Что относится к первоочередным задачам защиты информации
Содержание:
- Что такое «информационная безопасность предприятия»?
- Как осуществить контроль информационной безопасности?
- Виды угроз информационной безопасности
- Средства защиты информации
- Обеспечение информационной безопасности предприятий
- Этапы внедрения системы безопасности
- Организационные меры
- Режим коммерческой тайны
- Технические меры
- Итог: как выбрать комплекс мер по информационной безопасности в организации?
Что такое «информационная безопасность предприятия»?
Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:
- Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения.
- Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери.
- Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно.
Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует?
- малоквалифицированные студенты,
- спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача.
От того, в чьей руке «меч», зависит обеспечение информационной безопасности предприятия.
То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.
Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.
Как осуществить контроль информационной безопасности?
Есть несколько способов в организации защиты информационной безопасности:
- Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его.
- Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
- Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.
Виды угроз информационной безопасности
Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми.
Среди них можно выделить:
- вредоносное ПО (шифровальщики, вирусы, троянцы);
- SQL-инъекции (фишинг, DoS, перехват данных).
Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов:
- Какими ресурсами располагают злоумышленники?
- Сколько времени они готовы потратить на атаку?
Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям.
К сожалению, пока что эта «игра» напоминает «Тетрис» — в нее невозможно выиграть.
Средства защиты информации
На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры.
- к контролю доступа,
- защите данных и приложений,
- обнаружению и реагированию на инциденты.
Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту.
Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур.
Обеспечение информационной безопасности предприятий
В построении системы информационной безопасности организации средства защиты не занимают ведущую роль.
Можно выбрать самое навороченное решение, но бизнес все равно встанет.
Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны.
Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.
Этапы внедрения системы безопасности
Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством.
Затем анализ продолжается:
- нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия,
- понять, какие ИТ-системы их поддерживают.
Финальный этап — определение возможных инструментов защиты.
К недопустимым последствиям относятся:
- Утечка данных пользователей;
- Техногенные катастрофы;
- Остановка обеспечения услуг компании.
Организационные меры
Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами.
Скажем, инструкция по работе с интернетом и жесткое требование:
- не кликать по ссылкам в почте и мессенджерах;
- менять пароль каждые полгода;
- не использовать один и тот же пароль для разных сервисов.
Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.
Режим коммерческой тайны
Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные.
В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют.
В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.
Технические меры
ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву.
На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему.
Итог: как выбрать комплекс мер по информационной безопасности в организации?
Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов.
Компания должна понимать:
- Какие ИБ-события она не может допустить;
- Удар по каким бизнес-процессам станет критическим;
- Какие ИТ-системы поддерживают эти процессы.
Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов.
При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.
Фото на обложке сгенерировано с помощью нейросети Midjourney
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
- Нежелание обучаться работе с информационными системами.
- Отсутствие у сотрудника необходимой подготовки.
- Отсутствие техподдержки, что приводит к сложностям с работой.
- Умышленное или неумышленное нарушение правил работы.
- Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
- Ошибки при переконфигурировании.
- Отказ ПО.
- Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
- Ввод неправильных данных.
- Изменение сведений.
- Подделка заголовка.
- Подделка всего текста письма.
- Отказ от исполненных действий.
- Дублирование информации.
- Внесение дополнительных сведений.
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
- Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
- Использование одних и тех же паролей в различных системах.
- Размещение информации в среде, которая не обеспечивает конфиденциальность.
- Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
- Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
- Хранение сведений на резервных носителях.
- Распространение информации по множеству источников, что приводит к перехвату сведений.
- Оставление ноутбуков без присмотра.
- Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
- Защита помещения компании от действий злоумышленников.
- Защита хранилищ информации от действий заинтересованных лиц.
- Защита от удаленного видеонаблюдения, прослушивания.
- Предотвращение перехвата сведений.
- Создание доступа сотрудников в помещение компании.
- Контроль над деятельностью сотрудников.
- Контроль над перемещением работников на территории компании.
- Защита от пожаров.
- Превентивные меры против последствий стихийных бедствий, катаклизмов.
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
- Защита конфиденциальности сведений, которые передаются по открытым каналам.
- Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
- Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
- Сохранение целостности данных при их передаче и хранении.
- Подтверждение отправки сообщения с информацией.
- Защита ПО от несанкционированного применения и копирования.
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
- Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
- Инструменты для шифрования данных.
- Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
- Инструменты для уничтожения сведений на носителях.
- Сигнализация, срабатывающая при попытках несанкционированных манипуляций.
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Общий порядок действий по созданию систем защиты информации
Система защиты информации (применительно к органу управления, организации, учреждению – это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3. Национального стандарта Российской Федерации ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»).
В организационную структуру системы входят:
- руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
- заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
- постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
- подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).
Система защиты информации (применительно к объекту обработки информации) – это совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации (пункт 3.3 Национального стандарта Российской Федерации ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»).
Задачи, решаемые системой защиты информации:
- исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
- исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- исключение неправомерного блокирования информации (обеспечение доступности информации).
Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.
Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.
Жизненный цикл системы защиты информации объекта информатизации — совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.
Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.
Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.
Заказчик – лицо, заключившее контракт на создание объекта обработки информации.
Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.
Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.
Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.
Этапы стадии создания системы защиты информации
- Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
- Этап 2. Разработка системы защиты информации (этап проектирования).
- Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
- Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).
Формирование требований к системе защиты информации
Этап 1 осуществляется обладателем информации (заказчиком).
Перечень работ на этапе 1:
- Принятие решения о необходимости защиты обрабатываемой информации.
- Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
- Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
- 4. Определение требований к системе защиты информации.
Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:
- статус (принадлежность) объекта (государственный, муниципальный, иной);
- структура объекта (локальный или распределенный);
- масштаб объекта (федеральный, региональный, объектовый);
- наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
- режим обработки информации (одно или многопользовательский);
- уровень доступа (с разграничением или без разграничения);
- перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
- используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),
Категория информации, подлежащей защите, и свойства ее безопасности:
- информация ограниченного доступа (конфиденциальность, целостность, доступность);
- общедоступная информация (целостность, доступность),
Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:
- защита информации, составляющей государственную тайну;
- защита государственного информационного ресурса, не отнесенного к государственной тайне;
- обеспечение безопасности персональных данных в иных информационных системах;
- обеспечение безопасности критической информационной инфраструктуры;
- обеспечение безопасности информации в информационных системах общего пользования.
Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.
Актуальным на этом этапе видится формулирование целей и задач защиты информации.
Цель защиты информации — минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.
Задача защиты информации — обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.
Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.
Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:
Действие | Документ |
---|---|
1. Принятие решения о необходимости защиты информации | Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации |
2. Классификация по требованиям защиты информации (по уровню защищенности информации) | Акт классификации по требованиям безопасности информации |
3.Определение актуальных угроз безопасности информации | Частная модель угроз безопасности информации |
4. Определение требований к системе защиты информации | ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации |
Разработка системы защиты информации
Этап 2 — разработка системы защиты информации – организуется обладателем информации (заказчиком).
Перечень работ на этапе 2:
- Проектирование системы защиты информации.
- Разработка эксплуатационной документации на систему защиты информации.
Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» с учетом изменений, внесенных постановлением правительства российской федерации от 15 июня 2016 г. № 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» определены виды работ и услуг по технической защите конфиденциальной информации, подлежащие обязательному лицензированию:
работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений.
Согласно Федеральному закону от 27.12.2002 № 184 -ФЗ «О техническом регулировании», оценка соответствия средств (продукции) защиты информации, предназначенных для обеспечения безопасности государственного информационного ресурса ограниченного доступа и персональных данных, проводится в форме обязательной сертификации.
В зависимости от вида защищаемой информации, следует руководствоваться Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 «Положение о сертификации средств защиты информации» — для информации ограниченного доступа, либо Постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330 «Положение об особенностях оценки соответствия продукции. » — для государственных информационных ресурсов и персональных данных.
Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:
Действие | Документ |
---|---|
1.Проектирование системы защиты информации | Технический проект (рабочая документация) на создание системы защиты информации |
2.Разработка эксплуатационной документации на систему защиты информации | Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств. Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации. |
Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации
- Технический паспорт с указанием состава и мест установки ее технических и программных средств.
- Описание технологического процесса обработки информации.
- Описание параметров и порядка настройки средств защиты информации.
- Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
- Ведомость и журнал учета применяемых машинных носителей информации.
- Правила эксплуатации системы защиты информации.
Внедрение системы защиты информации
Этап 3 — Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:
- Установка и настройка средств защиты информации.
- Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
- Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
- Испытания и опытная эксплуатации системы защиты информации.
Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:
Действие | Документ |
---|---|
1. Установка и настройка средств защиты информации | Акт установки средств защиты информации |
2.Внедрение организационных мер, разработка организационно-распорядительных документов | Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации |
3.Выявление и анализ уязвимостей | Протокол контроля уязвимостей программного обеспечения и технических средств |
4.Испытания и опытная эксплуатации системы защиты информации | Протоколы контроля оценки эффективности средств и оценки защищенности информации |
Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:
- Порядок администрирования системой защиты информации.
- Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
- Порядок управления конфигурацией объекта и его системы защиты информации.
- Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
- Порядок защиты информации при выводе из эксплуатации объекта.
Подтверждение соответствия системы защиты информации
Этап 4 — подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.
Общие требования к структуре и содержанию программ и методик аттестационных испытаний на соответствие требованиям безопасности информации, выполнение которых позволяет защитить информацию от утечки по техническим каналам, от несанкционированного доступа и от специальных воздействий определяются национальным стандартом ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.
Аттестация объектов информатизации делится на обязательную и добровольную.
Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.
Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.
Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.
