Informationssikkerhed

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 19. september 2022; verifikation kræver 1 redigering .

Informationssikkerhed ( engelsk  Information Security , og også - engelsk  InfoSec ) er praksis med at forhindre uautoriseret adgang , brug, offentliggørelse, forvrængning, ændring, forskning, registrering eller ødelæggelse af information . Dette universelle koncept gælder uanset hvilken form dataene kan antage (elektronisk eller f.eks. fysisk). Hovedopgaven for informationssikkerhed er en afbalanceret beskyttelse af fortrolighed , integritet og tilgængelighed af data [1] under hensyntagen til applikationens hensigtsmæssighed og uden skaderorganisationens præstationer [2] . Dette opnås primært gennem en flertrins risikostyringsproces , der identificerer anlægsaktiver og immaterielle aktiver , kilder til trusler , sårbarheder , potentielle påvirkninger og risikostyringsmuligheder. Denne proces ledsages af en vurdering af effektiviteten af ​​risikostyringsplanen [3] .

For at standardisere denne aktivitet er de videnskabelige og faglige miljøer i konstant samarbejde med det formål at udvikle en grundlæggende metodologi, politikker og industristandarder inden for tekniske informationssikkerhedsforanstaltninger, juridisk ansvar samt bruger- og administratoruddannelsesstandarder . Denne standardisering er i høj grad drevet af en lang række love og regler, der styrer, hvordan data tilgås, behandles, opbevares og transmitteres. Implementeringen af ​​standarder og metoder i en organisation kan dog kun have en overfladisk effekt, hvis kulturen for løbende forbedring ikke er korrekt indpodet [4] .

Generel information

Grundlaget for informationssikkerhed er aktiviteten med at beskytte information - at sikre dens fortrolighed, tilgængelighed og integritet, samt forhindre ethvert kompromis i en kritisk situation [5] . Sådanne situationer omfatter naturkatastrofer, menneskeskabte og sociale katastrofer , computerfejl, fysisk bortførelse og lignende fænomener. Mens registreringen af ​​de fleste organisationer i verden stadig er baseret på papirdokumenter [6] , der kræver passende informationssikkerhedsforanstaltninger, har der været en støt stigning i antallet af initiativer til at indføre digitale teknologier i virksomheder [7] [8] , som indebærer inddragelse af IT -sikkerhedsprofessionelle for at beskytte information. Disse specialister leverer informationssikkerhedsteknologi (i de fleste tilfælde - en slags computersystemer ) . En computer betyder i denne sammenhæng ikke kun en husstands personlig computer , men digitale enheder af enhver kompleksitet og formål, lige fra primitive og isolerede, som elektroniske regnemaskiner og husholdningsapparater, op til industrielle kontrolsystemer og supercomputere forenet af computernetværk . De største virksomheder og organisationer, på grund af den vitale betydning og værdi af information for deres virksomhed, ansætter som regel informationssikkerhedsspecialister til deres personale. Deres opgave er at sikre alle teknologier mod ondsindede cyberangreb , ofte rettet mod at stjæle følsomme fortrolige oplysninger eller tage kontrol over en organisations interne systemer.

Informationssikkerhed som beskæftigelsesområde har udviklet sig og vokset markant i de seneste år. Det har affødt mange professionelle specialiseringer, såsom netværks- og relateret infrastruktursikkerhed , software- og databasebeskyttelse , revision af informationssystemer , planlægning af forretningskontinuitet , elektronisk registrering af registreringer og computerefterforskning . Informationssikkerhedsprofessionelle har en meget stabil beskæftigelse og stor efterspørgsel på arbejdsmarkedet. Storstilet forskning udført af organisationen (ISC)² viste, at 66 % af informationssikkerhedslederne i 2017 anerkendte en akut mangel på arbejdskraft i deres afdelinger, og ifølge prognoser vil manglen på specialister inden for dette område i 2022 være 1.800.000 mennesker på verdensplan [9] .

Trusler og modforanstaltninger

Informationssikkerhedstrusler kan antage mange forskellige former. For 2018 er de mest alvorlige truslerne forbundet med " kriminalitet som en tjeneste " ( eng.  Crime-as-a-Service ), tingenes internet , forsyningskæder og komplikationen af ​​regulatoriske krav [10] . Crime as a Service er en model for modne kriminelle samfund til at levere pakker af kriminelle tjenesterdarknet-markedet til overkommelige priser til nye cyberkriminelle [K 1] . Dette gør det muligt for sidstnævnte at lave hackerangreb, der tidligere var utilgængelige på grund af høj teknisk kompleksitet eller høje omkostninger, hvilket gør cyberkriminalitet til et massefænomen [12] . Organisationer implementerer aktivt Internet of Things, hvilke enheder ofte er designet uden sikkerhedskrav, hvilket åbner op for yderligere muligheder for angreb. Derudover reducerer den hurtige udvikling og kompleksitet af Internet of Things dets gennemsigtighed, hvilket kombineret med vagt definerede juridiske regler og betingelser gør det muligt for organisationer at bruge personlige data fra deres kunder indsamlet af enheder efter deres eget skøn uden deres viden. Derudover er det problematisk for organisationer selv at holde styr på, hvilke af de data, der indsamles af IoT-enheder, der overføres udenfor. Truslen mod forsyningskæderne er, at organisationer har tendens til at dele en række værdifulde og følsomme oplysninger med deres leverandører , hvilket resulterer i tab af direkte kontrol over dem. Dermed øges risikoen for krænkelse af fortroligheden, integriteten eller tilgængeligheden af ​​disse oplysninger betydeligt. Flere og flere nye krav fra tilsynsmyndigheder komplicerer betydeligt forvaltningen af ​​organisationers vitale informationsaktiver. For eksempel kræver den generelle databeskyttelsesforordning (GDPR ) , vedtaget i Den Europæiske Union i 2018 , enhver organisation til enhver tid i enhver del af sin egen aktivitet eller forsyningskæde at demonstrere, hvilke personlige data og for hvilke mål der er tilgængelige der, hvordan de behandles, opbevares og beskyttes. Desuden skal disse oplysninger gives ikke kun under inspektioner af autoriserede organer, men også på første anmodning fra en privatperson - ejeren af ​​disse data. Overholdelse af en sådan overholdelse kræver afledning af betydelige budgetmidler og ressourcer fra andre informationssikkerhedsopgaver i organisationen. Og selvom en effektivisering af behandlingen af ​​personoplysninger indebærer en forbedring af informationssikkerheden på lang sigt, øges organisationens risici på kort sigt markant [10] .  

De fleste mennesker er på den ene eller anden måde udsat for trusler mod informationssikkerhed. For eksempel bliver de ofre for malware ( virus og orme , trojanske heste , ransomware ) [13] , phishing eller identitetstyveri . Phishing ( eng.  Phishing ) er et svigagtigt forsøg [K 2] på at tage fortrolige oplysninger i besiddelse (for eksempel en konto , adgangskode eller kreditkortoplysninger ). Normalt forsøger de at lokke internetbrugeren til en svigagtig hjemmeside , der ikke kan skelnes fra den originale hjemmeside for enhver organisation ( bank , onlinebutik , socialt netværk osv.) [14] [15] . Som regel udføres sådanne forsøg ved hjælp af masseudsendelser af falske e-mails, angiveligt på vegne af organisationen selv [16] , der indeholder links til bedrageriske websteder. Ved at åbne et sådant link i en browser indtaster en intetanende bruger deres legitimationsoplysninger, som bliver svindleres ejendom [17] . Udtrykket identitetstyveri fra  engelsk.  —  "identitetstyveri" dukkede op på engelsk i 1964 [18] for at henvise til aktiviteter, hvor en persons personlige data (f.eks. navn, bankkonto eller kreditkortnummer, ofte opnået gennem phishing) bruges til bedrageri og begå andre forbrydelser [19 ] [20] . Den, på hvis vegne de kriminelle modtager ulovlige økonomiske fordele, lån eller begår anden kriminalitet, bliver ofte selv tiltalt, hvilket kan have vidtrækkende alvorlige økonomiske og juridiske konsekvenser for ham [21] . Informationssikkerhed har en direkte indvirkning på privatlivets fred [22] , hvis definition kan være meget forskellig i forskellige kulturer [23] .

Regeringer , militæret , virksomheder , finansielle institutioner , medicinske institutioner og private virksomheder akkumulerer konstant betydelige mængder af fortrolig information om deres ansatte, kunder, produkter, forskning og økonomiske resultater . Hvis sådanne oplysninger falder i hænderne på konkurrenter eller cyberkriminelle, kan det føre til vidtrækkende juridiske konsekvenser for organisationen og dens kunder, samt uoprettelige økonomiske og omdømmetab . Fra et forretningsmæssigt perspektiv skal informationssikkerhed balanceres mod omkostninger; Gordon-Lobs økonomiske model beskriver det matematiske apparat til løsning af dette problem [24] . De vigtigste måder at imødegå informationssikkerhedstrusler eller informationsrisici er:

Historie

Med fremkomsten af ​​de tidligste kommunikationsmidler indså diplomater og militærledere behovet for at udvikle mekanismer til at beskytte fortrolig korrespondance og måder at opdage forsøg på at forfalske den . For eksempel er Julius Cæsar krediteret med opfindelsen omkring 50 f.Kr. e. Cæsar-chifferet , som havde til formål at forhindre, at hans hemmelige beskeder blev læst af dem, som de ikke var tiltænkt [26] . Selvom beskyttelsen for det meste blev ydet af kontrol over selve proceduren for håndtering af hemmelig korrespondance. Fortrolige meddelelser blev markeret til at være beskyttet og kun transmitteret med betroede personer under beskyttelse, opbevaret i sikre rum eller stærke kasser [27] .

Med udviklingen af ​​posten begyndte statslige organisationer at dukke op for at opsnappe, dekryptere, læse og genforsegle breve. Så i England til disse formål var der i 1653 et Secret Office ( Eng.  Secret Office ) [28] . I Rusland er gennemlæsning blevet foretaget i det mindste siden Peter I 's tid  - siden 1690 blev alle breve sendt til udlandet åbnet i Smolensk . Praksis med hemmelig kopiering af næsten alle udenlandske diplomaters korrespondance, så adressaten ikke havde nogen mistanke, fik i midten af ​​1700-tallet en systemisk karakter - de såkaldte "sorte embeder" dukkede op [29] . Efter åbningen var det påkrævet at foretage en krypteringsanalyse af meddelelsen, for hvilken kendte matematikere fra deres tid var involveret i aktiviteterne i sorte kabinetter. De mest fremragende resultater blev opnået af Christian Goldbach , som formåede at tyde 61 breve fra preussiske og franske ministre på seks måneders arbejde. I nogle tilfælde, efter den vellykkede dekryptering af brevet, blev dets indhold erstattet - en slags angreb " mand i midten " [30] .

I begyndelsen af ​​det 19. århundrede i Rusland, da Alexander I kom til magten , blev al kryptografisk aktivitet overført til udenrigsministeriets kontor . Siden 1803 var den fremragende russiske videnskabsmand Pavel Lvovich Schilling i denne afdelings tjeneste . En af kancelliets mest betydningsfulde bedrifter var dechiffreringen af ​​Napoleon I 's ordrer og korrespondance under den patriotiske krig i 1812 [31] [32] . I midten af ​​det 19. århundrede dukkede mere sofistikerede systemer til klassificering af klassificeret information op , som gjorde det muligt for regeringer at administrere information i overensstemmelse med dens grad af fortrolighed. For eksempel legitimerede den britiske regering til en vis grad en sådan klassificering i 1889 med offentliggørelsen af ​​Official Secrets Act [33] .

Under Første Verdenskrig blev lagdelte klassifikations- og krypteringssystemer brugt til at overføre information fra alle stridende parter, hvilket bidrog til fremkomsten og den kraftige brug af krypterings- og krypteringsenheder. Ved udgangen af ​​1914 blev en af ​​sektionerne af det britiske admiralitet  - " rum 40 " - dannet, som blev den førende kryptografiske autoritet i Storbritannien. Den 26. august 1914 sad den lette tyske krydser " Magdeburg " på stenene nær øen Odensholm ved mundingen af ​​Finske Bugt , som dengang tilhørte det russiske imperium. Tyskerne ødelagde alle dokumenter og sprængte skibet i luften, men efter at have undersøgt bunden fandt de russiske dykkere to kopier af signalbogen, hvoraf den ene blev overdraget til briterne. Efter snart at have modtaget kodebøger for hjælpeskibe, såvel som til kommunikation mellem skibe i det ydre hav og ledsagende fjendtlige skibe, var briterne i stand til at tyde de tyske flådekoder. At bryde koden gjorde det muligt at læse opsnappede fjendens radiobeskeder. Fra slutningen af ​​november 1914 begyndte "rum 40" regelmæssigt at dechifrere radiogrammerne fra den tyske flåde, som transmitterede næsten alle ordrer og ordrer [34] . For første gang forsøgte de at bruge disse dekryptering under den tyske flådes sortie til den britiske kyst den 16. december 1914 [35] .

I mellemkrigstiden blev krypteringssystemer mere og mere komplicerede, så man begyndte at bruge specielle maskiner til at kryptere og dekryptere hemmelige beskeder , hvoraf den mest berømte er Enigma , skabt af tyske ingeniører i 1920'erne. Så tidligt som i 1932 lykkedes det for det polske efterretningstjeneste- cipherbureau at knække Enigma-chifferet ved omvendt konstruktion [36] .

Mængden af ​​information, der blev udvekslet mellem landene i anti-Hitler-koalitionen under Anden Verdenskrig , krævede en formel harmonisering af nationale klassifikationssystemer og kontrol- og forvaltningsprocedurer. Et sæt tavshedsetiketter, som kun er tilgængelige for de indviede, er blevet dannet, som definerer, hvem der kan håndtere dokumenter (generelt betjente frem for hvervede mænd), og hvor de skal opbevares, givet fremkomsten af ​​stadig mere komplekse pengeskabe og bokse. De krigsførende har udviklet procedurer for garanteret destruktion af klassificerede dokumenter. Nogle af overtrædelserne af sådanne procedurer resulterede i de mest betydelige efterretningsgevinster i hele krigen. For eksempel undlod besætningen på den tyske ubåd U-570 korrekt at ødelægge mange hemmelige dokumenter om, at briterne erobrede den [37] . Et slående eksempel på brugen af ​​informationssikkerhedsværktøjer er den ovenfor nævnte Enigma, en kompliceret version af hvilken udkom i 1938 og blev meget brugt af Wehrmacht og andre tjenester i Nazityskland . I Storbritannien blev krypteringsanalyse af modstandsmeddelelser krypteret med Enigma med succes udført af en gruppe ledet af Alan Turing . " Turing Bombe "  -dekrypteringsmaskinen udviklet af dem ydede betydelig assistance til anti  -  Hitler-koalitionen og tilskrives nogle gange en afgørende rolle i de allieredes sejr [38] . I USA, for at kryptere radiokommunikation i operationsteatret i Stillehavet, blev signalister rekrutteret fra Navajo -indianerstammen , hvis sprog ingen uden for USA kendte [39] . Japanerne formåede aldrig at finde nøglen til denne eksotiske metode til beskyttelse af information [40] . I USSR, siden 1930'erne, for at beskytte telefonsamtaler fra landets højeste myndigheder mod aflytning (inklusive hovedkvarteret for den øverste overkommando ), blev den såkaldte HF-kommunikation brugt , baseret på stemmemodulering af højfrekvente signaler og deres efterfølgende scrambling . Imidlertid gjorde manglen på kryptografisk beskyttelse det muligt ved hjælp af et spektrometer at gendanne beskeder i det opsnappede signal [41] .

Anden halvdel af det 20. og begyndelsen af ​​det 21. århundrede var præget af den hurtige udvikling af telekommunikation, computerhardware og -software samt datakryptering. Fremkomsten af ​​kompakt, kraftfuldt og billigt computerudstyr har gjort elektronisk databehandling tilgængelig for små virksomheder og hjemmebrugere. Meget hurtigt blev computere forbundet til internettet , hvilket førte til den eksplosive vækst af elektronisk forretning . Alt dette, kombineret med stigningen i cyberkriminalitet og de mange tilfælde af international terrorisme , har skabt et behov for bedre metoder til at beskytte computere og den information, de lagrer, behandler og transmitterer. Videnskabelige discipliner som " Computersikkerhed " og "Informationssikkerhedsteknikker" [K 3] og mange professionelle organisationer er opstået med det fælles mål at sikre informationssystemernes sikkerhed og pålidelighed [43] .

Grundlæggende definitioner

Beskyttet information  - oplysninger underlagt beskyttelse i overensstemmelse med kravene i lovgivningsmæssige retsakter eller krav fastsat af ejeren af ​​oplysningerne [44] .

Ejeren af ​​oplysninger  er en person, som selvstændigt har oprettet information eller modtagetret til at tillade eller begrænse adgangen til information bestemt af ethvert tegn på grundlag af en lov eller en aftale . Informationsejere kan være: staten , en juridisk enhed , en gruppe af individer, et separat individ [44] .

Informationssikkerhed  er en sådan tilstand af informationssikkerhed, hvor dens fortrolighed , integritet og tilgængelighed er sikret [44] .

Organisering af informationssikkerhed  - et sæt handlinger, der sigter mod at identificere trusler mod informationssikkerheden, planlægning, gennemførelse af foranstaltninger til beskyttelse af information og overvågning af informationsbeskyttelsens tilstand [44] .

Informationssikkerhedssystem  - et sæt af organer og (eller) udførende, den informationssikkerhedsteknologi, de bruger, samt informationssikkerhedsobjekter, organiseret og fungerer i overensstemmelse med kravene til informationssikkerhed [44] .

En organisations informationssikkerhedspolitik er et sæt dokumenterede informationssikkerhedspolitikker, procedurer, praksisser eller retningslinjer, som en organisation følger i sine operationer [44] .

"Informationssikkerhed" i forskellige kilder

Følgende er definitioner af begrebet "informationssikkerhed" fra forskellige kilder:

Nøgleprincipper

I 1975 foreslog Jerry Salzer og Michael Schroeder i artiklen "Information Security in Computer Systems" [53] først at opdele sikkerhedsbrud i tre hovedkategorier: uautoriseret informationsfrigivelse , uautoriseret ændring af information ( eng  . Uautoriseret informationsændring ) og uautoriseret nægtelse af adgang ( eng. Uautoriseret nægtelse af brug ) til information. Senere modtog disse kategorier korte navne og standardiserede definitioner:   

C fortrolighed fra  engelsk.  - "fortrolighed" - egenskaben af ​​information, der er utilgængelig eller lukket for uautoriserede personer, enheder eller processer [54] ; Integritet fra engelsk  .  - "integritet" - egenskaben ved at opretholde korrektheden og fuldstændigheden af ​​aktiverne [55] ; En tilgængelighed fra  engelsk.  - "tilgængelighed" - egenskaben af ​​information, der skal være tilgængelig og klar til brug efter anmodning fra en autoriseret person, der har ret til at gøre det [54] .

Samlet omtales disse tre centrale informationssikkerhedsprincipper som CIA-triaden [56] .

I 1992 udgav OECD sin egen model for informationssikkerhed, bestående af ni principper: bevidsthed , ansvarlighed , modstand , etik , demokrati , risikovurdering , sikkerhedsudvikling og implementering , sikkerhedsstyring , revision [57] [K 4] . I 1996, baseret på en OECD-publikation fra 1992, formulerede American National Institute of Standards and Technology (NIST) otte kerneprincipper, der siger, at computersikkerhed "understøtter organisationens mission", "er en integreret del af forsvarlig ledelse", "bør være omkostningseffektiv", "kræver en omfattende og integreret tilgang", "er begrænset af sociale faktorer", "bør revideres med jævne mellemrum", "pligter og ansvar for computersikkerhed bør være klart formuleret", og "systemejere har et ansvar for sikkerhed uden for deres organisation" [59] . Baseret på denne model udgav NIST i 2004 33 informationssikkerhedstekniske designprincipper, for hver af dem blev der udviklet praktiske retningslinjer og anbefalinger, som konstant udvikles og vedligeholdes ajour [60] .

I 1998 tilføjede Donn Parker yderligere tre aspekter til den klassiske CIA - triade : Besiddelse eller kontrol , ægthed og nytte 61 ] . Fordelene ved denne model, kaldet Parker hexad (fra hexad på  engelsk  -  "a group of six items"), er genstand for diskussion blandt informationssikkerhedsspecialister [62] .    

I 2009 udgav det amerikanske forsvarsministerium "Three Fundamental Principles of Computer Security": System Susceptibility , Access to the Flaw , and Capability to Exploit the Flaw [ 63] [64] [65] .    

I 2011 offentliggjorde det internationale konsortium The Open Group O-ISM3 informationssikkerhedsstyringsstandarden , som opgav den konceptuelle definition af komponenterne i den klassiske CIA-triade til fordel for deres operationelle definition . Ifølge O-ISM3 er det for hver organisation muligt at identificere et individuelt sæt sikkerhedsmål relateret til en af ​​fem kategorier, der svarer til en eller anden komponent i triaden: prioriterede sikkerhedsmål (fortrolighed), langsigtede sikkerhedsmål ( integritet), informationskvalitetsmål (integritet), adgangskontrolmål (tilgængelighed) og tekniske sikkerhedsmål . [66] .

Af alle de ovennævnte informationssikkerhedsmodeller er den klassiske CIA-triade stadig den mest anerkendte og udbredte i det internationale professionelle samfund [56] . Det er fastsat i nationale [1] og internationale standarder [45] og er inkluderet i de vigtigste uddannelses- og certificeringsprogrammer for informationssikkerhed, såsom CISSP [67] og CISM [68] . Nogle russiske forfattere bruger et sporingspapir fra det - " CCD - triaden " [56] . I litteraturen omtales alle tre komponenter: fortrolighed, integritet og tilgængelighed synonymt som principper , sikkerhedsattributter , egenskaber , grundlæggende aspekter , informationskriterier , kritiske egenskaber eller grundlæggende strukturelle elementer [5] .

I mellemtiden er der i det professionelle samfund en løbende debat om, hvordan CIA-triaden passer til de hurtigt udviklende teknologier og forretningskrav. Som et resultat af disse diskussioner er der anbefalinger om behovet for at etablere forholdet mellem sikkerhed og privatliv, samt godkendelse af yderligere principper [5] . Nogle af dem er allerede inkluderet i standarderne fra Den Internationale Standardiseringsorganisation (ISO):

Fortrolighed

Fortrolighed af oplysninger opnås ved at give adgang til dem med de mindste privilegier baseret på princippet om minimum nødvendig bevidsthed ( engelsk  need-to-know ). Med andre ord bør en autoriseret person kun have adgang til de oplysninger, han har brug for for at udføre sine officielle opgaver. De ovenfor nævnte forbrydelser mod privatlivets fred, såsom identitetstyveri, er krænkelser af privatlivets fred. En af de vigtigste foranstaltninger til at sikre fortrolighed er klassificeringen af ​​oplysninger, som gør det muligt at klassificere dem som strengt fortrolige eller beregnet til offentlig eller intern brug. Kryptering af oplysninger er et typisk eksempel på et af midlerne til at sikre fortrolighed [69] .

Integritet

Den nøjagtige implementering af operationer eller vedtagelse af korrekte beslutninger i en organisation er kun mulig på grundlag af pålidelige data, der er lagret i filer, databaser eller systemer eller udsendt over computernetværk. Med andre ord skal oplysningerne beskyttes mod forsætlige, uautoriserede eller utilsigtede ændringer i forhold til den oprindelige tilstand, samt mod enhver forvrængning under lagring, transmission eller behandling. Dens integritet er dog truet af computervirus og logiske bomber , programmeringsfejl og ondsindede kodeændringer, dataspoofing, uautoriseret adgang, bagdøre og lignende. Ud over forsætlige handlinger skyldes uautoriserede ændringer i følsomme oplysninger i mange tilfælde tekniske fejl eller menneskelige fejl på grund af forglemmelse eller manglende faglig uddannelse. For eksempel fører integritetskrænkelser til: utilsigtet sletning af filer, indtastning af fejlagtige værdier, ændring af indstillinger, udførelse af forkerte kommandoer, både af almindelige brugere og systemadministratorer [69] [70] .

For at beskytte informationens integritet er det nødvendigt at anvende en række foranstaltninger til at kontrollere og styre ændringer i informationer og systemer, der behandler dem. Et typisk eksempel på sådanne foranstaltninger er begrænsningen af ​​kredsen af ​​personer med rettigheder til kun at ændre dem, der har brug for en sådan adgang til at udføre deres officielle pligter. Samtidig bør princippet om magtadskillelse overholdes , ifølge hvilket ændringer i data- eller informationssystemet foretages af én person, og en anden person bekræfter eller afviser dem. Derudover skal alle ændringer i informationssystemernes livscyklus være konsistente, testet for at sikre informationsintegritet og kun indføres i systemet ved korrekt udformede transaktioner . Softwareopdateringer skal udføres på en sikker måde. Alle handlinger, der involverer ændringer, skal logges [69] [70] .

Tilgængelighed

Ifølge dette princip skal oplysninger være tilgængelige for autoriserede personer, når det er nødvendigt. De vigtigste faktorer, der påvirker tilgængeligheden af ​​informationssystemer, er DoS-angreb ( forkortelse for Denial of Service fra  engelsk  -  "denial of service"), ransomware-angreb, sabotage . Derudover er utilsigtede menneskelige fejl på grund af tilsyn eller på grund af utilstrækkelig faglig uddannelse en kilde til tilgængelighedstrusler: utilsigtet sletning af filer eller optegnelser i databaser, fejlagtige systemindstillinger; denial of service som følge af overskridelse af den tilladte strømstyrke eller mangel på udstyrsressourcer eller fejl i kommunikationsnetværk; mislykket hardware- eller softwareopdatering; nedlukning af systemer på grund af strømsvigt. Naturkatastrofer spiller også en væsentlig rolle i at forstyrre tilgængeligheden: jordskælv, tornadoer, orkaner, brande, oversvømmelser og lignende. I alle tilfælde mister slutbrugeren adgang til de oplysninger, der er nødvendige for hans aktiviteter, der er en tvungen nedetid. Systemets kritik for brugeren og dets betydning for organisationens overlevelse som helhed bestemmer virkningen af ​​nedetid. Utilstrækkelige sikkerhedsforanstaltninger øger risikoen for malware, dataødelæggelse, indtrængen eller DoS-angreb. Sådanne hændelser kan gøre systemer utilgængelige for normale brugere [71] .

Umulighed af afslag

Udtrykket "non-repudiation" ( engelsk  Non-Repudiation , nogle gange brugt sammen - Nonrepudiation ) optrådte første gang i 1988 i den internationale standard "Security of the interconnection of open systems" (ISO 7498-2). Normalt forstået som modsat i betydningen af ​​det angelsaksiske lovbegreb Repudiation fra  engelsk.  -  "afvisning, benægtelse", som har to hovedfortolkninger. På den ene side betyder det partens grundlæggende ret til at nægte at opfylde forpligtelser i henhold til transaktionen af ​​juridiske grunde [72] , hvis for eksempel underskriften på et papirdokument er forfalsket, eller den originale underskrift er opnået ulovligt (som f.eks. et resultat af svindel). I dette tilfælde påhviler bevisbyrden for underskriftens ægthed den part, der påberåber sig den [73] . En anden fortolkning er uretmæssig afkald på forpligtelser. I forbindelse med computersikkerhed kan dette for eksempel være en af ​​parternes benægtelse af afsendelse, modtagelse, forfatterskab eller indholdet af en elektronisk meddelelse. I forbindelse med informationssikkerhed forstås "ikke-afvisning" som en bekræftelse af integriteten og den oprindelige oprindelse af data, med undtagelse af muligheden for forfalskning, som til enhver tid kan verificeres af tredjeparter, eller som en identifikation (identitet, dokument, genstand), som med høj grad af sikkerhed kan anses for autentisk og ikke kan tilbagevises [73] .

Omfanget (implementeringen) af begrebet "informationssikkerhed"

En systematisk tilgang til beskrivelsen af ​​informationssikkerhed foreslår at udskille følgende komponenter af informationssikkerhed [74] :

  1. Lovgivningsmæssigt, reguleringsmæssigt og videnskabeligt grundlag.
  2. Struktur og opgaver for organer (afdelinger), der sikrer it-sikkerhed.
  3. Organisatoriske, tekniske og regimemæssige foranstaltninger og metoder (informationssikkerhedspolitik).
  4. Software og hardware metoder og midler til at sikre informationssikkerhed.

Nedenfor i dette afsnit vil hver af komponenterne i informationssikkerhed blive diskuteret i detaljer.

Formålet med at implementere informationssikkerheden for ethvert objekt er at bygge et informationssikkerhedssystem til dette objekt (ISIS). For konstruktion og effektiv drift af IS Maintenance System er det nødvendigt at:

Som det kan ses fra den sidste fase af arbejdet, er implementeringsprocessen for IS Maintenance System kontinuerlig og cyklisk (efter hver revision) vender tilbage til den første fase, idet alle de andre gentages i rækkefølge. Sådan justeres IS Maintenance System til effektivt at opfylde opgaverne med at beskytte information og opfylde de nye krav til et konstant opdateret informationssystem.

Normative dokumenter inden for informationssikkerhed

I Den Russiske Føderation omfatter lovgivningsmæssige retsakter inden for informationssikkerhed [75] :

Lover i føderal lovgivning:

Listerne og indholdet af de angivne reguleringsdokumenter på informationssikkerhedsområdet er nærmere omtalt i afsnittet Informationslov .

Regulative og metodiske dokumenter omfatter

Organer (afdelinger), der leverer informationssikkerhed

Afhængigt af anvendelsen af ​​aktiviteter inden for informationsbeskyttelse (inden for statslige myndigheder eller kommercielle organisationer) er selve aktiviteten organiseret af særlige statslige organer (afdelinger) eller afdelinger (tjenester) i virksomheden.

Statsorganer i Den Russiske Føderation, der kontrollerer aktiviteter inden for informationssikkerhed:

Tjenester, der organiserer informationsbeskyttelse på virksomhedsniveau

Organisatoriske-tekniske og regimemæssige foranstaltninger og metoder

For at beskrive informationssikkerhedsteknologien i et bestemt informationssystem er den såkaldte informationssikkerhedspolitik eller sikkerhedspolitik for det pågældende informationssystem normalt bygget .

Sikkerhedspolitik (information i organisationen) ( eng.  Organisatorisk sikkerhedspolitik ) - et sæt dokumenterede regler, procedurer, praksisser eller retningslinjer inden for informationssikkerhed, der vejleder organisationen i dens aktiviteter.

Informations- og telekommunikationsteknologiers sikkerhedspolitik ( eng.  ІТ sikkerhedspolitik ) - regler, direktiver, etablerede praksisser, der bestemmer, hvordan man inden for en organisation og dens informations- og telekommunikationsteknologier skal administrere, beskytte og distribuere aktiver, herunder kritisk information.

For at opbygge en informationssikkerhedspolitik anbefales det separat at overveje følgende områder af informationssystembeskyttelse [74] :

Samtidig bør informationssikkerhedspolitikken for hvert af de ovennævnte områder beskrive følgende trin i oprettelse af informationsbeskyttelsesværktøjer:

  1. Definition af information og tekniske ressourcer, der skal beskyttes;
  2. Identifikation af det fulde sæt af potentielle trusler og informationslækagekanaler ;
  3. Udførelse af en vurdering af sårbarheden og risiciene ved information i nærvær af en række forskellige trusler og lækagekanaler;
  4. Fastlæggelse af krav til beskyttelsessystemet;
  5. Implementering af valget af informationssikkerhedsværktøjer og deres egenskaber;
  6. Implementering og organisering af brugen af ​​udvalgte foranstaltninger, metoder og midler til beskyttelse;
  7. Implementering af integritetskontrol og beskyttelsessystemstyring.

Informationssikkerhedspolitikken er formaliseret i form af dokumenterede krav til informationssystemet . Dokumenter er normalt opdelt i henhold til niveauerne for beskrivelse (detaljer) af beskyttelsesprocessen.

Informationssikkerhedspolitikkens øverste dokumenter afspejler organisationens holdning til aktiviteter inden for informationssikkerhed, dens ønske om at overholde statslige, internationale krav og standarder på dette område. Sådanne dokumenter kan kaldes "IS Concept", "IS Management Regulation", "IS Policy", "IS Technical Standard" osv. ekstern og intern brug.

I henhold til GOST R ISO / IEC 17799-2005 skal følgende dokumenter udarbejdes på øverste niveau af informationssikkerhedspolitikken: "IS-sikkerhedskoncept", "Regler for acceptabel brug af informationssystemressourcer", "Business Continuity Plan" ".

Mellemniveauet omfatter dokumenter relateret til visse aspekter af informationssikkerhed. Disse er kravene til oprettelse og drift af informationssikkerhedsværktøjer, organisering af information og forretningsprocesser i organisationen inden for et specifikt område af informationssikkerhed. For eksempel: Datasikkerhed, Kommunikationssikkerhed, Brug af kryptografiske beskyttelsesværktøjer, Indholdsfiltrering osv. Sådanne dokumenter offentliggøres normalt i form af interne tekniske og organisatoriske politikker (standarder) i organisationen. Alle informationssikkerhedspolitiske dokumenter på mellemniveau er fortrolige.

Informationssikkerhedspolitikken på lavere niveau omfatter arbejdsbestemmelser, administrationsmanualer og betjeningsinstruktioner for individuelle informationssikkerhedstjenester.

Software og hardware til informationssikkerhedssystemet

Litteraturen foreslår følgende klassificering af informationssikkerhedsværktøjer [74] .


Organisatorisk beskyttelse af informatiseringsobjekter

Organisatorisk beskyttelse er reguleringen af ​​produktionsaktiviteter og forholdet mellem udøvende kunstnere på et retsgrundlag, der udelukker eller væsentligt hindrer ulovlig besiddelse af fortrolige oplysninger og manifestation af interne og eksterne trusler. Organisatorisk beskyttelse giver:

De vigtigste organisatoriske aktiviteter omfatter:

I hvert enkelt tilfælde har organisatoriske foranstaltninger en bestemt form og indhold for denne organisation, der sigter mod at sikre informationssikkerheden under specifikke forhold.

Virksomhedens informationssikkerhed

Virksomhedsinformationssikkerhed er sikkerhedstilstanden for virksomhedsdata, som sikrer deres fortrolighed, integritet, ægthed og tilgængelighed.

Opgaverne for virksomhedens informationssikkerhedssystemer er forskellige:

Det er kun muligt at sikre en virksomheds informationssikkerhed med en systematisk og integreret tilgang til beskyttelse. En fuldgyldig UPS indebærer løbende overvågning af alle vigtige begivenheder og forhold, der påvirker datasikkerheden og udføres året rundt [78] .

En virksomheds informationssikkerhed opnås ved en lang række organisatoriske og tekniske foranstaltninger, der sigter mod at beskytte virksomhedsdata. Organisatoriske tiltag omfatter dokumenterede procedurer og regler for at arbejde med forskellige typer af informationer, IT-tjenester, sikkerhedsværktøjer osv. Tekniske tiltag omfatter brug af hardware og software adgangskontrol, lækageovervågning, antivirusbeskyttelse, firewalls, beskyttelse mod elektromagnetisk stråling og andet [79] .

At sikre informationssikkerhed er en kontinuerlig proces, der omfatter fem nøgletrin:

  1. estimerede omkostninger;
  2. udvikling af en sikkerhedspolitik;
  3. politik gennemførelse;
  4. kvalificeret uddannelse af specialister;
  5. revidere.

Processen med at sikre informationssikkerhed begynder med vurderingen af ​​ejendom, bestemmelse af organisationens informationsaktiver, de faktorer, der truer disse oplysninger, og dens sårbarhed, betydningen af ​​den samlede risiko for organisationen. Afhængigt af ejendommen vil der blive udarbejdet et program til beskyttelse af disse aktiver. Når en risiko er blevet identificeret og kvantificeret, kan en omkostningseffektiv modforanstaltning vælges for at mindske denne risiko.

Mål med informationssikkerhedsvurdering:

Fem hovedtyper af vurdering:

Ved udførelse af en vurdering skal dokumenter som:

Efter at have modtaget ovenstående politikker og procedurer, undersøges hver af dem for relevans, legitimitet, fuldstændighed og relevans, da politikkerne og procedurerne skal være i overensstemmelse med det formål, der er defineret i dokumentet.

Efter vurderingen er det nødvendigt at udvikle politikker og procedurer, der definerer den forventede sikkerhedstilstand og listen over nødvendige arbejder. Der er ingen politik - der er ingen plan, på grundlag af hvilken organisationen vil udvikle og udføre et effektivt UPS-program.

Følgende politikker og procedurer bør udvikles:

Gennemførelsen af ​​sikkerhedspolitikken består i implementering af tekniske midler og midler til direkte kontrol samt i udvælgelse af sikkerhedspersonale. Ændringer i konfigurationen af ​​systemer uden for sikkerhedsafdelingens område kan være nødvendige, så system- og netværksadministratorer bør involveres i implementeringen af ​​sikkerhedsprogrammet.

Ved brug af nye sikkerhedssystemer skal der være kvalificeret personale til rådighed. En organisation kan ikke sikre beskyttelsen af ​​klassificerede oplysninger uden involvering af dens ansatte. Kompetent professionel omskoling er en mekanisme til at give medarbejderne den nødvendige information.

Medarbejdere skal være opmærksomme på, hvorfor sikkerhedsspørgsmål er så vigtige og skal trænes i at identificere og beskytte følsomme oplysninger.

Revision  er det sidste trin i implementeringsprocessen for informationssikkerhed. Den bestemmer status for informationssikkerhed i organisationen, oprettelse af passende politikker og procedurer, aktivering af tekniske kontroller og uddannelse af personale [80] .

Se også

Noter

Kommentarer
  1. I den professionelle jargon om informationssikkerhed kaldes cyberkriminelle ofte Black hat fra  engelsk.  -  "sort hat" [11] .
  2. Den russiske straffelov definerer "svig inden for computerinformation" som:

    ... stjæle en andens ejendom eller erhverve retten til en andens ejendom ved at indtaste, slette, blokere, ændre computeroplysninger eller på anden måde forstyrre funktionen af ​​midlerne til lagring, behandling eller transmission af computerinformation eller informations- og telekommunikationsnetværk ...

    - del 6 i art. 159 i Den  Russiske Føderations straffelov
  3. I Rusland er de forenet i den videnskabelige specialisering "05.13.19 Methods and systems of information protection, information security", som dog ikke omfatter forskning inden for kryptografi , algoritmer og metoder til kryptografisk informationsbeskyttelse [42] .
  4. I 2015 blev de erstattet af otte nye: bevidsthed, færdigheder og autoritet ; ansvar ; menneskerettigheder og grundlæggende værdier ; samarbejde ; risikovurdering og styringscyklus ; sikkerhedsforanstaltninger ; innovation ; sikring af beredskab og kontinuitet [58] .
  5. I GOST R ISO / IEC 27000-2012 er udtrykket non-repudiation oversat fra engelsk med lejlighedsvis ikke-repudiation [55] .
Kilder
  1. 1 2 3 NIST IR 7298 r2, 2013 , s. 94-95.
  2. Andrew, 2014 .
  3. NIST IR 7298 r2, 2013 , s. 164.
  4. Schlienger, 2003 , s. 46-52.
  5. 1 2 3 Samonas, 2014 , s. 21-45.
  6. Jacques, 2016 .
  7. Petty, 2017 .
  8. Fornie, 2017 .
  9. Frost & Sullivan, 2017 , s. 2.
  10. 12 Olavsrud , 2017 .
  11. Moore, 2011 .
  12. Europol, 2017 .
  13. Stewart, 2015 , s. 882-883.
  14. Ramzan, 2010 , s. 433.
  15. Van der Merwe, 2005 , s. 249-254.
  16. Dawes, 2012 .
  17. Provos, 2012 .
  18. Identitetstyveri .
  19. Dubal .
  20. Hoofnagle, 2007 .
  21. Armstrong, 2017 .
  22. Gorodyansky, 2013 .
  23. Zemskaya, 2005 .
  24. Gordon & Loeb, 2002 .
  25. Stewart, 2015 , s. 72.
  26. Suetonius Tranquill, 1964 .
  27. Singh, 2009 .
  28. Johnson, 1998 .
  29. Izmozik, 2015 .
  30. Soboleva, 2002 .
  31. Tokareva, 2012 , s. 82-107.
  32. Nosov, 2002 .
  33. Hastedt, 2011 , s. 589-590.
  34. Personale. Kamp på de syv have. — S. 86
  35. Yezhov, 2007 .
  36. Singh, 2009 , s. tredive.
  37. Sebag–Montefiore, 2011 , s. 162.
  38. Singh, 2009 , s. 35.
  39. Zhelnikov, 1996 .
  40. Singh, 2009 , s. 191-201.
  41. Anin, 2000 , s. 67-70.
  42. VAK .
  43. De Nardis, 2007 , s. 681-704.
  44. 1 2 3 4 5 6 Khorev A. A. Organisering af beskyttelsen af ​​fortrolige oplysninger i en kommerciel struktur  // Informationsbeskyttelse. Indvendigt  : magasin. - 2015. - Nr. 1 . - S. 14-17 . — ISSN 2413-3582 .
  45. 1 2 3 GOST R ISO/IEC 27000-2012 , s. 1-3.
  46. ISACA .
  47. Pipkin, 2000 .
  48. Blakley, McDermott & Geer, 2001 .
  49. Anderson, 2003 .
  50. Venter & Eloff, 2003 .
  51. Cherdantseva, 2013 .
  52. Shushkov og Sergeev, 2016 , s. 69-76.
  53. Saltzer & Schroeder, 1975 .
  54. 1 2 GOST R ISO/IEC 27000-2012 , s. 2.
  55. 1 2 GOST R ISO/IEC 27000-2012 , s. 3.
  56. 1 2 3 Lukatsky, 2012 .
  57. OECD, 2002 , s. 9-12.
  58. OECD, 2015 , s. 9-11.
  59. NIST SP 800-14, 1996 , s. 4-10.
  60. NIST SP 800-160v1, 2016 , s. 205.
  61. Parker, 1998 .
  62. Slade .
  63. Hughes & Cybenko, 2013 .
  64. TIDER .
  65. Teplow .
  66. O-ISM3v2, 2017 .
  67. Gordon, 2015 , s. otte.
  68. Krutz & Vines, 2003 , kapitel 1, s. en.
  69. 1 2 3 Gordon, 2015 , s. 7.
  70. 12 Stewart , 2015 , s. 5.
  71. Gordon, 2015 , s. 7-8.
  72. McCarthy, 2006 , s. 65.
  73. 12 McCulagh & Caelli , 2000 .
  74. 1 2 3 Domarev V.V. Informationsteknologiers sikkerhed. Systemtilgang (utilgængeligt link) . www.security.ukrnet.net _ Hentet 10. maj 2013. Arkiveret fra originalen 10. maj 2013.    - K .: OOO TID Dia Soft, 2004. - 992 s.
  75. Lapina M. A., Revin A. G., Lapin V. I. Informationsret. M.: UNITY-DANA, Law and Law, 2004.
  76. Informationssikkerhed i moderne databasestyringssystemer . www.compress.ru _ Hentet 13. januar 2019. Arkiveret fra originalen 7. maj 2019.
  77. Organisatorisk sikkerhed i virksomheden: papir og praktisk sikkerhed . infosec.ru . Hentet 13. januar 2019. Arkiveret fra originalen 25. april 2014.
  78. Rusinov S. Sikring af informationssikkerhed for handelsvirksomheder, handelsnetværk og deres infrastruktur: http://www.itsec.ru/articles2/Inf_security/infosec-torg Arkiveksemplar af 4. april 2016 på Wayback Machine
  79. Melnikov V.P., Kleymenov S.A., Petrakov A.M. Informationssikkerhed og informationsbeskyttelse 3. udg. Proc. Tillæg til studerende. højere lærebog etablissementer/V. P. Melnikov, S. A. Kleymenov, A. M. Petrakov.-M.: 2008. — 336 s.
  80. Sikring af informationssikkerhed: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html Arkiveret 7. april 2016 på Wayback Machine .

Litteratur

på fremmedsprog

Links