Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма


 
Часть 1. Основные понятия и парадигма

Руслан Рахметов, Security Vision

В данной части читателям предлагается ознакомиться с основными терминами и определениями в области информационной безопасности, которые будут затем использованы на протяжении последующих публикаций. Кроме того, будут рассмотрены концепция и парадигма информационной безопасности. Информация в данной и последующих публикациях основывается на общепринятых российских и мировых подходах к информационной безопасности.

Задачи информационной безопасности имеют давнюю и интересую историю. Начиная с Древнего Рима и Китайской Империи вопросы целостности, конфиденциальности, доступности и подлинности информации волновали правителей и военачальников. Яркими примерами важности защиты информации являются военные действия Второй мировой войны, в которых возможность перехвата и дешифрования полученной секретной информации противника играла зачастую решающую роль. Более современными примерами важности задач информационной безопасности являются военно-политические конфликты времен холодной войны, противостояния арабских и западных стран, а также практически все значимые мировые события, начиная с начала 21-го века. Более того, с развитием информационных технологий и их всеобъемлющего проникновения практически во все сферы деятельности современных государств и сообществ вопросы защиты информации становятся ключевыми на повестке дня: так называемая четвертая научная революция немыслима без использования наукоёмких информационных технологий, которые со всеми преимуществами привносят и связанные с ними риски. 

Информационная безопасность, как и всякая связанная с научным прогрессом область деятельности, постоянно эволюционирует. При этом нарастает также и государственное регуляторное давление: осознавая важность защиты информации и информационной инфраструктуры, практически все развитые государства принимают законодательные нормы, отвечающие современным вызовам. Примерами являются законы о защите сведений, составляющих государственную и коммерческую тайну, персональных данных граждан, интеллектуальной собственности, объектов критической инфраструктуры, а также законодательные инициативы по регулированию обмена информацией и доступа к сети Интернет.
Одновременно с развитием и проникновением информационных технологий в жизни обычных граждан развивались и множились угрозы информационной безопасности. Если ещё в конце 20-го века вопросами взлома компьютерных систем занимались, как правило, увлеченные энтузиасты из академических сред, которые не ставили своей целью получение прибыли и обман граждан, то в последнее время с каждым годом растет количество злоумышленников, нелегально зарабатывающих и обманывающих простых пользователей, которые не всегда в полной мере владеют тонкостями работы широко доступных и используемых ими систем и сервисов. Более того, в современном киберпространстве орудуют настоящие армии хакеров, поддерживаемые и спонсируемые правительствами различных стран, осуществляющие нападения на ресурсы и инфраструктуру других государств и крупных корпораций с целью получения разведывательной информации и, зачастую, вывода из строя объектов критической инфраструктуры или даже целых отраслей промышленности.

Как уже отмечалось выше, развитие и польза от применения современных информационных технологий идут рука об руку с ассоциированными с ними рисками и угрозами. Как и любую новую задачу или проект, несущий в себе определенные риски и неизвестность, внедрение информационных технологий следует сочетать с анализом и обработкой рисков. Однако зачастую бытует устаревший подход, при котором вопросы обеспечения информационной безопасности рассматриваются в отрыве от бизнес-контекста, а также не увязывают с управлением рисками. Данная серия публикаций призвана дать возможность читателям взглянуть на защиту информации с точки зрения управления бизнесом и рисками и, надеемся, окажется полезной при выборе стратегии развития компании и её цифровой трансформации, а также при внедрении и использовании тех или иных информационных технологий, продуктов и сервисов.
Направление информационной безопасности эволюционировало вместе с развитием информационных технологий. Менялись как основные акценты деятельности, так и используемая терминологическая и понятийная база, не говоря уже о применяемых и внедряемых системах и средствах защиты. Данная часть публикации призвана синхронизировать терминологический аппарат авторов и читателей, которые, как предполагается, знакомы с базовыми понятиями, такими как актив, информация, информационная система и т.д.

Под защитой информации в классическом понимании подразумевается обеспечение целостности, конфиденциальности, доступности информационных ресурсов. Кроме этого, дополнительными свойствами информации в состоянии защищенности являются неотказуемость, подлинность, подотчетность.  

Под угрозой безопасности информации понимают потенциальную причину возникновения нежелательного инцидента информационной безопасности, который может нанести ущерб активам и нарушить состояние защищенности информации; инциденту может предшествовать несанкционированное изменение состояния актива, называющееся событием информационной безопасности. Угроза безопасности информации возникает при наличии следующих компонент: источника угрозы, уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. 

Источником угрозы могут быть как внешние или внутренние нарушители, осуществляющие несанкционированный доступ к защищаемой информации, так и стихийные бедствия, третьи лица или государственные органы. Внешние нарушители классифицируются, как правило, по уровню их квалификации, возможностям и мотивации: это могут быть как проправительственные хакеры-эксперты с государственной финансовой поддержкой или нанятые конкурентами киберпреступники, так и "хактивисты", профессиональные кибермошенники или даже подростки, вооруженные широкодоступными хакерским программами. Внутренние нарушители классифицируются по целенаправленности и злонамеренности их действий, однако с точки зрения защиты утечкой будет и случайно потерянная халатным сотрудником флешка, и документ, украденный специально внедренным конкурентами сотрудником. Считается, что для осуществления несанкционированного доступа у потенциального злоумышленника должны быть мотив, способ и соответствующая возможность для атаки.

Уязвимость - это недостаток средств защиты информационной системы, который может быть использован для реализации угроз информационной безопасности. Уязвимости информационной системы могут быть порождены как ошибками при создании, внедрении или эксплуатации системы, так и слабостью наложенных защитных средств и примененных мер. Защитные меры традиционно подразделяют на организационные, технические, физические и применяют их к сотрудникам, процессам и технологиям. По целям применяемых мер существует разделение на предупредительные, директивные, превентивные, сдерживающие, корректирующие, восстановительные, расследовательные и компенсирующие меры.

Моделирование угроз - это идентификация всех угроз, которые могут нанести ущерб активам, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.
Под риском информационной безопасности понимают потенциальную возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Как и в классическом риск-менеджменте, есть следующие способы обработки киберриска: игнорировать, принять, избежать, передать, минимизировать. Выбор именно последнего, наиболее оптимального во многих случаях способа обработки риска предшествует разработке и внедрению систем и средств информационной безопасности. 

При этом при выборе и реализации конкретных мер по обеспечению информационной безопасности активов следует руководствоваться целесообразностью применения этих мер в контексте решаемой бизнес-задачи, стоимости актива и величины прогнозируемого ущерба, а также потенциальных затрат злоумышленников. Согласно общепринятому подходу, стоимость защитных мер не должна превышать стоимости актива или величины прогнозируемого ущерба, а расчетные целесообразные затраты на атаку для злоумышленника должны быть меньше, чем ожидаемая им прибыль от реализации этой атаки.

Ущерб от реализации атаки может быть прямым или непрямым. Прямой ущерб - это непосредственные очевидные и легко прогнозируемые потери компании, такие как утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д. Непрямой ущерб может означать качественные или косвенные потери. Качественными потерями могут являться приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг. Косвенные потери - это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы.