О чем речь? Существуют различные способы защиты информации, но все они необходимы для одного – ограничить доступ к данным и не допустить их утечку. Нет какого-то одного универсального метода, поэтому всегда лучше использовать несколько подходов.
На что обратить внимание? Защита информации – это не только технические решения, хотя и без них не обойтись. В этой сфере важны и неформальные подходы, такие как разработка документов, внедрение правил и организация работы по ним.
В статье рассказывается:
- Цели защиты информации
- Принципы защиты информации
- Виды угроз для информации
- Неформальные способы защиты информации
- Технические способы защиты информации
- Криптографические способы защиты информации
- Сетевые способы защиты информации
- Способы защиты информации в интернете
-
Пройди тест и узнай, какая сфера тебе подходит:
айти, дизайн или маркетинг.Бесплатно от Geekbrains
Цели защиты информации
Информационная безопасность и защита информации неразрывно связаны между собой. Существует большое количество значений этих терминов.
В самом упрощённом понимании защита информации определяется как комплекс операций, основной целью которых является обеспечение её безопасности (то есть сохранение целостности и секретности) во время сбора, переработки, хранения и передачи. Безопасность информации в самом узком значении рассматривается как одна из характеристик информации, означающая уровень её защищённости от разрушительного воздействия окружающих факторов (действий человека и природных явлений) и внутренних опасностей.
Безопасность включает в себя такие свойства информационных данных, как конфиденциальность (смысловая секретность), скрытность (энергетическая и структурная сохранность) и целостность (способность оставлять свою конструкцию нерушимой даже при негативном воздействии разрушающих угроз и факторов).
В расширенном понимании защита информации означает совокупность организационных, законодательных и технический мероприятий, направленных на нивелирование и минимизирование потенциальных опасностей для информационной безопасности, а также ликвидацию негативных последствий от них. Суть защиты информационных данных сводится к нахождению, определению и устранению возможных угроз, вредоносных источников, угрожающих условий и критических причин, способных повредить информацию.
Прежде чем рассмотреть способы и средства защиты информации, необходимо определиться с основными направлениями защиты информационных данных. К ним относятся:
- предупредительные меры с целью минимизации рисков появления вредоносных условий, ситуаций и влияний со стороны внешних и внутренних факторов;
- идентификация потенциальных опасностей на основе постоянного отслеживания и анализа возможности образования угроз для обеспечения принятия мер по их устранению в максимально короткие сроки;
- оперативное выявление противозаконных действий, направленных на искажение, кражу, повреждение, нарушение целостности и конфиденциальности информационных данных;
- определение локализации преступных и незаконных действий с целью устранения опасности;
- восстановление статус-кво, нивелирование последствий, причинённых противозаконными действиями и появившимися угрозами.
Принципы защиты информации
Существует три базовых принципа защиты информационных данных:
Конфиденциальность
Она обеспечивается ограничением доступа к информации: то есть взаимодействовать с ней могут только лица, которые без неё не могут осуществлять свою рабочую деятельность и выполнять свои должностные обязанности.
входят в ТОП-30 с доходом
от 210 000 ₽/мес
Скачивайте и используйте уже сегодня:
Топ-30 самых востребованных и высокооплачиваемых профессий 2023
Поможет разобраться в актуальной ситуации на рынке труда
Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка
Только проверенные нейросети с доступом из России и свободным использованием
ТОП-100 площадок для поиска работы от GeekBrains
Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽
В качестве инструментария для реализации данного принципа можно использовать ранжирование информации: к примеру, поделить всю информацию на предприятии на несколько типов с различным уровнем доступа к ней (общедоступная, внутренняя, строго конфиденциальная).
Целостность
Этот принцип предполагает обеспечение защищённости информационных данных от изменений и нарушений их структуры в процессе их сбора, обработки, передачи и хранения.
