Information Security (Информационная безопасность)

Быстрый рост и широкое использование электронной обработки данных и электронных деловых операций, осуществляемых через Интернет, наряду с многочисленными случаями международного терроризма, привели к необходимости совершенствования методов защиты компьютеров и информации, хранения, обработки и передачи. Академические дисциплины компьютерной безопасности, информационной безопасности и защиты информации появились наряду с многочисленными профессиональными организациями – всё для обеспечения безопасности и надежности информационных систем.

Больше двадцати лет информационная безопасность считала конфиденциальность, целостность и доступность (известна как триада ЦРУ) основными принципами информационной безопасности. Многие профессионалы по информационной безопасности твердо полагают, что Ответственность должна быть добавлена к основным принципам информационной безопасности.

 

Основные принципы

Ключевое понятие: конфиденциальность

Конфиденциальность - термин, означающий предотвращение разглашения информации неуполномоченными лицами или системами. Например, операция с кредитной картой в Интернете требует того, чтобы номер кредитной карточки был передан от покупателя торговцу и от торговца к операционной сети обработки. Система пытается провести операцию  конфиденциально, шифруя номер карты во время передачи, ограничивая места, где он мог бы появиться (в базах данных, файлы системного журнала, резервные копии, напечатанные квитанции, и так далее), и ограничивая доступ к местам, где он сохранен. Если неуполномоченная сторона получает номер карты каким-либо путем, то произошло нарушение конфиденциальности.

Нарушения конфиденциальности имеют много форм. Позволяя кому-то просмотреть через Ваше плечо на Ваш монитор, в то время как у Вас на нем отображаются конфиденциальные данные, Вы нарушаете конфиденциальность. Если ноутбук, содержащий важную информацию о служащих компании, украден или продан, это может привести к нарушению конфиденциальности. Выдача конфиденциальной информации по телефону является нарушением конфиденциальности, если гость не имеет прав на владение информацией.

Конфиденциальность необходима (но не достаточна) для сохранения личной информации о людях, которые есть в системе.

Ключевое понятие: целостность

В информационной безопасности целостность означает, что данные не могут быть изменены без разрешения. Целостность информации и целостность справочных баз данных разные вещи. Целостность нарушена, когда служащий случайно или злонамеренно удаляет важные файлы с данными, когда компьютерный вирус заражает компьютер, когда служащий в состоянии изменить свою собственную зарплату в базе данных платежной ведомости, когда неправомочный пользователь взламывает вебсайт, когда кто-то в состоянии отдать очень большое количество голосов в онлайн-опросе, и т.д.

Существует много путей, с помощью которых можно нарушить целостность без злого умысла. Самый простой случай, это когда пользователь в системе неправильно вводит чей-то адрес. В более широком масштабе, если автоматизированный процесс написан и проверен неправильно, часть обновлений базы данных могут изменить данные неправильным способом, поставив целостность данных под угрозу. Специалистам по информационной безопасности поставлена задача по обнаружению путей осуществления контроля, предотвращающих ошибки целостности.

 

Ключевое понятие: пригодность

Для любой информационной системы для удовлетворения цели, информация должна быть доступной, когда это необходимо. Это значит, что вычислительные системы, используемые для хранения и обработки информации, средства управления безопасностью защищали ее, и каналы коммуникации, получающие доступ к ней, должны функционировать правильно. Высокие системы пригодности стремятся оставаться доступными всегда, предотвращая сбои по причине отключения электроэнергии, сбои в оборудовании и модернизации системы. Обеспечение пригодности подразумевает также предотвращение отказа в обслуживании.

В 2002, Донн Паркер предложил  альтернативную модель для классической триады ЦРУ, которую он назвал шесть атомных элементов информации. Эти элементы - конфиденциальность, владение, целостность, подлинность, пригодность, и полезность. Достоинства Parkerian hexad являются предметом дебатов среди профессионалов безопасности.

 

Административный  контроль

Когда управляющие  хотят уменьшить риск, они выбирают один или более из трех различных видов контроля.

Административный  контроль (или процедурный контроль) состоит из утвержденной на бумаге правил, процедур, стандартов и рекомендаций. Административный контроль формирует  основу для ведения бизнеса и  управления людьми. Он говорит людям о том, как вести бизнес и как выполнять повседневные операции. Законы и постановления, созданные правительственными органами, являются также типом административного управления. Некоторые отрасли промышленности имеют правила, процедуры, стандарты и рекомендации, которые должны выполняться - стандарт защиты информации в индустрии платежных карт, разработанный платежными системами Visa и MasterCard, является примером.

Административный  контроль формирует основу для выбора и реализации логического и физического видов контроля. Логические и физические управления - проявления административного управления. Административное управление имеет первостепенную важность.

 

Логический  контроль

Логический  контроль (или технический контроль) использует программное обеспечение и данные, чтобы контролировать и управлять доступом к информации и вычислительным системам. Например: пароли, сеть и главный компьютер, основанные на системе сетевой защиты, сетевых системах обнаружения вторжений, списках контроля доступа, и кодировании данных - логический контроль.

Важный вид  логического контроля это принцип  наименьшего количества привилегии. Этот принцип требует, чтобы человеку, программе или системному процессу не предоставляли полномочий больше необходимого для выполнения задачи. Явный пример неудачного следования принципу наименьшего количества привилегии записан в Windows как пользователь «Администратор», который может читать электронную почту и путешествовать в Сети. Также нарушения этого принципа могут произойти, когда человек получает дополнительные полномочия доступа в течение долгого времени. Это случается, когда меняется режим работы служащих, или их повышают в должности, или они переходят в другой отдел. К уже существующим полномочиям доступа, требуемым новым режимом работы, часто добавляются новые, которые, возможно, более необходимы.

 

Физический  контроль

Физическое  управление контролирует и управляет  обстановкой на рабочем месте  и вычислительными средствами. Они  также контролируют и управляют  доступом к и от таких устройств. Например: двери, замки, нагрев и кондиционирование воздуха, пожарная тревога, системы подавления огня, камеры, охранники, и т.д. Разделение сетевого графика и места работы на функциональные области это тоже физический контроль.

Один из часто  применяемых важных видов физического контроля – распределение нагрузок. Распределение нагрузок подразумевает, что человек не может завершить важную задачу самостоятельно. Например: служащий, подающий заявку о компенсации, не может сам дать право на эту выплату или распечатывать квитанцию. Программист также не должен быть администратором сервера или администратором базы данных - эти права и обязанности должны быть отделены друг от друга.

 

Классификация безопасности информации

Важным аспектом информационной безопасности и управления риском является определение ценности информации и определение соответствующих процедур и требований защиты для информации. Не вся информация равноценна, следовательно, не всякая информация требует одинаковой степени защиты. Поэтому требуется, чтобы информации присваивали классификацию безопасности.

Первый шаг информационной классификации это определение  членом высшего руководства как  классифицировать владельца специфической  информации. Затем разрабатывается  метод классификации. Метод должен описать различные метки классификации, установить критерии для определения особых меток и перечислить необходимые правила безопасности для каждой классификации.

Некоторые факторы, влияющие на классификацию информации, включают то, какую ценность имеет информация для организации, ее давность и стала ли информация устаревшей. Законы и другие нормативные требования также учитываются при классификации информации.

Тип меток классификации  информационной безопасности зависит  от природы организации, например:

• В деловой сфере это такие метки, как: Общественная, Частная, Конфиденциальная.
• В правительственной сфере это: Неопределенная,  Ограниченная, Конфиденциальная, Секретная, Совершенно секретная и их неанглийские эквиваленты.

Все работники организации, как и деловые партнеры, должны обучаться по схеме классификации и понимать необходимые средства контроля за безопасностью и обрабатывать процедуры для каждой классификации. Классификация важной информации, имеющей ценное свойство, должна периодически пересматриваться, чтобы убедиться, что классификация все еще соответствует информации и что идет тот контроль за безопасностью, который требуется классификацией.

 

Криптография

Для информационной безопасности используется криптография, чтобы преобразовывать  понятную нам информацию в нечитаемую для всех кроме уполномоченного пользователя форму; этот процесс называют кодированием. Зашифрованная информация может быть преобразована уполномоченным пользователем обратно в свою оригинальную пригодную для чтения форму. Пользователь обладает ключом к шифру, с помощью которого совершается процесс раскодирования. Криптография используется в информационной безопасности для защиты информации от несанкционированного или случайного раскрытия во время передачи информации (с помощью электроники или физически) и во время хранения информации.

Криптография может  внести ряд проблем в безопасность, когда она неправильно осуществлена. Криптография должна осуществляться после  анализа независимыми экспертами в  криптографии. Длина и сила ключа шифрования также важны. Слабый или короткий ключ произведет слабое кодирование. Ключ, используемый для кодирования и расшифровки, должен быть защищен с той же самой степенью строгости, как и любая другая конфиденциальная информация. Они должны быть защищены от несанкционированного раскрытия и уничтожения, и они должны быть доступными когда необходимо.

 

Vocabulary

Policy    правило

Guideline   рекомендация

Corporate   общий

Implementation  реализация

Manifestation   проявление

Monitor   контролировать

Host    главный компьютер

Firewall   брандмауэр

Intrusion   внедрение

Encryption   кодирование

Blatant    явный

Failure     неудача

Adhere    придерживаться

Violation   нарушение

Duty    режим работы; нагрузка

Facility    устройство

Reimbursement  компенсация

Responsibility  обязанность

Assign    определять

Obsolete   устаревший

Ensure    убедиться

Encryption   кодирование

Implement   осуществлять

Degree    степень

Rigor    строгость