Однією з масштабних світових проблем в області економіки і національної безпеки даних в даний час є кібербезпека всіх інстанцій від вірусів, оскільки саме вони зачіпають зберігання інформації, а також інші аспекти безпеки під час підключення до інтернету. Шкідливі програми практично постійно прагнуть атакувати незахищені ресурси. Але слід пам’ятати, що захист – не просто слово. Вона має більш структурований характер, оскільки включає в себе стандарти забезпечення інформаційної безпеки, які регламентовані на міжнародному та національному рівні.
Що таке інформаційна безпека і чому важливі стандарти?
Інтернет складний як у технологічному, так і в політичному відношенні, адже зацікавлені в ньому сторони охоплюють технічні дисципліни і національні кордони. Одна з особливостей проблеми кібербезпеки полягає в тому, що нехай кіберпростір і є масштабним, але одним для всіх, але самі люди, захищені конституційними правами, що різняться культурними нормами і правовими інститутами, відрізняються. Отже, закони визначаються договірними або географічними кордонами. Так, перебуваючи в зовсім іншій країні хакери можуть вкрасти чужі дані.
Численні стандарти інформаційної безпеки були сформовані для підтримки високого рівня кібербезпеки. Збереження даних – пріоритетне завдання будь-якої держави. Справа в тому, що використання особистих даних зломщиками завдає серйозної шкоди звичайним громадянам.
У світових масштабах проблема набуває максимально небезпечний характер, оскільки задіяні інтереси всієї країни. Тому різні технології інформаційної безпеки розроблялися спеціально, щоб допомогти організаціям знизити ризик злому, використовуючи захист. Остання, у свою чергу, відповідає законодавчим та нормативним вимогам держави чи світу.
Види інформаційних систем
Компоненти, що регулюють інформацію, взаємодіють між собою, перетинаються і часто діють як єдине ціле. Архітектуру інформаційних систем, як і будь-яких інших, простіше розглядати в структурованому варіанті. В першу чергу вона необхідна для групування масштабного кількості баз даних, надаючи спрощену інформаційну систему, що складається всього з трьох компонентів:
Кожен з компонентів взаємодіє між собою, утворюючи повноцінну архітектуру, яка відповідає на ряд прямих запитань про те, що робить система, як вона взаємодіє і на що розділяється. Саме ці знання використовують хакери, вміло залучаючи теоретичні знання під час злому.
Міжнародний стандарт
Технологія безпеки не встигає за швидким розвитком IT, роблячи системи, дані і самих користувачів уразливими для звичайних та інноваційних загроз безпеки. Політично або фінансово мотивовані злочинці, зловмисники або просто необережні авторизовані користувачі відносяться до числа загроз для систем і технологій, які в майбутньому можуть негативно позначитися на всьому інформаційному просторі, впливаючи на економіку країн, охорона здоров’я, конфіденційність і політику.
На даний момент неможливо зупинити всі атаки, однак стандарти в області інформаційної безпеки допомагають знизити ризики, доводячи успішність зломів до мінімуму, а також знижуючи ефективність атак.
Стандарти світового масштабу формуються таким чином, щоб усі країни брали в них участь і прийшли до найбільш ефективному вирішенню:
- Пряма участь. Зацікавлені сторони з будь-яких організацій, різних галузей і країн мають можливість безпосередньо брати участь у розробці глобальних і відкритих стандартів для кібербезпеки.
- Широкий консенсус. Розробка охоплює широке коло зацікавлених сторін у всьому світі, при цьому ні одна людина або організація не повинні володіти одноосібною владою.
- Прозорість. Діяльність з кібербезпеки повинна бути прозорою в глобальному масштабі, підзвітним і широко визнається.
Стандарти безпеки інформаційних систем підвищують захист даних і сприяють управління ризиками з допомогою безлічі способів. Вони допомагають встановити загальні вимоги і можливості, необхідні для прийняття рішень в даній сфері.
Двома найбільш важливими стандартами є ISO 17799, який стосується безпеки процесів, і Common Criteria, що регулює безпеку технічних продуктів.
ISO 17799
Все більш популярним стандартом для реалізації політики безпеки стає ISO 17799. Це всеосяжний набір елементів управління, що включає кращі практики у сфері кібербезпеки. Даний стандарт є універсальним, оскільки визнаний у всьому світі.
Підвищена зацікавленість країн призвела до того, що сертифікація по ISO 17799, надана різними акредитованими органами, стала метою багатьох корпорацій, державних установ та інших організацій по всьому світу. ISO 17799 пропонує зручну структуру, що допомагає людям регулювати безпеку у відповідності з міжнародним стандартом.
Велика частина ISO 17799 присвячена елементам управління безпекою, определяющимися як практики, процедури або механізми. Вони можуть захищати від загрози, зменшувати вразливість, обмежувати і виявляти вплив небажаних вторгнень, а також полегшувати відновлення.
Одні засоби спрямовані на виключне управління і політику захисту так, щоб інформаційна безпека та захист інформації залишалися незайманою зломщиками. Інші займаються впровадженням, забезпечують і виправляють виявлені операційні недоліки. Слід відзначити, що дані засоби управління відносяться до механізмам і процедурам, які застосовуються людьми, а не системами.
Common Criteria
Common Criteria (ISO 15408) є єдиною всесвітньо визнаним стандартом безпеки електронної продукції. Процес оцінки Common Criteria значно змінився і став відбуватися більш строго: якщо раніше на незначні похибки закривали очі, то тепер будь-яка помилка тут же відправляється на доопрацювання.
Метою специфікації CC є забезпечення більшої впевненості в безпеці IT-продукції завдяки результатам проведеної оцінки та експлуатації.
Міжнародні організації з розробки стандартів
Інститут стандартів інженерів з електротехніки та електроніки (IEEE-SA) розробляє стандарти в багатьох областях, включаючи інформаційні технології, телекомунікації і виробництво електроенергії. Наприклад, IEEE-SA – це комітет з стандартизації більш 802 локальних мереж (LAN) і міських мереж (MAN).
Різні робочі групи в рамках комітету розробляють широко використовувані стандарти для багатьох типів мереж технології: Ethernet, бездротові локальні мережі, Bluetooth і WiMAX. Ці стандарти включають функції безпеки, вбудовані в протоколи бездротових мереж.
Національний стандарт про регулювання термінів захисту інформації
Переважним стандартом, який відповідає за основну термінологію у сфері безпеки прийнято вважати ГОСТ Р 50922-2006. Саме він наділений всіма необхідними означеннями, які слід задіяти під час оформлення офіційних заяв, документів. Вони використовуються не тільки в політичній і юридичній сфері, але й у науковій, навчальній літературі як стандартні найменування термінів.
Національні стандарти інформаційної безпеки
Російська кібербезпека, на жаль, недостатньо суворо регламентована, охоплюючи далеко не всі сфери. Однак слід відзначити найбільш ефективні стандарти інформаційної безпеки країни:
- ГОСТ Р ISO 17799. Регулює конфіденційність інформації, позначає основи її використання, організації для груп осіб, відповідальних за зберігання, доступ і захист інформації.
- ГОСТ Р ISO 27001. Позначає суворі рамки, структуру за якою оцінюється ступінь захищеності певної технології. Слід зазначити, що у кожної з них своя мінімальна ступінь захисту.
- ГОСТ ИСО МЕК 15408. Допомагає провести повноцінну оцінку ступеня захищеності тієї чи іншої технології на основі наданих критеріїв.
Стандартизація забезпечення мінімальної безпеки необхідна для повноцінної працездатності багатьох організацій, оскільки захищає від ризику впроваджень шкідливих вірусів і програм.
Відмінність стандартів
Стандарти інформаційної безпеки відрізняються тим, як вони регулюються. Відповідно, стандарти можуть бути необов’язковими і обов’язковими.
Необов’язкові стандарти встановлюються на добровільній основі, створюються волонтерами, небайдужими жителями і призначені для додаткового застосування регулюючих організацій.
Обов’язкові – це ті стандарти, використання яких пропонується регулюючим органом або виконуючою організацією. Вони зазвичай реалізуються з допомогою законів і нормативно-правових актів.
Взаємодія стандартів безпеки
Коли технології, процеси і методи управління організацій об’єднуються і перетинаються між собою, в гру вступають відразу кілька стандартів. Інформаційна безпека та захист інформації організацій при цьому стає набагато міцніше, оскільки досконально вивчається кожна похибка. Проте слід розуміти, що при використанні декількох стандартів – одні можуть накладати вимоги, що суперечать іншим.
Стандарти взаємодіють кількома способами:
- Одні стандарти доповнюють один одного, підтримують або посилюють вимоги іншого. Наприклад, ISO часто публікує багатокомпонентні стандарти, де кожна частина являє собою окремо розроблений тому, що охоплює різні аспекти безпеки.
- Деякі стандарти можуть конфліктувати один з одним. Наприклад, існуючі невідповідності або протиріччя між стандартами призводять до таких проблем, як технологічна несумісність або юридична невідповідність.
- Інші стандарти є дискретними – вони не мають прямого впливу один на одного.
- Існують також прогалини в стандартах. Вони зазвичай з’являються через прогресивного розвитку технологій, які не встигають вчасно регулювати новими стандартами.
Технологія забезпечення інформаційної безпеки
Мережева безпека. Використовується для запобігання проникнення в мережу неавторизованих користувачів або зловмисників. Цей тип безпеки необхідний для запобігання доступу хакера до даними всередині мережі.
Інтернет-безпеку. Включає в себе захист інформації, що відправляється і отримується в браузерах, а також займається безпекою мережі з використанням веб-додатків. Дана технологія призначена для моніторингу вхідного інтернет-трафіку і перегляду на наявність шкідливих програм. Захист використовується брандмауери, шкідливих програм і програм-шпигунів.
Кінцева точка безпеки. Забезпечує захист на рівні пристроїв, які можуть бути захищені системою безпеки кінцевих точок (мобільні телефони, планшети та ноутбуки). Безпека кінцевих точок запобігає доступ пристроїв до шкідливим мереж, що становлять загрозу для організації.
Хмарна безпека. Додатки і дані в них переміщуються в хмару, де користувачі підключаються безпосередньо до інтернету і не захищені традиційним способом. Для забезпечення безпеки в хмарі часто використовується брокер безпеки хмарного доступу (CASB), безпечний інтернет-шлюз (SIG) і хмарне спеціалізоване управління загрозами (UTM).
Безпека додатків. Програми спеціально кодуються під час створення, щоб гарантувати максимальну захист, позбавляючи від прогалин під час розробок і сторонніх програм зловмисників.