Для гарантирования целостности информации применяется метод разделения должностных полномочий: то есть изменение осуществляются одним работников, а их подтверждение или отклонение – другим, при этом ведётся строгий учёт всех совершаемых внутри системы операций.
Доступность
Она предполагает то, что информация доступна для пользователей по мере возникновения у них необходимости в ней.
Идеальный вариант – полная доступность информации в любое время без каких-либо перерывов, сбоев и пауз при любых условиях и обстоятельствах. Однако данный принцип включает в себя не только человеческий фактор, но и окружающую среду – от природных катаклизмов не застрахован никто, в том числе и информация.
Виды угроз для информации
Прежде чем перейти к рассмотрению видов способов защиты информации, необходимо также разобраться с понятием угроз и их разновидностями.
Угроза представляет собой потенциальную или реальную опасность, способную нанести урон информационной безопасности. Атака – это опасная ситуация, противоправные действия в отношении информационных данных. Злоумышленник – это лицо, совершающее атаку.
Рассмотрим основные виды угроз для информации.
Угрозы доступности
Самая распространённая разновидность угроз. Она возникает из-за непредумышленных ошибочных операций, совершаемых лицами, взаимодействующими с информационными данными.
Например, к угрозе доступности могут привести системные ошибки или ввод неправильных данных. Результатом подобных действий является появление уязвимых мест в системе, доступных для совершения противоправных действий со стороны злоумышленников. Главными способами защиты являются системная автоматизация и постоянный административный контроль.
Среди основных источников угроз доступности можно выделить следующие:
- отсутствие у персонала намерения обучаться работе с информационными системами;
- недостаточная подготовка сотрудников;
- отсутствие качественной технической поддержки;
- преднамеренное или непреднамеренное нарушение установленных правил работы с системой;
- выход вспомогательной системы из стандартного рабочего режима;
- ошибки, возникающие в процессе переконфигурирования информации;
- сбои в работе программного обеспечения;
- механические повреждения оборудования.
С одной стороны, практически все угрозы относятся к самим информационным данным. С другой стороны, нельзя также забывать о том, что угрозы могут возникнуть и со стороны работы инфраструктуры, поддерживающей функционирование системы (например, неполадки со связью, пожар в помещении).
Угрозы целостности
Основными причинами возникновения угроз целостности информации являются кража и подлоги.
К главным источникам подобных опасностей можно отнести следующие:
- ввод недостоверных сведений;
- неправомерное изменение информационных данных;
- преднамеренная замена заголовка;
- злоумышленное изменение всего текста сообщения или письма;
- отказ от совершённых операций;
- дублирование информации;
- несанкционированное введение дополнительных данных.
Угрозы целостности относятся как к самим информационным сведениям, так и к программному обеспечению и техническим устройствам.
Угрозы конфиденциальности
Данные угрозы подразумевают использование паролей злоумышленниками: обладание секретными кодами, защищающими информацию, позволяет им получить полный либо частичный доступ к ней.
Среди основных источников угроз конфиденциальности можно выделить следующие:
- применение многоразовых паролей с хранением их в источниках, которые легко могут быть взломаны злоумышленниками;
- использование одинаковых паролей для различных информационных систем;
- хранение сведений в среде, которая не может гарантировать их полную конфиденциальность;
- применение злоумышленниками вредоносного программного обеспечения для получения доступа к информации;
- хранение секретных информационных данных на запасных носителях и источниках;
- размещение и распространение сведений с использованием большого числа документов, площадок и систем, что в значительной степени упрощает перехват данных;
- оставление компьютеров и ноутбуков без присмотра;
- умышленное превышение должностных полномочий (особенно часто это встречается среди программистов и системных администраторов).
Неформальные способы защиты информации
К неформальным методам и способам защиты информации относятся законодательные, административные и морально-этические инструменты и средства.
Законодательная база, обеспечивающая информационную безопасность со стороны правовой системы, гарантируется государством. Защита данных регулируется множеством законодательных проектов и регламентирующих документов, а именно: Конституцией Российской Федерации, ФЗ «О безопасности», ФЗ «О связи», ФЗ «О государственной тайне», ФЗ «Об информации, информационных технологиях и защите информации», а также международными конвенциями.
Скачать файлНесоблюдение указанных выше федеральных законов и нормативно-правовых актов создаёт реальные угрозы для нарушения информационной безопасности, что, в свою очередь, может привести к самым разным последствиям. За некоторые нарушения действующего законодательства в области обеспечения защиты информации предусмотрено даже наказание в виде лишения свободы.
Административные, или их ещё называют организационные, меры составляют фундаментальную основу для формирования действующих механизмов защиты информационных данных, потому что большая часть угроз связана не с проблемами на стороне технического оборудования и программного обеспечения, а с противоправными действиями злоумышленников, а также умышленным превышением должностных полномочий.
Административный инструментарий по организации защиты сведений включает в себя широкий набор используемых методов и средств. Сюда относятся и специальные архитектурные решения с целью защиты переговорных кабинетов, и установка технических средств для прослушивания, и ограничение доступа к информации для определённых сотрудников.
Читайте также!
Также можно отнести оформление и учёт запросов на общий доступ к Интернету, к корпоративной электронной почте и сторонним онлайн ресурсам, применение отдельными категориями работников электронной подписи для усиления защиты финансовой и прочей документальной информации, передаваемой в государственные контролирующие органы по сетевым каналам связи.
К морально-этическим методам обеспечения информационной безопасности относятся сформированные в обществе или рабочем коллективе моральные и этические нормы и правила, соблюдение которых гарантирует сохранность информационных данных. Они не закреплены в законодательных актах на уровне государственной правовой системы, однако их несоблюдение ведёт к подрыву авторитета и потере доверия к конкретной персоне или компании.
Технические способы защиты информации
Физические способы защиты информации
В защитном программном обеспечении нет абсолютно никакого смысла, если злоумышленники без труда могут получить доступ к серверной комнате и украсть жёсткие диски с хранящейся на них информацией. Поэтому, прежде всего, необходимо обеспечить физическую защиту для технических устройств и помещений.
на курсы от GeekBrains до 08 декабря
Офисные кабинеты следует снабжать оконными решётками, дверями с кодовыми замками, сигнализацией и камерами круглосуточного видеонаблюдения. Важно также защитить помещения от природных катаклизмов и чрезвычайных происшествий с помощью пожарной сигнализации, датчиков воды и дыма.
Разумеется, физические средства обеспечения информационной безопасности не уберегают от получения доступа к сведениям через сеть, однако надёжно защищают компьютерное оборудование и прочие носители информационных данных.
Программные способы защиты информации
Данный инструментарий, используемый для защиты сведений, подразумевает комплекс программных компонентов, которые устанавливаются на компьютеры, ноутбуки и серверные машины.
Среди самых распространённых программных методов защиты информации можно выделить следующие:
- антивирусные программы, которые идентифицируют и удаляют потенциально опасные вирусные программы, способные нанести вред информации либо открыть доступ к ней противозаконным способом;
- ограничение доступа к информационной системе посторонним лицам с помощью отдельных личных кабинетов и паролей;
- инструменты для виртуализации, с помощью которых создаются так называемые «песочницы» для работы непроверенных программ и приложений в них без задействования основных рабочих серверов;
- специализированные межсетевые брандмауэры, которые контролируют входящий трафик и сигнализируют о подозрительных и потенциально опасных для системы сигналах и операциях из непроверенных источников;
- DLP-системы, которые не позволяют копировать или переносить сведения из локальной информационной системы на сторонние площадки или внешние носители;
- SIEM-системы, отслеживающие подозрительные активности.
Аппаратные способы защиты информации
Такие методы обеспечения информационной безопасности составляют промежуточное звено между физическими и программными:
- Со стороны физической защиты такие средства способны блокировать сторонние, потенциально опасные сигналы и атаки, осуществлять постоянный контроль за доступом в сеть и входящим трафиком, создавать шумы и пр.
- Со стороны программной защиты такие устройства внедряются в саму информационную систему и обеспечивают её неуязвимость для атак и недоступность для злоумышленников.
Аппаратные технические способы защиты информации включают в себя:
- специализированные генераторы цифрового шума: техническое оборудование, шифрующее данные и создающее информационный шум для маскировки используемых в системе каналов связи;
- аппаратные регистры паролей: специальные дополнительные устройства, на которых хранятся пароли и без которых невозможно получить доступ к информационным данным;
- аппаратные системы доверенной загрузки: программные системы, запрещающие установку сторонних операционных систем, программного обеспечения и приложений для получения доступа к жёсткому диску и информации, хранящейся на нём.
Поэтому для обеспечения максимального уровня информационной безопасности программные инструменты следует в обязательном порядке совмещать с аппаратными. Следует также отдавать предпочтение сертифицированным и лицензионным программным продуктам, так как их надёжность гарантируется контролирующими органами со стороны государства.
Криптографические способы защиты информации
Криптография предполагает использование специальных способов шифрования данных, кодирования сведений и преобразования информации для защиты от любых изменений. Это делает информацию защищённой от обратного преобразования без применения подходящего криптографического ключа.
Криптография относится к одному из самых надёжных способов защиты данных, так как она направлена на обеспечение сохранности самой информации, а не на ограничение доступа к ней. Это означает, что даже если злоумышленники украдут сведения, закодированные с помощью криптографического шифрования, они не смогут их прочитать.
Криптографические системы защиты информации делятся на четыре группы:
- симметричные криптосистемы (для кодирования и раскодирования информации используется один и тот же ключ: при шифровании текстовые и графические данные заменяются на шифр, который в ходе обратного преобразования превращается в исходные сведения);
- криптосистемы с открытым ключом (при шифровании информации используется два связанных между собой ключа – открытый и закрытый: кодирование осуществляется при использовании открытого ключа, доступ к которому есть у всех сотрудников, а раскодирование может быть сделано только держателями закрытого ключа);
- криптосистемы на основе электронной подписи (применяются для подтверждения достоверности содержащихся в документе сведений и его авторства);
- системы управления ключами (взаимодействие с информационными данными осуществляется на основе составления и распределения ключей между работниками).
Криптографические инструменты обеспечения информационной безопасности применяются при передаче конфиденциальных сведений по открытым и общедоступным каналам связи, в случае необходимости подтверждения подлинности и авторства, а также для хранения закодированных данных на внешних носителях в течение длительного времени.
Для криптографического шифрования применимы как аппаратные способы обеспечения информационной безопасности, так и программные компоненты. Аппаратные инструменты, как правило, самые дорогие, однако они обладают такими неоспоримыми преимуществами, как повышенная производительность, высокая степень защиты и простота в использовании.
Все криптографические системы подчиняются следующим требованиям:
- открыть закодированный документ можно только при наличии открытого или закрытого ключа;
- количество операций, необходимых для идентификации ключа кодирования по определённому фрагменту, должно быть не меньше, чем общее число потенциальных ключей;
- общее количество операций путём последовательного перебора возможных комбинаций должно существенно превышать мощности современных вычислительных машин и иметь конкретную нижнюю оценку;
- знание алгоритма кодирования информации не должно приводить к уменьшению степени её защищённости;
- даже в случае применения единого ключа шифрования любое (даже самое несущественное) изменение должно вызывать значительную перемену вида закодированного документа или текста;
- структурные компоненты алгоритма, с помощью которого кодируется информация, должны всегда оставаться неизменными;
- если при шифровании в документ добавляются дополнительные информационные биты, они должны быть надёжно замаскированы или спрятаны в закодированном тексте;
- длина оригинального и закодированного сообщения должна быть одинаковой;
- любой применяемый для шифрования информации ключ должен быть в достаточной мере надёжным для того, чтобы обеспечить её сохранность и безопасность;
- независимо от того, применяются ли для шифрования данных аппаратные или программные инструменты, изменение исходной длины ключа не должно приводить к качественному ухудшению используемого алгоритма кодирования.
Сетевые способы защиты информации
Для обеспечения информационной безопасности сведений, хранящихся в компьютерных сетях, применяют специализированные программно-технические продукты. Для защиты системы и организации доступа к ней можно использовать следующие компоненты:
- фильтрующие пакетные средства, которые запрещают установку подключений, выходящих за установленные границы сети;
- маршрутизаторы, оснащённые функцией фильтрации и контроля за адресами отправления и назначения пакетов внутри сети;
- программные шлюзы, осуществляющие проверку прав доступа к установленным внутри сети программам.
Читайте также!
Основным средством защиты от получения злоумышленниками доступа к сети и информации, расположенной в ней, является Firewall. Это специальное устройство, которое устанавливается между локальной сетевой системой и Интернетом для организации внешней защиты от несанкционированных атак и потенциальных угроз.
Такой программный продукт способен отражать атаки, ограничивать входящий трафик при обнаружении в нём возможных угроз, ограничивать доступ к ресурсам, расположенным внутри сети, фильтровать нежелательную корреспонденцию, получаемую посредством электронного почтового ящика.
Ещё один сетевой инструмент для обеспечения информационной безопасности – маршрутизатор. Такое устройство способно фильтровать пакеты передаваемых сведений, ограничивать либо полностью запрещать доступ к определённым адресам и хостам для отдельных категорий пользователей, а также контролировать адреса отправителей и получателей. С помощью маршрутизаторов можно полностью закрыть доступ к ресурсам, осуществляющим распространение пропагандистской, противозаконной и антисоциальной информации.
Защищать данные с помощью сетевых средств можно как в рамках глобальной сети Интернет, так и внутри корпоративной системы, и даже на отдельных компьютерных устройствах. Для этих целей необходимо организовывать программно-аппаратные комплексы.
Комплексная защита безопасности информационных данных на предприятии предполагает проработку и внедрение комплекса мероприятий на базе специализированных аппаратно-технических средств.
Способы защиты информации в Интернете
С целью обеспечения защиты информационного контента, размещаемого компанией в сети Интернет необходимо разработать внутренний регламентирующий документ, в котором следует отразить определение и разновидности информации, относящейся к конфиденциальной и не разглашаемой, какие этапы должен пройти контент перед получением разрешения на размещение в открытых источниках сети, когда и где его можно опубликовать и каким категориям пользователей он будет доступен.
В обязательном порядке следует разделить информацию на конфиденциальную, то есть доступную очень узкому кругу сотрудников, и общую, работать с которой могут абсолютно все работники предприятия.
Обеспечение информационной безопасности – важнейший вопрос для любой организации. Под защиту, прежде всего, должны попадать конфиденциальные корпоративные данные.
Если у компании функционирует веб-сайт, отдельное внимание следует уделить проработке нескольких уровней доступа к сведениям, хранящимся на нём. Например, должностные инструкции, локальные нормативные документы, регламентирующие акты, личные контактные данные персонала не должны быть доступны для общего пользования всем посетителям сайта.
Самый лучший вариант – деление всех сотрудников организации на группы и предоставление каждой из них соответствующего доступа. Например, высший административный аппарат должен иметь доступ абсолютно ко всей информации; руководители подразделений могут взаимодействовать с общими и профильными сведениями; для рядовых специалистов доступна только общая информация.
В заключение можно сказать, что обеспечение информационной безопасности представляет собой комплекс из различных программных и технических способов защиты от утечки информации. При его организации следует, по возможности, задействовать все доступные инструменты, компьютерные устройства и программное оборудование. Сочетание аппаратных методов со специализированными программными компонентами обеспечивает самый надёжный уровень защиты.