической защиты позволяло, используя спектрометр , восстанавливать сообщения в перехваченном сигнале [41].

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом , что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма , вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают.

Примечание: также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, достоверность [44].

Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности [1].

Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям конфиденциальность , противоправного изменения целостность и недоступности, когда она необходима доступность [45].

Процесс защиты интеллектуальной собственности организации [46]. Одна из дисциплин управления рисками, чьей задачей является управление стоимостью информационных рисков для бизнеса [47]. Обоснованная уверенность в том, что информационные риски уравновешены соответствующими мерами контроля и управления [48].

Защита информации, минимизирующая риск разглашения информации неавторизованным лицам [49]. Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности технических, организационных, человекоориентированных, юридических с целью предохранения информации от угроз повсюду, где бы она ни находилась как внутри периметра организации, так и за его пределами и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается.

Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость [50]. Процесс баланса между возникающими, воздействующими угрозами и успешностью противодействия этим угрозам со стороны органов государственной власти, отвечающих за безопасность государства [51].

Ключевые принципы[ править править код ] Триада CIA. Unauthorized information modification и неавторизованный отказ в доступе англ. Unauthorized denial of use к информации. В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA [55]. В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр [56] [К 4].

На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии [59].

В 1998 году Донн Паркер [en] дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль англ. Possession or Control , аутентичность англ. Authenticity и полезность англ. Utility [60]. System Susceptibility , доступность уязвимости англ.

Access to the Flaw и способность эксплуатировать уязвимость англ. Capability to Exploit the Flaw [62] [63] [64]. В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью O-ISM3 [en] , в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения.

Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности конфиденциальность , долгосрочные цели безопасности целостность , цели качества информации целостность , цели контроля доступа доступность и технические цели безопасности.

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе [55]. Она зафиксирована в национальных [1] и международных стандартах [44] и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP [66] и CISM [en] [67]. В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, атрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы [5].

Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов [5].

Некоторые из них уже включены в стандарты Международной организации по стандартизации ISO : подлинность англ. Основная статья: Конфиденциальность Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости [en] англ. Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей.

Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной , или предназначенной для публичного, либо внутреннего пользования. Основная статья: Целостность информации Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Безопасность критической информационной инфраструктуры (187-ФЗ КИИ)

Почему к безопасности критической информационной инфраструктуры (​КИИ) предъявляются повышенные требования? Уровень зависимости. Информационная инфраструктура и информационная безопасность в одном флаконе. Часть 1. Станислав ЯСЬКО, кандидат технических наук, эксперт.

Итак, сначала осуществляется выбор базового набора мер для соответствующей категории значимости объекта КИИ на основании предложенного в Приказе списка. Затем производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от использующихся технологий и характеристик объекта КИИ, а также включение в набор других мер, необходимых для нейтрализации актуальных угроз. Наконец, адаптированный набор дополняется мерами, установленными иными применимыми нормативными правовыми документами, например, по защите информации в ГИС, ИСПДн, криптографической защите информации и т. В документе также указано, что если на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, достаточные для нейтрализации актуальных угроз информационной безопасности, то дополнительные меры защиты можно не применять. Кроме того, компенсирующие меры должны применяться и при использовании новых ИТ-решений и выявлении новых угроз, не учтенных разработчиками Приказа. Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1-й категории значимости должны располагаться на территории РФ за исключением оговоренных законодательством случаев. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

Наши продукты Почему к безопасности критической информационной инфраструктуры КИИ предъявляются повышенные требования? Уровень зависимости процессов современного предприятия от бесперебойной работы его информационных систем сегодня как никогда высок.

Информационная инфраструктура и информационная безопасность в одном флаконе. Часть 1 Информационная инфраструктура и информационная безопасность в одном флаконе. Часть 1 Информационная инфраструктура и информационная безопасность в одном флаконе Часть 1 Станислав ЯСЬКО, кандидат технических наук, эксперт Николай Нашивочников, эксперт ЗАДАЧИ информатизации крупных организаций в особенности финансовых и естественных монополий имеют ряд уникальных особенностей: число только внутренних пользователей информационной системы сотрудников велико; число клиентов превышает число сотрудников; информационная система иерархична и территориально распределена, имеется большое количество унаследованных приложений; система является высокоответственной в терминах оперативности, актуальности и доступности информации, контроля прав доступа.

Защита критической информационной инфраструктуры

К таким ситуациям относятся природные, техногенные и социальные катастрофы , компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах [6] , требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях [7] [8] , что влечёт за собой привлечение специалистов по безопасности информационных технологий ИТ для защиты информации. Следует отметить, что под компьютером в данном контексте подразумевается не только бытовой персональный компьютер , а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров , объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак , зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации. Информационная безопасность, как сфера занятости , значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры , защиты программного обеспечения и баз данных , аудит информационных систем , планирование непрерывности бизнеса , выявление электронных записей и компьютерная криминалистика [en]. Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Угрозы и меры противодействия[ править править код ] Угрозы информационной безопасности могут принимать весьма разнообразные формы.

Защита сетевой инфраструктуры

Оценка безопасности критической информационной инфраструктуры осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в целях прогнозирования возникновения возможных угроз безопасности критической информационной инфраструктуры и выработки мер по повышению устойчивости ее функционирования при проведении в отношении ее компьютерных атак. Для реализации положений, предусмотренных частями 1 и 2 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, организует установку в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры, средств, предназначенных для поиска признаков компьютерных атак в таких сетях электросвязи. В целях разработки мер по совершенствованию безопасности критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, результаты осуществления оценки безопасности критической информационной инфраструктуры.

.

.

Информационная инфраструктура и информационная безопасность в одном флаконе. Часть 1

.

Услуги и решения

.

.

.

.

.

ВИДЕО ПО ТЕМЕ: Особенности проведения аудита безопасности корпоративной IT-инфраструктуры
Похожие публикации