У статті ви дізнається, що таке інформаційна безпека, навіщо вона потрібна та як працюють сучасні системи захисту.
137 
Ви дізнаєтесь, як забезпечити ефективний захист даних завдяки сучасним послугам інформаційної безпеки, а також зрозуміють важливість дотримання правових норм у цій сфері. Стаття розкриє ключові аспекти захисту мережі та правові питання, пов’язані з інформаційною безпекою. Це допоможе їм усвідомити, наскільки важливо комплексно підходити до безпеки, об’єднуючи технічні рішення із правовим регулюванням.
Розглянуто основні служби безпеки проблема конфіденційності інформації її цілісності та доступності у комп’ютерних системах
Послуги інформаційної безпеки – це послуги базового рівня, які використовуються для протидії атакам. Кожна з цих служб призначена для боротьби з певним типом атак. Послуги, про які ми розповімо в цьому лящі, не слід плутати з реалізованими в них реальними механізмами безпеки.
Специфіка використання послуг інформаційної безпеки в рамках окремої організації залежить від рівня оцінки ризиків у цій організації та планування стану безпеки. Знання базових вимог безпеки дозволяє грамотно використовувати відповідну слумбу для протистояння атакам.
Конфіденційність забезпечує секретність інформації. Правильно налаштована, ця служба робить інформацію доступною для аутентифікованих користувачів. Її надійна робота залежить від служби ідентифікації та унікальної ідентифікації. Сервіс повинен враховувати різні способи подачі інформації – у вигляді роздруківок, файлов або пакетів, що передаються по мережах.
Примітка
У процесі обговорення ви часто будете стикатися з рекомендаціями щодо правильного визначення автентичності облич. Жодна з служб не може працювати автономно. Тому при впровадженні готових програмних продуктів можуть виникати збої в роботі систем інформаційної безпеки.
Забезпечте чутливість файлу
Існують різні способи забезпечення секретності документів в залежності від їх виду. Паперові документи повинні зберігатися в окремому місці, доступ до документа контролюється службою у справах молоді.
Є тонкощі в роботі з електронними документами. По-перше, файли можуть зберігатися в декількох місцях одночасно: на зовнішніх запам’ятовуючих пристроях великої ємності (жорстких дисках або магнітних стрічках), на дискетах або джампатичних дисках. По-друге, фізичний доступ до місця зберігання файла не потрібен. Збереження концентрації магнітних стрічок і дисків схоже з пошуком документів і пов’язане з обмеженням фізичного доступу. Комп’ютерні системи здійснюються системами контролю доступу (це може бути створення образу файлів). Робота цих систем залежить від надійної ідентифікації та аутентифікації користувачів, а також правильної конфігурації, яка усуває обідок пропрієтарних механізмів через вразливості системи. У настіпній таблиці наведено механізми забезпечення ювенільного характеру досьє та вимоги до них.
Недостатньо заплутати тільки ту інформацію, яка зберігається у вигляді файлів, адже зловмисники можуть перехопити її в процесі передачі по мережевому з’єднанню. Тому необхідно забезпечити конфіденційність інформації, що передається по каналах зв’язку. Робиться це за допомогою обрамлення темологій.
Механізми можуть використовуватися як для одиничного зв’язку, так і для всього трафіку з’єднання.
В останньому випадку для визначення автентичності віддаленого одержувача потрібна надійна система ідентифікації та аутентифікації.
Слукба по забезпеченню конфіденційності потоку даних дуже стурбований самим фактом передачі інформації між двома молодими точками. Конфіденційність потоку даних не стосується збереження інформації, що передається. Наявність потоку даних дозволяє Traffic Analyzer ідентифікувати організації, які пов’язуються. Обсяг трафіку, що передається від вузла до вузла, є цінною інформацією. Наприклад, багато новинних агентств стежать за поставками піци в Білий дім і Пентагон. Основна ідея полягає в тому, що збільшення кількості піц свідчить про виникнення якоїсь неординарної ситуації. Для опису цього виду діяльності існує спеціальний термін – traffc і pattern analysis.
Конфіденційність потоку даних забезпечується за рахунок приховування інформації, що передається між двома кінцевими точками в межах набагато більше трафіку даних. У ЗСУ використовується така техніка: дві військові частини спочатку налагоджують зв’язок, а потім передають постійний обсяг даних, незалежно від кількості фактично відправлених повідомлень (вільне місце заповнюється інформацією «Сміття»). Таким чином, обсяг трафіку залишається постійним, і ніяких змін в інтенсивності передачі повідомлень виявити не вдається.
Примітка
Більшість комерційних організацій не замислюються про юнацький характер потоку даних. У деяких випадках сам факт встановлення з’єднання є секретною інформацією. Припустимо, відбувається злиття двох юмпаній. У цьому випадку виникнення нових інформаційних потоків між ними є таємною інформацією до моменту оголошення цієї події.
Профілактика атак
Служба забезпечення конфіденційності допомагає запобігти атакам доступу. Однак повністю вона не усуне цю проблему сама по собі. Ця послуга має працювати разом із службою ідентифікації для визначення автентичності осіб, які намагаються отримати доступ до інформації. У цьому випадку ризик отримання зловмисником незахищеного доступу значно знижується.
Служба забезпечення доброчесності гарантує достовірність інформації. При правильній організації ця послуга дає користувачам впевненість у тому, що інформація правильна і не була змінена кимось іншим. Служба доброчесності має працювати разом із сервісом ідентифікації, щоб забезпечити надійну автентифікацію. Ця слумба є «щитом» від атак модифікацій. Інформація, яку він шукає, може бути у вигляді паперових роздруківок, файлів або даних, що передаються через мережу.
Цілісність файлу
Як уже згадувалося, інформація може бути представлена у вигляді масових роздруківок або у вигляді файлів. Звичайно, простіше забезпечити переміщення паперових документів, і набагато простіше встановити факт зміни змісту такого документа. Адже зловмиснику потрібна певна навичка, щоб підроблений документ виглядав достовірно. А файл на комп’ютері може змінити будь-хто, хто має до нього доступ. Способів реєстрації паперових документів від підробки не існує. На кожній сторінці можна ставити підпис, створювати документи в папках і робити кілька копій документа. Механізми доброчесності ускладнюють підробку документів. Зловмисники хоч і навчилися засмічувати підписи, зробити це все одно непросто, це вимагає серйозної вправності. Додати або видалити документ із загального самовивозу досить складно. А якщо документи розіслані всім зацікавленим особам, то замінити всі документи відразу практично неможливо.
І звичайно ж, основним методом підробки документів є повне виключення несанкціонованого доступу. Для цього використовуються одні й ті ж механізми, що забезпечують конфіденційність центральних заходів безпеки.
Щоб змінити електронний файл, зловмиснику достатньо відкрити документ у текстовому редакторі та набрати відповідну інформацію. При збереженні новий файл буде заблокований поверх старого. Основним способом збереження цілісності в цьому випадку є контроль доступу до файлу на комп’ютері. За допомогою механізму контролю доступу можна встановити дозвіл «голе читання» на файл і заборонити запис змін. хто може вносити зміни. Тут допоможе сервіс аутентифікації. Контроль доступу до файлів на комп’ютері працює надійно, якщо файли зберігаються в окремій комп’ютерній системі або мережі, контрольованій організацією. Що робити, якщо файл потрібно скопіювати в інші відділи? У цьому випадку ще один механізм виявлення несанкціонованих змін у файлі забезпечує цифровий підпис. Цифровий підпис до файлу дає змогу визначити, що файл змінився з моменту створення підпису. Цифровий підпис має бути пов’язаний з конкретним користувачем; Таким чином, послуга доброчесності повинна включати в себе комбінацію функцій ідентифікації та аутентифікації.
Забезпечення цілісності інформації при передачі
Дані можуть бути змінені під час проходження через мережеві з’єднання, але для цього необхідно провести атаку прослуховування. За наявності надійних механізмів ідентифікації та аутентифікації можна протистояти атакам прослуховування, а технології імпринтингу запобігають великій кількості типів атак модифікацій.
Система доступності інформації підтримує свою готовність, дозволяє здійснювати доступ до комп’ютерних систем, даних і додатків, що зберігаються в цих системах. Ця послуга дозволяє передавати інформацію між двома кінцевими точками або комп’ютерними системами. В даному випадку мова йде в основному про інформацію, що подається в електронному вигляді (але вона підходить і для звичайних документів).
Резервні копії
Щоб зберегти важливу інформацію, найпростіший спосіб – створити її резервну копію та розмістити в безпечному місці. Це можуть бути копії на папері або на електронних носіях (наприклад, магнітні стрічки). Резервні копії запобігають повній втраті інформації в разі випадкового або навмисного знищення файлів.
Безпечним місцем для зберігання резервних ІПП є сейфи або ізольовані приміщення, до яких фізичний доступ осіб обмежений. Адже резервні кошти спочатку потрібно забрати зі спеціального магазину, доставити в потрібне місце, а потім завантажити в систему. Крім того, буде потрібно деякий час для відновлення кожної програми або всієї системи.
Відновлення після відмови
Відмова забезпечує відновлення даних і збереження продуктивності. Налаштовані таким чином системи здатні виявляти несправності та відновлювати робочий стан (виконання процесу, доступ до інформації або з’єднань) автоматично за допомогою резервного обладнання.
Відновлення після відмови називається прямим відновленням, оскільки воно не потребує налаштування. Система резервного копіювання розташовується на тому ж робочому місці, що і основне, щоб негайно приступити до роботи в разі збою у вихідній системі. Це найдешевший варіант для більшості відмовостійких систем.
Аварійне відновлення
Відновлення систем, інформації та виробничого обладнання після стихійних лих, таких як пожежа та повінь у надзвичайній ситуації. Це складний процес, що дозволяє повернути організацію в робочий стан в той момент, коли дістатися до основного обладнання або приміщення стає неможливо.
Профілактика атак
Механізми доступності використовуються для відновлення систем після атак заперечення. Надійних та ефективних способів запобігання DoS-атакам небагато, але ця послуга допоможе зменшити наслідки атак та повернути системи та обладнання до робочого стану.
Про послугу ідентифікації часто забувають, коли мова заходить про безпеку. Основна причина полягає в тому, що сам по собі цей сервіс не дозволяє запобігти атакам. Він повинен працювати в комплексі з іншими сервісами для підвищення їх ефективності. Якщо розглядати цю послугу окремо, то побачимо, що вона додасть складності системі безпеки та збільшить її вартість. Без єдиної служби ідентифікації як служба доброчесності, так і служба конфіденційності приречені на збій.
Ідентифікація та аутентифікація
Ідентифікація та аутентифікація виконують наступні функції. По-перше, вони встановлюють особистість індивіда, а по-друге, доводять, що індивід є саме тим, за кого себе видає. Автентифікація використовує будь-яку комбінацію з трьох речей:
те, що ви знаєте (пароль або PIN-код);
те, що ви маєте (смарт-карта або бейдж);
те, чим ви є (відбиток пальця або знімок сітківки ока).
Ви можете вибрати один пункт з цього списку, але краще використовувати їх умбінацію, наприклад, пароль і смарт-карту. Це називається двофакторною автентифікацією. Двофакторна аутентифікація набагато сильніша за однофакторну, тому що кожен фактор має свої слабкі сторони. Наприклад, можна вгадати пароль, а смарт-карту вкрасти. Біометричну аутентифікацію виявити складніше, але людину можуть змусити помістити руку в сканер.
У реальному житті для аутентифікації використовується пропуск безпеки. Цього вважається достатнім для того, щоб працівник увійшов в будівлю. Ручні геометричні сканери використовуються для встановлення автентичності осіб, які бажають потрапити на секретні об’єкти, що охороняються. Механізм впізнавання безпосередньо пов’язаний з фізичною присутністю індивіда.
У комп’ютерному світі механізми ідентифікації не працюють. Тут для аутентифікації користувача традиційно використовується пароль. Автентифікація пов’язана з ідентифікатором користувача, який призначається системним адміністратором. Вважається, що адміністратор має якісь докази того, що людина, яка отримує посвідчення особи, насправді є тим, за кого себе видає. Паролі є єдиним фактором у встановленні особистості користувача і, як наслідок, є «слабкою ланкою». На відміну від реального життя, немає гарантії фізичної присутності людини. З цієї причини рекомендується використовувати двоточкову автентифікацію, яка забезпечує надійніший механізм автентифікації.
Ідентифікація та аутентифікація використовуються в системі контролю доступу до цифрових підписів у комп’ютерних системах, що забезпечує цілісність та цілісність цих файлів. Ідентифікація та аутентифікація дуже важливі для роботи механізмів шифрування та цифрового підпису. У цьому випадку ідентифікаційні дані передаються віддаленому користувачеві, який підтверджує свою особистість на місцевому рівні, а потім ця інформація доставляється в потрібне місце. Користувач спочатку підтверджує свою автентичність за допомогою механізму пошуку підпису на своєму локальному комп’ютері. Потім локальний комп’ютер надсилає повідомлення, підписане цим цифровим підписом. Користувач, який приймає повідомлення, використовує цифровий підпис як доказ того, що відправник є автором повідомлення.
Механізм ідентифікації та аутентифікації є ключем до інших служб безпеки. Якщо він виходить з ладу, то їх надійна робота ставиться під загрозу.
Аудит
Аудит дозволяє збільшити масштаб подій, що відбулися. Записи аудиту пов’язують користувача з діями, які він виконує в системі. Без надійної служби ідентифікації та аутентифікації аудит стає марним, оскільки немає гарантії, що записані дії дійсно виконані вказаною особою.
Аудит в реальному житті проводиться за допомогою реєстраційних журналів, списків перепусток на відео, відеозаписів. Його завдання – звітувати про виконані дії. Служба доброчесності повинна стежити за тим, щоб інформація в журналі аудиту не була змінена, інакше її достовірність ставиться під сумнів.
У комп’ютерних системах аудит проводиться за допомогою журналів, в які фіксуються дії користувачів. Якщо служба ідентифікації та аутентифікації працює справно, то ці події можна ідентифікувати з конкретним користувачем.
Профілактика атак
Служба ідентифікації сама по собі не може протистояти атакам, оскільки працює разом з іншими сервісами. Він веде облік дій, виконаних зареєстрованим користувачем і таким чином дозволяє відновити картину подій у разі атаки.
Розглядаються ключові правові питання, пов’язані з інформаційною безпекою. Розглянуто основні законодавчі акти в цій сфері, що діють у різних країнах світу, зокрема в США, Австралії, Китаї та інших. Окрему увагу приділено питанням притягнення до відповідальності за комп’ютерні злочини та дотриманню конфіденційності персональної інформації.
Існує велика кількість юридичних питань, які виникають у сфері інформаційної безпеки. У кожній країні законодавство має свої особливості. Наприклад, у США основою для розслідування комп’ютерних злочинів є федеральне законодавство, зокрема закон 1030 (Computer Fraud and Abuse Act). Цей закон визначає несанкціонований доступ до комп’ютерів як кримінальний злочин. Згідно із законодавством США, винуватці таких дій можуть бути притягнуті до відповідальності, якщо сума збитків перевищує 5000 доларів США.
Після прийняття Патріотичного акту у 2001 році до закону 1030 було внесено суттєві зміни. Максимальний термін покарання за перше порушення збільшено до 10 років, а за повторне — до 20 років. Крім того, було спрощено процес притягнення до відповідальності, оскільки тепер до складу злочину включається не лише фізичний злом системи, але й будь-яка шкода, завдана її роботі чи даним.
Несанкціоноване використання комп’ютерних систем для вчинення злочинів — лише одна з проблем, які постають перед фахівцями з інформаційної безпеки. Додатково існують питання, пов’язані із захистом персональної інформації та цивільною відповідальністю організацій у разі витоку даних. Організації зобов’язані впроваджувати відповідні заходи захисту інформації, щоб уникнути юридичних наслідків та штрафів у разі порушення стандартів конфіденційності.
Ще однією важливою проблемою є незахищеність мереж від зовнішніх атак. У разі, якщо організація не забезпечила належного захисту і через її системи було здійснено атаку на інші компанії, вона може бути притягнута до відповідальності за недотримання стандартів безпеки. Це питання особливо актуальне у світлі міжнародних стандартів, таких як ISO 27001.
У різних країнах світу підходи до регулювання інформаційної безпеки суттєво відрізняються. В Австралії, наприклад, за несанкціонований доступ до комп’ютерів передбачено покарання у вигляді позбавлення волі на строк до двох років. У Бразилії злочинами вважаються внесення неправдивих даних до інформаційних систем і несанкціонована модифікація таких даних. Покарання варіюється від штрафів до позбавлення волі на строк до 12 років.
В Індії особа вважається винною у вчиненні комп’ютерного злочину, якщо її дії призвели до втрати, зміни або видалення інформації у системі. Покарання за такі дії може сягати трьох років позбавлення волі.
Китай має одне з найсуворіших законодавств у сфері кібербезпеки. Декрет 147 Державної ради КНР визначає дві основні категорії комп’ютерних злочинів: впровадження шкідливого програмного забезпечення та продаж неліцензійного софту. Залежно від тяжкості злочину можливе як накладення штрафу, так і позбавлення волі.
Окреме питання — це моніторинг мереж і перехоплення даних. Згідно із законом 2511 США, перехоплення електронних комунікацій без відповідного ордера є незаконним. Однак організації мають право контролювати свої мережі для забезпечення безпеки. Важливо, щоб такі дії відповідали внутрішнім політикам компанії та були погоджені з юридичним відділом.
Для того щоб уникнути юридичних проблем, організаціям рекомендується інформувати співробітників про можливість моніторингу їхньої діяльності в мережі. Це можна зробити шляхом додавання відповідного повідомлення при вході в систему або через підписання відповідних угод із працівниками.
Правові питання інформаційної безпеки — це складна та багатогранна сфера, яка потребує уваги як з боку технічних фахівців, так і з боку юристів. Вивчення міжнародного досвіду, впровадження стандартів безпеки та постійне оновлення внутрішніх політик допоможуть організаціям забезпечити не лише ефективний захист інформації, але й дотримання всіх законодавчих вимог. У разі виникнення питань або інцидентів, пов’язаних із комп’ютерною злочинністю, важливо діяти спільно з юридичним відділом та правоохоронними органами.
Сьогодні питання захисту персональної інформації в Інтернеті стало однією з центральних проблем. Подібна ситуація вже обговорювалася в контексті особистих прав співробітників, але вона не є єдиною та потребує ретельного дослідження й вирішення. Останніми роками уряди різних країн, зокрема США, прийняли низку законів для захисту конфіденційності в банківських та інших установах.
Інформація про клієнтів не є власністю організації — вона належить самим клієнтам. Організації повинні вживати необхідних заходів для захисту цієї інформації від несанкціонованого доступу. Це означає, що інформація може використовуватися лише з дотриманням усіх вимог конфіденційності та виключно за призначенням. Зокрема, багато сайтів попереджають користувачів про можливість використання їхніх даних для розсилок і надають можливість відмовитися від цього.
Особливу увагу слід приділити питанню доступу до персональної інформації у випадку злому системи. Навіть якщо організація вжила всіх можливих заходів захисту, вона повинна співпрацювати з головним юрисконсультом для аналізу ситуації та визначення відповідної реакції.
21 серпня 1996 року було опубліковано Закон про переносимість та підзвітність медичного страхування (HIPAA). Цей закон зобов’язує Департамент охорони здоров’я США розробляти та впроваджувати стандарти захисту інформації про здоров’я. Основними положеннями HIPAA є стандартизація обробки медичних даних, впровадження унікальних ідентифікаторів пацієнтів та гарантування конфіденційності інформації.
20 лютого 2003 року Міністерство охорони здоров’я США опублікувало правила безпеки HIPAA, які набули чинності 20 квітня 2003 року. Для різних організацій були встановлені такі терміни впровадження правил:
Організації з планування охорони здоров’я — 20 квітня 2005 року;
Інформаційні центри — 20 квітня 2005 року;
Медичні послуги — 20 квітня 2005 року.
Правила безпеки HIPAA містять як обов’язкові, так і адресні компоненти. Обов’язкові компоненти повинні виконуватися всіма організаціями, тоді як адресні компоненти можуть бути адаптовані залежно від специфіки конкретної організації. Якщо організація вирішує не впроваджувати певний компонент, вона повинна документально обґрунтувати це рішення та запропонувати альтернативний механізм захисту.
Правила безпеки охоплюють п’ять ключових областей:
Адміністративні заходи безпеки.
Фізичні заходи безпеки.
Технічні заходи безпеки.
Організаційні вимоги.
Політики, процедури та вимоги до документації.
Головна мета цих заходів — забезпечити конфіденційність, цілісність та доступність захищеної медичної інформації (PHI) шляхом ефективного управління ризиками.
HIPAA вимагає від організацій дотримання таких адміністративних заходів:
Управління безпекою: регулярний аналіз ризиків, розробка політик безпеки, моніторинг дотримання вимог.
Призначення відповідальних осіб: кожна організація повинна призначити співробітника, відповідального за питання безпеки.
Управління доступом до інформації: визначення процедур авторизації, рівнів доступу та контролю модифікації даних.
Навчання персоналу: регулярне оновлення знань співробітників про заходи безпеки.
Плани на випадок надзвичайних ситуацій: організація повинна мати план аварійного відновлення та резервного копіювання даних.
Ці заходи спрямовані на захист робочих станцій і серверів, що обробляють PHI. Основні вимоги включають:
Контроль доступу до приміщень, де розміщені сервери.
Захист робочих місць, що використовуються для роботи з PHI.
Управління носіями інформації: безпечне видалення даних перед повторним використанням носіїв.
Організації повинні впроваджувати технічні заходи, що забезпечують захист даних, зокрема:
Контроль доступу: надання унікальних ідентифікаторів користувачам, реалізація процедур екстреного доступу.
Управління аудиторською діяльністю: ведення журналів аудиту та розслідування інцидентів.
Автентифікація користувачів.
Захист даних при передачі: забезпечення цілісності даних під час передачі через мережу.
HIPAA встановлює вимоги до укладання договорів із партнерами та спонсорами. Усі контракти повинні містити положення про заходи безпеки, які зобов’язані виконувати обидві сторони.
Кожна організація повинна розробити політики та процедури, що забезпечують дотримання вимог HIPAA. Уся документація повинна зберігатися не менше шести років. Політики та процедури повинні регулярно оновлюватися відповідно до змін у зовнішньому середовищі або операційних процесах.
Закон Грема-Ліча-Блайлі (GLBA), опублікований 12 листопада 1999 року, визначає вимоги до захисту конфіденційності клієнтської інформації у фінансових установах. Розділ 502 цього закону забороняє розголошення особистої інформації без згоди клієнта та зобов’язує організації захищати ці дані від несанкціонованого доступу.
Крім того, GLBA встановлює вимоги до програми інформаційної безпеки фінансових установ, зокрема:
Розробка комплексної програми інформаційної безпеки.
Оцінка ризиків та управління ними.
Навчання персоналу заходам безпеки.
Контроль доступу до інформації та фізичний захист систем.
Реагування на інциденти та відновлення даних після аварій.
GLBA зобов’язує фінансові установи ретельно підходити до вибору сторонніх постачальників послуг, які можуть мати доступ до конфіденційної інформації. Організації повинні:
Проводити перевірку постачальників перед укладенням договорів.
Вимагати від постачальників дотримання заходів безпеки.
Моніторити діяльність постачальників для контролю виконання зобов’язань.
Захист персональної інформації є ключовим завданням для будь-якої організації, що працює з конфіденційними даними. Дотримання міжнародних стандартів безпеки, таких як HIPAA та GLBA, дозволяє мінімізувати ризики та забезпечити відповідність законодавчим вимогам. Взаємодія між відділом інформаційної безпеки, юридичним відділом та зовнішніми консультантами є критично важливою для успішного впровадження програм безпеки та реагування на можливі інциденти.
137 
1749 
530