SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Информационная безопасность (ИБ) - что это такое. Виды защиты информации.

Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
09.04.2020

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Друзья, мы начинаем новый цикл публикаций, которые будут посвящены основам информационной безопасности, базовым понятиям и терминам из области современной защиты информации, в частности, управлению инцидентами информационной безопасности при помощи платформ SIEM (Security Information and Event Management) и IRP (Incident Response Platform), созданию Ситуационных центров информационной безопасности (SOC, Security Operations Center) и выполнению требований по информационной безопасности критической информационной инфраструктуры (КИИ).

Информационная безопасность (ИБ): что это такое?

Данная серия публикаций будет написана простым и понятным языком для того, чтобы быть максимально доступной для всех посетителей нашего сайта, интересующихся тематикой защиты данных, вне зависимости от их опыта работы в сфере информационной безопасности. Мы также надеемся, что эти статьи привлекут в отрасль защиты информации молодых энтузиастов, которые еще только выбирают свой карьерный путь. Итак, начнем.


В последнее время мы всё чаще слышим слова «хакеры», «утечка данных», «кибермошенничество». Почему вокруг информационной безопасности столько разговоров, «хайпа»? Ответов несколько.


Во-первых, общеизвестно, что информационные технологии всё глубже проникают в нашу жизнь. Интернет-шоппинг, социальные сети, онлайн-курсы, средства коммуникаций и проведения деловых встреч становятся в последние годы всё распространеннее. Никого уже не удивишь возможностью за пару нажатий на экране смартфона отправить денежный перевод близкому человеку или сделать покупку в интернет-магазине. 


Внешне эти функции выглядят, казалось бы, просто, ведь даже младшеклассники сейчас получают школьные задания через приложения на смартфонах и могут разобраться с соцсетями. Однако у всех этих внешне простых и интуитивно понятных технологий внутри, «под капотом», находятся сложнейшие алгоритмы, технические решения и труд множества программистов. 


А поскольку эти технологии используются для хранения и переводов денег, обработки важной информации, хранения секретов, то тут же появляются и те, кто хочет поживиться за счет этого. Так появляются кибер-преступники или хакеры - нечистые на руку лица, желающие украсть или испортить нечто ценное, иногда просто ради забавы, но чаще - для получения выгоды.


Во-вторых, компании, особенно крупные, стремятся внедрить и использовать самые передовые технологии, которые обеспечат им эффективную и продуктивную работу. Главные покупатели новых программных продуктов - это крупный бизнес и крупные государственные учреждения. 


С помощью информационных технологий создаются секреты производства, обсуждаются стратегические цели развития компаний, хранятся личные данные сотрудников и начисляются зарплаты, ведется дипломатическая переписка между странами, хранятся данные о налогах и пенсиях граждан. 


И всё это не может не привлекать злоумышленников, которые в современном мире все чаще обращают внимание на ценную информацию организаций и целых государств. В некоторых странах существуют целые государственные армии хакеров, которые на постоянной основе делают попытки выкрасть секреты других государств.


В-третьих, информационные технологии сейчас проникли в совершенно традиционные отрасли, которые еще лет 10 назад были весьма далеки от ИТ: производство, металлургия, энергетика, здравоохранение, образование, даже сектор ЖКХ - всё сейчас «завязано» на ИТ. 


Многие говорят про «интернет вещей», «большие данные», «машинное обучение», которые произвели настоящий технологический прорыв, называемый четвертой научной революцией. Все эти новые и интересные технологии так или иначе работают с информацией в цифровом виде, а значит, и меры по защите такой информации должны быть цифровыми.


Теперь, когда мы разобрались с терминологией, давайте поговорим о том, что же делает информационная безопасность, какие задачи она решает?

Основные свойства информации

Сначала познакомимся с тремя фундаментальными свойствами информации:


1. Конфиденциальность - это уверенность создателя или владельца информации в том, что никто не сможет получить к ней доступ без его ведома. Пример: вы написали записку вашей подруге и не хотите, чтобы с её содержанием ознакомились посторонние. В этом случае вам важна именно конфиденциальность информации.


2. Целостность - это признак того, что информация не будет изменена без ведома автора. Например, вы заключили с кем-то договор на 1 тысячу рублей и не хотите, чтобы в договоре появилась какая-то другая сумма. Вам важна целостность этого договора, его неизменность.


3. Доступность - это свойство информации, означающее вашу уверенность в том, что вы найдете ваши данные там, где вы их оставили. Например, если вы положили важный документ в ящик стола и не хотите, чтобы его кто-то брал, значит, для вас важна доступность этой информации.


Эти примеры отражают суть защиты информации - обеспечение конфиденциальности, целостности, доступности информации - и являются главной целью и задачей информационной безопасности.




Кроме свойств информации нам надо понимать, от кого и от чего мы защищаемся. Поскольку не получится одновременно хорошо защитить данные от всех напастей сразу, обычно заранее определяют круг возможных нарушителей - источников угрозы для информации. Это могут быть, например, внешние нарушители - те самые хакеры, истории о которых мы так часто слышим, или даже киберразведчики другой страны. 


Нарушители могут быть и внутренними - сотрудники компаний не всегда являются преданными работниками и могут продать служебную информацию конкурентам или хакерам, поэтому иногда случаются утечки важных данных. И наконец, нельзя не забывать про стихийные бедствия и прочие неприятные и неожиданные угрозы - пожар или затопление в дата-центре выведут из строя всё оборудование и хранилища информации, а эпидемия или транспортный коллапс сделают посещение офиса и работу за привычными компьютерами невозможной.


Следует еще учесть и то, что у используемых программ и информационных систем есть ошибки в программном коде, допущенные разработчиками или проектировщиками по невнимательности либо внедренные кем-то специально, с целью дальнейшего злонамеренного использования. Эти ошибки называются уязвимостями - по своей сути они представляют собой недоработки или слабые места в программах. 


Злоумышленники специально изучают программы, системы и сайты для того, чтобы найти в них подобные ошибки и затем проэксплуатировать их, т.е. выполнить такое действие, которое приведет или к сбою в программе, или к недоступности сайта, или даже к утечке из системы важной информации, доступ к которой должен был быть ограничен.


Итак, мы узнали, что у информации есть три основных свойства - конфиденциальность, целостность и доступность. Кроме этого, у информации есть и враги - нарушители, которые используют уязвимости программ в своих целях. Задачей информационной безопасности является реализация комплекса мер для сохранения свойств информации - защита её конфиденциальности, сохранение целостности, обеспечение доступности, а также противодействие нарушителям информационной безопасности. 


В случае, если нарушены данные свойства безопасности информации, то мы говорим о возникновении инцидента информационной безопасности, т.е. некоего нежелательного или вредоносного события, произошедшего с информацией, которое приведет к изменению состояния защищенности информации. Каким образом решается данная задача информационной безопасности? Существуют как чисто технические, так и организационные, и физические меры и способы защиты информации. 


Кроме непосредственного применения этих мер важно выстроить и саму систему управления информационной безопасностью, а также процессы управления защитой информации. Это подразумевает четкое понимание того, какие именно данные нужно защищать, что из них самое важное, а что - нет, какие угрозы информационной безопасности есть у компании и её систем, какие могут быть последствия от нарушений информационной безопасности.

Виды угроз информационной безопасности

А что же такое угрозы безопасности информации? Угроза информационной безопасности - это потенциальная причина возникновения инцидента информационной безопасности. Какие бывают виды угроз информационной безопасности? Сразу оговоримся, что полного и всеобъемлющего перечня нет и его каждая компания или учреждение составляют сами - такой список называется моделью угроз информационной безопасности. 


В список угроз попадают те возможные причины инцидентов защиты информации, которая компания считает актуальными для себя. Приведем краткий пример видов угроз информационной безопасности для типового интернет-магазина: взлом сайта (с целью изменения контактных данных или платежных реквизитов для покупки товара), DDoS-атака (направленная на то, чтобы сайт перестал открываться у клиентов), взлом корпоративной электронной почты (для перехвата коммерческой информации о продаваемых товарах), взлом страницы интернет-магазина в социальных сетях (для размещения рекламы конкурентов), взлом компьютеров сотрудников (для заражения вирусом-шифровальщиком с требованием выкупа), несанкционированная замена сим-карты с номером телефона магазина (для того, чтобы перехватывать звонки клиентов и продавать им товары конкурентов).

Защита информации, что это такое

Сохранение фундаментальных свойств информации - конфиденциальности, целостности, доступности - достигается мероприятиями по защите информации, т.е. защита информации - это действия, направленные на обеспечение информационной безопасности данных организации, граждан, государства. Эти задачи решаются при помощи различных видов защитных мер: технических, организационных, физических. 


При этом наиболее действенными и распространенными являются технические меры, которые предполагают применение средств защиты информации. Средства защиты информации - это программные средства, при помощи которых обеспечивается информационная безопасность: ведется контроль работы программ и информационных систем, сетевых подключений к интернет и локальным сетям, осуществляется мониторинг работы пользователей с данными, производится реагирование на попытки несанкционированного (т.е. вредоносного, нежелательного) воздействия на программы и данные. 


Наиболее часто используемыми средствами защиты информации являются антивирусы, межсетевые экраны (их еще называют брандмауэрами от нем. Brandmauer или файерволлами от англ. Firewall), системы защитного шифрования данных, системы обнаружения и предотвращения компьютерных вторжений.


Наконец, разберемся: защита информации, информационная безопасность, ИТ-безопасность, кибербезопасность - как определяются эти термины и есть ли между ними разница? Отвечаем: как правило, сейчас ставят знак равенства между данными терминами, но информационная безопасность может включать в себя более комплексный подход к обеспечению защиты данных, нежели непосредственно кибербезопасность. 


Приведем пример. Представим себе, что в аэропорту у руководителя был похищен жесткий диск или флешка с важной информацией. По сути, произошла кража информации, но метод кражи - совершенно не цифровой, а обычный, классический. 


Если смотреть на эту задачу с точки зрения руководителя кибербезопасности, то можно сказать, что это вне зоны его ответственности, поскольку никакие ИТ-системы не были взломаны, а имела место физическая атака. Но если смотреть на эту ситуацию с точки зрения именно «классической» информационной безопасности, то инцидент налицо - украдены данные в цифровой форме, а метод кражи уже вторичен. 


Отметим и то, что в теории информационной безопасности меры защиты информации разделяются на технические (которые можно реализовать с помощью антивирусов, межсетевых экранов и т.д.), организационные (их реализуют с помощью написания инструкций и документов, регламентирующих обработку информации), а также физические (это уже традиционные меры защиты - замки, охрана, видеонаблюдение). 


Так вот кибербезопасность сосредоточена именно на технических мерах защиты, а информационная безопасность - на всех трех аспектах. Поэтому в целом мы можно сказать, что кибербезопасность, хотя и является синонимом ИТ-безопасности, предполагает меньший круг ответственности и задач, нежели информационная безопасность или её синоним - защита информации.

ИБ для начинающих Подкасты ИБ SIEM IRP SOC SOAR

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы