Одной из масштабных мировых проблем в области экономики и национальной защиты данных в настоящее время является кибербезопасность всех инстанций от вирусов, поскольку именно они затрагивают хранение информации, а также другие аспекты безопасности во время подключения к интернету. Вредоносные программы практически постоянно стремятся атаковать незащищенные ресурсы. Но следует помнить, что защита – не просто слово. Она имеет более структурированный характер, поскольку включает в себя стандарты обеспечения информационной безопасности, которые регламентированы на международном и национальном уровне.
Что такое информационная безопасность и почему важны стандарты?
Интернет сложен как в технологическом, так и в политическом отношении, ведь заинтересованные в нем стороны охватывают технические дисциплины и национальные границы. Одна из особенностей проблемы кибербезопасности заключается в том, что пусть киберпространство и является масштабным, но одним для всех, но сами люди, защищенные конституционными правами, различающиеся культурными нормами и правовыми институтами, отличаются. Следовательно, законы определяются договорными или географическими границами. Так, находясь в совершенно другой стране хакеры вполне могут украсть чужие данные.
Многочисленные стандарты информационной безопасности были сформированы для поддержания высокого уровня кибербезопасности. Сохранность данных – приоритетная задача любого государства. Дело в том, что использование личных данных взломщиками приносит серьезный вред обычным гражданам.
В мировых масштабах проблема приобретает максимально опасный характер, поскольку задействованы интересы всей страны. Потому различные технологии информационной безопасности разрабатывались специально, чтобы помочь организациям снизить риск взлома, используя защиту. Последняя, в свою очередь, соответствует законодательным и нормативным требованиям государства или мира.
Виды информационных систем
Компоненты, регулирующие информацию, взаимодействуют между собой, пересекаются и часто действуют как единое целое. Архитектуру информационных систем, как и любых других, проще рассматривать в структурированном варианте. В первую очередь она необходима для группировки масштабного количества баз данных, предоставляя упрощенную информационную систему, состоящую всего из трех компонентов:
- Управление данными. Сюда поступает информация и разделяется по типам.
- Бизнес-логика устанавливает критерии сортировки данных, их обработки и дальнейшего использования. При этом задействованы различные языки программирования.
- Пользовательский интерфейс облегчает задачу для восприятия человеком, поскольку тот видит лишь итоговые данные на экране: поля, таблицы, файлы и т. д.
Каждый из компонентов взаимодействует между собой, образуя полноценную архитектуру, которая отвечает на ряд прямых вопросов о том, что делает система, как она взаимодействует и на что разделяется. Именно эти знания используют хакеры, умело вовлекая теоретические знания во время взлома.
Международный стандарт
Технология безопасности не успевает за быстрым развитием IT, делая системы, данные и самих пользователей уязвимыми для обычных и инновационных угроз безопасности. Политически или финансово мотивированные преступники, злоумышленники или просто неосторожные авторизованные пользователи относятся к числу угроз для систем и технологий, которые в будущем могут негативно сказаться на всем информационном пространстве, затрагивая экономику стран, здравоохранение, конфиденциальность и политику.
На данный момент невозможно остановить все атаки, однако стандарты в области информационной безопасности помогают снизить риски, доводя успешность взломов до минимума, а также снижая эффективность атак.
Стандарты мирового масштаба формируются таким образом, чтобы все страны принимали в них участие и пришли к наиболее эффективному решению:
- Прямое участие. Заинтересованные стороны из любых организаций, разных отраслей и стран имеют возможность прямо участвовать в разработке глобальных и открытых стандартов для кибербезопасности.
- Широкий консенсус. Разработка охватывает широкий круг заинтересованных сторон во всем мире, при этом ни один человек или организация не должны обладать единоличной властью.
- Прозрачность. Деятельность по кибербезопасности должна быть прозрачной в глобальном масштабе, подотчетной и широко признаваемой.
Стандарты безопасности информационных систем повышают защиту данных и способствуют управлению рисками с помощью множества способов. Они помогают установить общие требования и возможности, необходимые для принятия решений в данной сфере.
Двумя наиболее важными стандартами являются ISO 17799, который касается безопасности процессов, и Common Criteria, регулирующий безопасность технических продуктов.
ISO 17799
Все более популярным стандартом для реализации политики безопасности становится ISO 17799. Это всеобъемлющий набор элементов управления, включающий лучшие практики в области кибербезопасности. Данный стандарт является универсальным, поскольку признан во всем мире.
Повышенная заинтересованность стран привела к тому, что сертификация по ISO 17799, предоставленная различными аккредитованными органами, стала целью многих корпораций, государственных учреждений и других организаций по всему миру. ISO 17799 предлагает удобную структуру, помогающую людям регулировать безопасность в соответствии с международным стандартом.
Большая часть ISO 17799 посвящена элементам управления безопасностью, определяющимися как практики, процедуры или механизмы. Они могут защищать от угрозы, уменьшать уязвимость, ограничивать и обнаруживать влияние нежелательных вторжений, а также облегчать восстановление.
Одни средства направлены на исключительное управление и политику защиты так, чтобы информационная безопасность и защита информации оставались нетронутой взломщиками. Другие занимаются внедрением, обеспечивают и исправляют выявленные операционные недостатки. Следует отметить, что данные средства управления относятся к механизмам и процедурам, которые применяются людьми, а не системами.
Common Criteria
Common Criteria (ISO 15408) является единственным всемирно признанным стандартом безопасности электронной продукции. Процесс оценки Common Criteria значительно изменился и стал происходить более строго: если ранее на незначительные погрешности закрывали глаза, то теперь любая ошибка тут же отправляется на доработку.
Целью спецификации CC является обеспечение большей уверенности в безопасности IT-продукции благодаря результатам проведенной оценки и эксплуатации.
Международные организации по разработке стандартов
Институт стандартов инженеров по электротехнике и электронике (IEEE-SA) разрабатывает стандарты во многих областях, включая информационные технологии, телекоммуникации и производство электроэнергии. Например, IEEE-SA - это комитет по стандартизации более 802 локальных сетей (LAN) и городских сетей (MAN).
Различные рабочие группы в рамках комитета разрабатывают широко используемые стандарты для многих типов сетей технологии: Ethernet, беспроводные локальные сети, Bluetooth и WiMAX. Эти стандарты включают функции безопасности, встроенные в протоколы беспроводных сетей.
Национальный стандарт о регулировании терминов защиты информации
Преимущественным стандартом, который отвечает за основную терминологию в сфере безопасности принято считать ГОСТ Р 50922-2006. Именно он наделен всеми необходимыми определениями, которые следует задействовать во время оформления официальных заявлений, документов. Они используются не только в политической и юридической сфере, но и в научной, учебной литературе как стандартные наименования терминов.
Национальные стандарты информационной безопасности
Российская кибербезопасность, к сожалению, регламентирована недостаточно строго, охватывая далеко не все сферы. Однако следует отметить наиболее эффективные стандарты информационной безопасности страны:
- ГОСТ Р ИСО 17799. Регулирует конфиденциальность информации, обозначает основы ее использования, организации для групп лиц, отвечающих за хранение, доступ и защиту информации.
- ГОСТ Р ИСО 27001. Обозначает строгие рамки, структуру по которой оценивается степень защищенности определенной технологии. Следует отметить, что у каждой из них своя минимальная степень защиты.
- ГОСТ ИСО МЭК 15408. Помогает провести полноценную оценку степени защищенности той или иной технологии на основе предоставленных критериев.
Стандартизация обеспечения минимальной безопасности необходима для полноценной работоспособности многих организаций, поскольку защищает от риска внедрений вредоносных вирусов и программ.
Различие стандартов
Стандарты информационной безопасности отличаются тем, как они регулируются. Соответственно, стандарты могут быть необязательными и обязательными.
Необязательные стандарты устанавливаются на добровольной основе, создаются волонтерами, неравнодушными жителями и предназначены для дополнительного применения регулирующих организаций.
Обязательные - это те стандарты, использование которых предписывается регулирующим органом или исполняющей организацией. Они обычно реализуются с помощью законов и нормативно-правовых актов.
Взаимодействие стандартов безопасности
Когда технологии, процессы и методы управления организаций объединяются и пересекаются между собой, в игру вступают сразу несколько стандартов. Информационная безопасность и защита информации организаций при этом становится намного крепче, поскольку досконально изучается каждая погрешность. Однако следует понимать, что при использовании нескольких стандартов – одни могут налагать требования, противоречащие другим.
Стандарты взаимодействуют несколькими способами:
- Одни стандарты дополняют друг друга, поддерживают или усиливают требования другого. Например, ISO часто публикует многокомпонентные стандарты, где каждая часть представляет собой отдельно разработанный том, охватывающий различные аспекты безопасности.
- Некоторые стандарты могут конфликтовать друг с другом. Например, существующие несоответствия или противоречия между стандартами приводят к таким проблемам, как технологическая несовместимость или юридическое несоответствие.
- Другие стандарты являются дискретными - они не имеют прямого влияния друг на друга.
- Существуют также пробелы в стандартах. Они обычно появляются из-за прогрессивного развития технологий, которые не успевают вовремя регулировать новыми стандартами.
Технология обеспечения информационной безопасности
Сетевая безопасность. Используется для предотвращения проникновения в сеть неавторизованных пользователей или злоумышленников. Этот тип безопасности необходим для предотвращения доступа хакера к данным внутри сети.
Интернет-безопасность. Включает в себя защиту информации, отправляемой и получаемой в браузерах, а также занимается безопасностью сети с использованием веб-приложений. Данная технология предназначена для мониторинга входящего интернет-трафика и просмотра на наличие вредоносных программ. Защита используется от брандмауэров, вредоносных программ и программ-шпионов.
Конечная точка безопасности. Обеспечивает защиту на уровне устройств, которые могут быть защищены системой безопасности конечных точек (мобильные телефоны, планшеты и ноутбуки). Безопасность конечных точек предотвращает доступ устройств к вредоносным сетям, представляющим угрозу для организации.
Облачная безопасность. Приложения и данные в них перемещаются в облако, где пользователи подключаются напрямую к интернету и не защищены традиционным способом. Для обеспечения безопасности в облаке часто используется брокер безопасности облачного доступа (CASB), безопасный интернет-шлюз (SIG) и облачное специализированное управление угрозами (UTM).
Безопасность приложений. Приложения специально кодируются во время создания, чтобы гарантировать максимальную защиту, избавляя от пробелов во время разработок и сторонних программ злоумышленников.