Основы информационной безопасности: оценка рисков и затрат, основные подходы
Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.
- Конфиденциальность — обеспечение исключительно авторизованного доступа к информации: информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или процессам.
- Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла: данные не должны быть изменены неавторизованным или незаметным способом.
- Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям: системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.
Целесообразность вложений в информационную безопасность
Реализовавшиеся риски по информационной безопасности влекут за собой потери для бизнеса. В то же время, работы по обеспечению информационной безопасности требуют как разовых, так и регулярных затрат времени и денег, а также возникает необходимость в соответствующей экспертизе. Необходимость повышения безопасности и отказоустойчивости определяется соразмерностью затрат и предполагаемого снижения рисков.
Оценка рисков
Проще всего оценить риски, основываясь на следующем чек-листе:
- вероятность возникновения проблем
- убытки при неработоспособности
- коммерческая ценность хранящихся данных
- репутационные риски
- законодательные риски
- затраты на восстановление
Оценка затрат
Работа над информационной безопасностью гарантированно увеличит бюджет проекта, основные статьи расходов:
- расходы на экспертизу
- удорожание разработки
- рост стоимости обслуживания
- расходы на дополнительное «железо»
- стоимость аудита
Основные подходы к информационной безопасности
Информационная безопасность — это целый комплекс мероприятий, направленных на обеспечение конфиденциальности, целостности и доступности информации.
Наиболее распространённой является классификация по уровню:
- Физический контроль — охрана, пропускной режим, замки и так далее. Теоретически, этот уровень тоже относится к информационной безопасности, но на практике им обычно занимается не отдел информационной безопасности, а другие подразделения. Тем не менее информационные безопасники часто дополняют требования по физической безопасности, исходя из своих профессиональных знаний о возможных угрозах.
- Процедурный контроль — формализация и регламентация бизнес-процессов, информирование о рисках, обучение и т.д. Специалисты по информационной безопасности работают не только с программами и серверами, но и с людьми. На самом деле, человеческий фактор — это один из наиболее существенных рисков в ИБ.
- Технический контроль — программно-аппаратные средства: системы контроля доступа, шифрование, брандмауэры, антивирусный софт, системы обнаружения и предотвращения вторжений и так далее. Реализация технического контура информационной безопасности — весьма объёмный вопрос и тема для отдельной статьи.
- Юридический контроль — уровень правового поля: законы, контракты, NDA, трудовые договора и так далее. В рамках правового поля есть законодательные нормы, которым необходимо следовать, также этот уровень даёт дополнительные возможности снижения рисков по информационной безопасности, устанавливая ответственность за нарушение правил.
Также в ИБ используется классификация по времени проведения мероприятий:
- Превентивные мероприятия — предотвращение возникновения инцидентов. Именно этот тип мероприятий должен быть основным занятием специалистов по информационной безопасности.
- Детективные мероприятия — идентификация и анализ происходящего инцидента: в комплекс мероприятий входит выявление проблемы, поиск причин возникновения, определение вектора атаки, сбор и анализ первичных данных об ущербе.
- Корректирующие мероприятия — решение инцидента, ограничение ущерба, восстановление системы. Обычно запускаются параллельно с детективными мероприятиями. Цель — остановить атаку или утечку данных, снизить ущерб, восстановить работоспособность системы и устранить возможности для повторения инцидента.
Информационная безопасность — очень важное направление в информационных технологиях. В современном мире достаточно много угроз лежит именно в сфере обеспечения безопасности данных.
Основные угрозы в информационной безопасности
В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные методы атак, оценим их риски и возможные последствия.
К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.
Источник: web-creator.ru