Руслан Рахметов, Security Vision
Дорогие друзья, при изучении основ информационной безопасности - в ВУЗе, на курсах повышения квалификации или самостоятельно - у новичка неизбежно возникает множество вопросов относительно базовых терминов и определений, используемых в кибербезопасности. В данной статье мы дадим определение наиболее часто встречающимся терминам и определениям кибербезопасности, но при этом, по возможности, постараемся дать объяснение терминов простым языком и обойтись без ненужных канцеляризмов. Следует также указать, что при разработке каких-либо документов (например, внутренних нормативных документов в компании) следует использовать официальный глоссарий, поэтому можем порекомендовать использовать перечень самых базовых терминов из следующих документов:
· Стандарт ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
· Стандарт ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;
· Стандарт ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»;
· Рекомендации по стандартизации Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»;
· Рекомендации по стандартизации Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»;
· Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
· Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Итак, перейдем к основным определениям в области информационной безопасности:
Защита информации - это обеспечение целостности, конфиденциальности, доступности информации.
Безопасность информации (или информационная безопасность, сокращенно ИБ) - это состояние защищенности информации, при котором обеспечиваются её целостность, конфиденциальность, доступность.
Целостность информации - это состояние информации, при котором она либо остается неизменной, либо изменения осуществляются только теми, кто имеет на это право.
Конфиденциальность информации - это состояние информации, при котором доступ к ней имеют только те, кто обладает соответствующими правами доступа.
Доступность информации (ресурсов информационной системы) - это состояние информации (ресурсов информационной системы), при котором обладающие необходимыми правами доступа могут их беспрепятственно реализовать.
Права доступа - это полномочия пользователя или сущности (например, программы или устройства) на обработку информации - чтение, запись, изменение, копирование, передачу, удаление.
Субъект доступа - это пользователь или сущность, которые выполняют обработку информации в соответствии с назначенными им правами доступа.
Объект доступа - это информация или ресурс информационной системы (например, файл или запись в базе данных), с которым взаимодействует субъект доступа в соответствии с назначенными ему правами доступа.
Актив (информационный актив) - это информация или ресурс информационной системы, имеющие ценность для организации, использующиеся для достижения целей организации, являющиеся объектами защиты и кибератаки с целью нарушения свойств безопасности.
Кибератака (компьютерная атака) - это целенаправленное вредоносное воздействие на актив для нарушения его нормального функционирования и/или для реализации угрозы ИБ обрабатываемой ресурсом информации.
Инцидент ИБ - это событие (или группа событий) ИБ, которые могут привести или уже привели к успешной кибератаке, нарушению работы информационного актива, нанесению ущерба интересам компании.
Событие ИБ - это зафиксированное изменение состояния информационного актива, которое может являться причиной инцидента ИБ.
Ущерб от реализации кибератаки - это негативные последствия для интересов и благополучия компании. Ущерб может быть прямым или непрямым:
1) прямой ущерб - это непосредственные и легкопрогнозируемые потери компании, например, утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д.;
2) непрямой ущерб - это опосредованные и труднопрогнозируемые качественные или косвенные потери компании:
2а) качественные потери - это, например, приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг;
2б) косвенные потери - это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы.
Угроза безопасности информации (киберугроза, угроза ИБ) - это набор условий и факторов, создающих опасность нарушения безопасности информации и являющихся потенциальной причиной возникновения инцидента ИБ.
Реализация угрозы ИБ - это сочетание условий и факторов, приведших к наступлению инцидента ИБ.
Моделирование угроз - это идентификация всех угроз, которые могут нанести ущерб компании, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.
Угроза ИБ может возникнуть при наличии:
1) источника угрозы,
2) уязвимости актива,
3) способа реализации угрозы,
4) объекта воздействия,
5) вредоносного воздействия и его последствий.
1. Источник угрозы - это субъекты (нарушители, третьи лица, технические средства, физические явления, силы природы), являющиеся причиной возникновения угрозы безопасности информации.
Нарушители могут быть внешними или внутренними по отношению к рассматриваемому объекту защиты:
1) внешние нарушители - это субъекты, не имеющие легитимного доступа к объекту защиты. Они не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными действующими юридическими отношениями с рассматриваемой организацией;
2) внутренние нарушители (или инсайдеры, от англ. insider) - это сотрудники и руководители компании, а также юридические лица, которые имеют действующие юридические отношения с компанией. Они отличаются хорошими знаниями о работе атакуемого ресурса, имеют или могут получить к нему доступ, зачастую санкционированный и с расширенными полномочиями. Инсайдеры условно делятся на:
· халатных, которые могут реализовать угрозы ИБ ненамеренно,
· саботирующих, которые нарушают работу бизнес-процессов компании в силу своей нелояльности,
· увольняющихся, которые стремятся оставить у себя конфиденциальную рабочую информацию для использования на новом месте,
· целенаправленных, которые могут быть специально внедрены конкурентами для бизнес-разведки.
Моделирование нарушителей - это оценка опасности атакующих с учетом наличия у них способов, мотивов, возможностей для реализации киберугроз, а также с учетом привлекательности конкретной компании для злоумышленников.
2. Уязвимость - это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками для реализации угроз безопасности информации. Уязвимость характеризуется степенью опасности, включающей простоту эксплуатации (использования) уязвимости и её влияние на свойства безопасности информации (конфиденциальность, целостность, доступность).
3. Способ реализации угрозы - это использование источником угрозы выявленных уязвимостей, нарушений и ошибок в технических и организационных процессах компании, недостатков контроля и управления для оказания вредоносного воздействия на объект защиты. Способы реализации угроз можно также классифицировать по применяемым злоумышленниками тактикам, техникам, процедурам кибератак (сокращенно TTPs, от англ. Tactics, Techniques, Procedures).
4. Объект воздействия - это люди, информация, процессы и технологии, включая процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты информационных систем. На объект воздействия атакующими оказывается негативное влияние для реализации угроз ИБ, например: злоумышленники отправляют сотрудникам фишинговые ссылки для реализации кибератак с помощью методов социальной инженерии, запускают вирусы-шифровальщики для получения выкупа за расшифрование данных или неразглашение украденных сведений, внедряются в процессы разработки ПО для встраивания вируса в очередное обновление программы, подключают к компьютерам аппаратные кейлоггеры (устройства для негласного съема информации).
5. Вредоносное воздействие - это непосредственно кибератака, например, DDoS-атака, кража данных, заражение вирусом-шифровальщиком, хищение денежных средств. Вредоносное воздействие приводит к последствиям в виде ущерба интересам и благополучию компании.
Риск информационной безопасности (риск ИБ, киберриск) - это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба компании. Существуют следующие способы обработки киберриска:
1) игнорировать - но это рано или поздно приведет к успешной кибератаке,
2) принять - при взвешенном и коллегиально вынесенном решении это допустимо для несущественных рисков или рисков, которые невозможно обработать иным способом,
3) избежать - отказ от внедрения или использования тех или иных рискованных технологий, однако при этом может пострадать продуктивность процессов компании,
4) передать - использование услуг киберстрахования,
5) минимизировать - реализация стратегии кибербезопасности, внедрение мер защиты информации (организационные, технические, физические), установка и эксплуатация средств защиты информации.
Средство защиты информации (сокр. СЗИ или СрЗИ) от несанкционированного доступа / воздействия - это техническое, программное или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа / воздействия на информацию или ресурсы информационной системы.