BrandGram Webacademy

Академия Веб-разработки

Библиотека веб-разработчика

Основы информационной безопасности: оценка рисков и затрат, основные подходы

Сергей Черномордов 4 года ago

Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.

  • Конфиденциальность — обеспечение исключительно авторизованного доступа к информации: информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или процессам.
  • Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла: данные не должны быть изменены неавторизованным или незаметным способом.
  • Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям: системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.

Целесообразность вложений в информационную безопасность

Реализовавшиеся риски по информационной безопасности влекут за собой потери для бизнеса. В то же время, работы по обеспечению информационной безопасности требуют как разовых, так и регулярных затрат времени и денег, а также возникает необходимость в соответствующей экспертизе. Необходимость повышения безопасности и отказоустойчивости определяется соразмерностью затрат и предполагаемого снижения рисков.

Оценка рисков

Проще всего оценить риски, основываясь на следующем чек-листе:

  • вероятность возникновения проблем
  • убытки при неработоспособности
  • коммерческая ценность хранящихся данных
  • репутационные риски
  • законодательные риски
  • затраты на восстановление

Оценка затрат

Работа над информационной безопасностью гарантированно увеличит бюджет проекта, основные статьи расходов:

  • расходы на экспертизу
  • удорожание разработки
  • рост стоимости обслуживания
  • расходы на дополнительное «железо»
  • стоимость аудита

Основные подходы к информационной безопасности

Информационная безопасность — это целый комплекс мероприятий, направленных на обеспечение конфиденциальности, целостности и доступности информации.

Наиболее распространённой является классификация по уровню:

  • Физический контроль — охрана, пропускной режим, замки и так далее. Теоретически, этот уровень тоже относится к информационной безопасности, но на практике им обычно занимается не отдел информационной безопасности, а другие подразделения. Тем не менее информационные безопасники часто дополняют требования по физической безопасности, исходя из своих профессиональных знаний о возможных угрозах.
  • Процедурный контроль — формализация и регламентация бизнес-процессов, информирование о рисках, обучение и т.д. Специалисты по информационной безопасности работают не только с программами и серверами, но и с людьми. На самом деле, человеческий фактор — это один из наиболее существенных рисков в ИБ.
  • Технический контроль — программно-аппаратные средства: системы контроля доступа, шифрование, брандмауэры, антивирусный софт, системы обнаружения и предотвращения вторжений и так далее. Реализация технического контура информационной безопасности — весьма объёмный вопрос и тема для отдельной статьи.
  • Юридический контроль — уровень правового поля: законы, контракты, NDA, трудовые договора и так далее.  В рамках правового поля есть законодательные нормы, которым необходимо следовать, также этот уровень даёт дополнительные возможности снижения рисков по информационной безопасности, устанавливая ответственность за нарушение правил.

Также в ИБ используется классификация по времени проведения мероприятий:

  • Превентивные мероприятия — предотвращение возникновения инцидентов. Именно этот тип мероприятий должен быть основным занятием специалистов по информационной безопасности.
  • Детективные мероприятия — идентификация и анализ происходящего инцидента: в комплекс мероприятий входит выявление проблемы, поиск причин возникновения, определение вектора атаки, сбор и анализ первичных данных об ущербе.
  • Корректирующие мероприятия — решение инцидента, ограничение ущерба, восстановление системы. Обычно запускаются параллельно с детективными мероприятиями. Цель — остановить атаку или утечку данных, снизить ущерб, восстановить работоспособность системы и устранить возможности для повторения инцидента.

Информационная безопасность — очень важное направление в информационных технологиях. В современном мире достаточно много угроз лежит именно в сфере обеспечения безопасности данных.

Основные угрозы в информационной безопасности

В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные методы атак, оценим их риски и возможные последствия.

К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.

Источник: web-creator.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *