Информационная безопасность
Главная цель ИБ – защита информации и инфраструктуры, которая ее обрабатывает, от потери или утечки данных третьим лицам.
Создание системы ИБ на объекте информатизации основывается на трех принципах.
Принципы
Первый принцип – конфиденциальность. Доступ к данным предоставляется по правилу «минимальной необходимой осведомленности». Другими словами, пользователь должен иметь право доступа только к той части информации, которая ему необходимо для выполнения своих служебных обязанностей.
Один из методов выполнения данного принципа – ранжирование (категоризация) данных. Например, внутри организации информация разделяется на 3 типа: публичная, внутренняя и строго конфиденциальная.
Второй принцип – целостность. Информация должна быть защищена от изменений или искажений. Она должна храниться, обрабатываться и передаваться по надежным каналам связи.
Для обеспечения целостности на уровне пользователей используют правило «разграничения полномочий», то есть любое изменение вносится одним пользователем, а подтверждение или отказ – другим. В обязательном порядке ведется протоколирование любых операций в информационной системе.
Третий принцип – доступность. Это значит, что информация должна быть доступна пользователю по мере необходимости. Идеальный вариант 24*7*365.
Данный пункт включает в себя не только человеческий фактор, но и природный (например, цунами или ураган). Информационная система должна обеспечивать доступность при любых условиях.
Средства
В качестве средств защиты информации используют следующее:
- Правовые. На объекте информатизации разрабатывают специальные документы, которыми руководствуются для обеспечения ИБ. Основным является политика ИБ, на основе которого строится защита.
- Организационные. К ним относятся рабочие места сотрудников (компьютеры, ИБП и т. д.), ЦОДы (коммутация, системы хранения данных, вычислительные мощности и т. д.), резервирование (создание дублирующих каналов связи, бэкапирование данных).
- Программные. ПО, которое помогает контролировать действия сотрудников, хранить информацию, обеспечивать надежный доступ к данным.
- Технические. Специализированное оборудование, которое защищает информацию от утечки или взлома. Например, шифрование, двухэтапная процедура аутентификации, виртуальные рабочие среды и т. д.
Обеспечение информационной безопасности в компании заключается в комплексном подходе к построению надежной и отказоустойчивой системы. Вышеперечисленные пункты рекомендованы к реализации на любом объекте информатизации.