SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Информационная безопасность (ИБ) - что это такое. Виды защиты информации.

Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
09.04.2020

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Друзья, мы начинаем новый цикл публикаций, которые будут посвящены основам информационной безопасности, базовым понятиям и терминам из области современной защиты информации, в частности, управлению инцидентами информационной безопасности при помощи платформ SIEM (Security Information and Event Management) и IRP (Incident Response Platform), созданию Ситуационных центров информационной безопасности (SOC, Security Operations Center) и выполнению требований по информационной безопасности критической информационной инфраструктуры (КИИ).

Информационная безопасность (ИБ): что это такое?

Данная серия публикаций будет написана простым и понятным языком для того, чтобы быть максимально доступной для всех посетителей нашего сайта, интересующихся тематикой защиты данных, вне зависимости от их опыта работы в сфере информационной безопасности. Мы также надеемся, что эти статьи привлекут в отрасль защиты информации молодых энтузиастов, которые еще только выбирают свой карьерный путь. Итак, начнем.


В последнее время мы всё чаще слышим слова «хакеры», «утечка данных», «кибермошенничество». Почему вокруг информационной безопасности столько разговоров, «хайпа»? Ответов несколько.


Во-первых, общеизвестно, что информационные технологии всё глубже проникают в нашу жизнь. Интернет-шоппинг, социальные сети, онлайн-курсы, средства коммуникаций и проведения деловых встреч становятся в последние годы всё распространеннее. Никого уже не удивишь возможностью за пару нажатий на экране смартфона отправить денежный перевод близкому человеку или сделать покупку в интернет-магазине. 


Внешне эти функции выглядят, казалось бы, просто, ведь даже младшеклассники сейчас получают школьные задания через приложения на смартфонах и могут разобраться с соцсетями. Однако у всех этих внешне простых и интуитивно понятных технологий внутри, «под капотом», находятся сложнейшие алгоритмы, технические решения и труд множества программистов. 


А поскольку эти технологии используются для хранения и переводов денег, обработки важной информации, хранения секретов, то тут же появляются и те, кто хочет поживиться за счет этого. Так появляются кибер-преступники или хакеры - нечистые на руку лица, желающие украсть или испортить нечто ценное, иногда просто ради забавы, но чаще - для получения выгоды.


Во-вторых, компании, особенно крупные, стремятся внедрить и использовать самые передовые технологии, которые обеспечат им эффективную и продуктивную работу. Главные покупатели новых программных продуктов - это крупный бизнес и крупные государственные учреждения. 


С помощью информационных технологий создаются секреты производства, обсуждаются стратегические цели развития компаний, хранятся личные данные сотрудников и начисляются зарплаты, ведется дипломатическая переписка между странами, хранятся данные о налогах и пенсиях граждан. 


И всё это не может не привлекать злоумышленников, которые в современном мире все чаще обращают внимание на ценную информацию организаций и целых государств. В некоторых странах существуют целые государственные армии хакеров, которые на постоянной основе делают попытки выкрасть секреты других государств.


В-третьих, информационные технологии сейчас проникли в совершенно традиционные отрасли, которые еще лет 10 назад были весьма далеки от ИТ: производство, металлургия, энергетика, здравоохранение, образование, даже сектор ЖКХ - всё сейчас «завязано» на ИТ. 


Многие говорят про «интернет вещей», «большие данные», «машинное обучение», которые произвели настоящий технологический прорыв, называемый четвертой научной революцией. Все эти новые и интересные технологии так или иначе работают с информацией в цифровом виде, а значит, и меры по защите такой информации должны быть цифровыми.


Теперь, когда мы разобрались с терминологией, давайте поговорим о том, что же делает информационная безопасность, какие задачи она решает?

Основные свойства информации

Сначала познакомимся с тремя фундаментальными свойствами информации:


1. Конфиденциальность - это уверенность создателя или владельца информации в том, что никто не сможет получить к ней доступ без его ведома. Пример: вы написали записку вашей подруге и не хотите, чтобы с её содержанием ознакомились посторонние. В этом случае вам важна именно конфиденциальность информации.


2. Целостность - это признак того, что информация не будет изменена без ведома автора. Например, вы заключили с кем-то договор на 1 тысячу рублей и не хотите, чтобы в договоре появилась какая-то другая сумма. Вам важна целостность этого договора, его неизменность.


3. Доступность - это свойство информации, означающее вашу уверенность в том, что вы найдете ваши данные там, где вы их оставили. Например, если вы положили важный документ в ящик стола и не хотите, чтобы его кто-то брал, значит, для вас важна доступность этой информации.


Эти примеры отражают суть защиты информации - обеспечение конфиденциальности, целостности, доступности информации - и являются главной целью и задачей информационной безопасности.




Кроме свойств информации нам надо понимать, от кого и от чего мы защищаемся. Поскольку не получится одновременно хорошо защитить данные от всех напастей сразу, обычно заранее определяют круг возможных нарушителей - источников угрозы для информации. Это могут быть, например, внешние нарушители - те самые хакеры, истории о которых мы так часто слышим, или даже киберразведчики другой страны. 


Нарушители могут быть и внутренними - сотрудники компаний не всегда являются преданными работниками и могут продать служебную информацию конкурентам или хакерам, поэтому иногда случаются утечки важных данных. И наконец, нельзя не забывать про стихийные бедствия и прочие неприятные и неожиданные угрозы - пожар или затопление в дата-центре выведут из строя всё оборудование и хранилища информации, а эпидемия или транспортный коллапс сделают посещение офиса и работу за привычными компьютерами невозможной.


Следует еще учесть и то, что у используемых программ и информационных систем есть ошибки в программном коде, допущенные разработчиками или проектировщиками по невнимательности либо внедренные кем-то специально, с целью дальнейшего злонамеренного использования. Эти ошибки называются уязвимостями - по своей сути они представляют собой недоработки или слабые места в программах. 


Злоумышленники специально изучают программы, системы и сайты для того, чтобы найти в них подобные ошибки и затем проэксплуатировать их, т.е. выполнить такое действие, которое приведет или к сбою в программе, или к недоступности сайта, или даже к утечке из системы важной информации, доступ к которой должен был быть ограничен.


Итак, мы узнали, что у информации есть три основных свойства - конфиденциальность, целостность и доступность. Кроме этого, у информации есть и враги - нарушители, которые используют уязвимости программ в своих целях. Задачей информационной безопасности является реализация комплекса мер для сохранения свойств информации - защита её конфиденциальности, сохранение целостности, обеспечение доступности, а также противодействие нарушителям информационной безопасности. 


В случае, если нарушены данные свойства безопасности информации, то мы говорим о возникновении инцидента информационной безопасности, т.е. некоего нежелательного или вредоносного события, произошедшего с информацией, которое приведет к изменению состояния защищенности информации. Каким образом решается данная задача информационной безопасности? Существуют как чисто технические, так и организационные, и физические меры и способы защиты информации. 


Кроме непосредственного применения этих мер важно выстроить и саму систему управления информационной безопасностью, а также процессы управления защитой информации. Это подразумевает четкое понимание того, какие именно данные нужно защищать, что из них самое важное, а что - нет, какие угрозы информационной безопасности есть у компании и её систем, какие могут быть последствия от нарушений информационной безопасности.

Виды угроз информационной безопасности

А что же такое угрозы безопасности информации? Угроза информационной безопасности - это потенциальная причина возникновения инцидента информационной безопасности. Какие бывают виды угроз информационной безопасности? Сразу оговоримся, что полного и всеобъемлющего перечня нет и его каждая компания или учреждение составляют сами - такой список называется моделью угроз информационной безопасности. 


В список угроз попадают те возможные причины инцидентов защиты информации, которая компания считает актуальными для себя. Приведем краткий пример видов угроз информационной безопасности для типового интернет-магазина: взлом сайта (с целью изменения контактных данных или платежных реквизитов для покупки товара), DDoS-атака (направленная на то, чтобы сайт перестал открываться у клиентов), взлом корпоративной электронной почты (для перехвата коммерческой информации о продаваемых товарах), взлом страницы интернет-магазина в социальных сетях (для размещения рекламы конкурентов), взлом компьютеров сотрудников (для заражения вирусом-шифровальщиком с требованием выкупа), несанкционированная замена сим-карты с номером телефона магазина (для того, чтобы перехватывать звонки клиентов и продавать им товары конкурентов).

Защита информации, что это такое

Сохранение фундаментальных свойств информации - конфиденциальности, целостности, доступности - достигается мероприятиями по защите информации, т.е. защита информации - это действия, направленные на обеспечение информационной безопасности данных организации, граждан, государства. Эти задачи решаются при помощи различных видов защитных мер: технических, организационных, физических. 


При этом наиболее действенными и распространенными являются технические меры, которые предполагают применение средств защиты информации. Средства защиты информации - это программные средства, при помощи которых обеспечивается информационная безопасность: ведется контроль работы программ и информационных систем, сетевых подключений к интернет и локальным сетям, осуществляется мониторинг работы пользователей с данными, производится реагирование на попытки несанкционированного (т.е. вредоносного, нежелательного) воздействия на программы и данные. 


Наиболее часто используемыми средствами защиты информации являются антивирусы, межсетевые экраны (их еще называют брандмауэрами от нем. Brandmauer или файерволлами от англ. Firewall), системы защитного шифрования данных, системы обнаружения и предотвращения компьютерных вторжений.


Наконец, разберемся: защита информации, информационная безопасность, ИТ-безопасность, кибербезопасность - как определяются эти термины и есть ли между ними разница? Отвечаем: как правило, сейчас ставят знак равенства между данными терминами, но информационная безопасность может включать в себя более комплексный подход к обеспечению защиты данных, нежели непосредственно кибербезопасность. 


Приведем пример. Представим себе, что в аэропорту у руководителя был похищен жесткий диск или флешка с важной информацией. По сути, произошла кража информации, но метод кражи - совершенно не цифровой, а обычный, классический. 


Если смотреть на эту задачу с точки зрения руководителя кибербезопасности, то можно сказать, что это вне зоны его ответственности, поскольку никакие ИТ-системы не были взломаны, а имела место физическая атака. Но если смотреть на эту ситуацию с точки зрения именно «классической» информационной безопасности, то инцидент налицо - украдены данные в цифровой форме, а метод кражи уже вторичен. 


Отметим и то, что в теории информационной безопасности меры защиты информации разделяются на технические (которые можно реализовать с помощью антивирусов, межсетевых экранов и т.д.), организационные (их реализуют с помощью написания инструкций и документов, регламентирующих обработку информации), а также физические (это уже традиционные меры защиты - замки, охрана, видеонаблюдение). 


Так вот кибербезопасность сосредоточена именно на технических мерах защиты, а информационная безопасность - на всех трех аспектах. Поэтому в целом мы можно сказать, что кибербезопасность, хотя и является синонимом ИТ-безопасности, предполагает меньший круг ответственности и задач, нежели информационная безопасность или её синоним - защита информации.

ИБ для начинающих Подкасты ИБ SIEM IRP SOC SOAR

Рекомендуем

Метрики: их очарование и коварство
Метрики: их очарование и коварство
Принципы информационной безопасности
Принципы информационной безопасности
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма

Рекомендуем

Метрики: их очарование и коварство
Метрики: их очарование и коварство
Принципы информационной безопасности
Принципы информационной безопасности
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма

Похожие статьи

«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019

Похожие статьи

«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019