Порядок проведения аттестации информационных систем по требованиям безопасности информации:
- Подача и рассмотрение заявки на аттестацию.
- Предварительное ознакомление с аттестуемым объектом (при необходимости).
- Разработка программы и методики аттестационных испытаний.
- Проведение аттестационных испытаний объекта.
- Оформление, регистрация и выдача аттестата соответствия.
Подача и рассмотрение заявки на аттестацию объекта информатизации:
- Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
- Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
- Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.
При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.
Структура и содержание программы и методики аттестационных испытаний определяется Национальным стандартом ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»
Аттестуемая распределенная информационно-телекоммуникационная система
Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:
Действие | Документ |
---|---|
1.Аттестационные испытания системы защиты информации | Протоколы и заключение по результатам аттестационных испытаний |
2.Оформление результатов аттестационных испытаний | Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия |
После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.
Этапы стадии эксплуатации системы защиты информации
- Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
- Этап 6. Промышленная эксплуатация системы защиты информации.
- Этап 7. Вывод из эксплуатации системы защиты информации.
Этап 5 — ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.
Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.
Этап 6 — промышленная эксплуатация системы защиты информации – осуществляется оператором.
Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.
- осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
- извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
- предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.
Органы по аттестации:
- отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
- проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.
Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.
При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
Продление срока действия сертификата организацией, эксплуатирующей СЗИ:
Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.
В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).
Этап 7 — вывод системы защиты информации из эксплуатации — осуществляется оператором.
На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.
Технологии защиты информации: как не стать целью кибератаки
Технологии защиты информации включают способы противодействия направленным атакам, профилактику внутрикорпоративной безопасности. Правильный выбор, применение, администрирование СЗИ (средств защиты информации) гарантирует, что важные сведения компании не попадут в чужие руки.
Наряду с несанкционированными действиями третьих лиц зачастую периметр безопасности информации прорывается изнутри. Даже не по злому умыслу, просто человеческий фактор – та же невнимательность. Из нашего материала вы узнаете об основных средствах и технологиях защиты информации от злоумышленников.
Суть информационной безопасности
Информационной безопасностью называют определенные условия, при которых ценные сведения защищены от любых внешних воздействий (естественных и искусственных). Взлом таких данных и поддерживающей их инфраструктуры, как правило, может навредить владельцу.
Выделяют три составляющих информационной безопасности:
- Целостность – один из важнейших компонентов, когда данные являются руководством к действию. Например, к таким относится защита рецептов фармацевтических препаратов, дорожных карт, технологические процессы. В случае получения их не в полном объеме, под угрозой могут оказаться жизни людей. Искажение информации из официальных источников, сайтов государственных структур или законодательных актов может также нанести значительных ущерб.
- Доступность – возможность получить необходимые данные в короткие сроки. Сведения должны быть актуальными, полными и не противоречить друг другу. А также быть защищенными от любых несанкционированных воздействий.
- Конфиденциальность – своевременное принятие мер для ограничения несанкционированного доступа к данным.
Решение проблем, связанных с защитой информации, должно основываться на научном подходе и быть методологически верным. Первым шагом в этом случае станет выявление субъектов информационных отношений и использования систем сбора данных, сопряженных с ними. Методы поиска, сбор и хранения сведений также могут являться угрозой для их сохранности.
Ущерб от нарушения информационной безопасности можно выразить в денежном эквиваленте, но невозможно застраховать себя абсолютно от всех рисков. С экономической точки зрения использование некоторых видов технологии защиты информации и профилактических мероприятий обойдутся дороже потенциальной угрозы. То есть некоторые виды воздействия допускаются, а другие нет.
Скачивайте и используйте уже сегодня:
Топ-30 самых востребованных и высокооплачиваемых профессий 2023
Поможет разобраться в актуальной ситуации на рынке труда
Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка
Только проверенные нейросети с доступом из России и свободным использованием
ТОП-100 площадок для поиска работы от GeekBrains
Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽
Существует также неприемлемый ущерб, к которому относится нанесение вреда здоровью людей или окружающей среде. Тогда финансовая составляющая уходит на второй план. В любом случае первоочередная задача информационной безопасности — снижение любых убытков до приемлемого значения.
Виды угроз информационной безопасности
Угроза — любое действие, потенциально способное нанести урон информационной безопасности. Атака — ситуация, которая предполагает такую угрозу, а планирующий её человек — это злоумышленник. Потенциальными злоумышленниками являются все лица, способные нанести вред.
- Угрозы доступности
Самая распространенный случай здесь — ошибки специалистов, которые работают с информационной системой. Это могут быть непредумышленные действия, вроде ввода некорректных данных и системного сбоя. Такие случайности являются потенциальной угрозой, из-за них в системе появляются уязвимые места, которые используют злоумышленники. В качестве технологии защиты информации в сети здесь могут выступать автоматизация (минимизация человеческого фактора) и административный контроль.
Что является источником угрозы доступности?
- Отсутствие у специалиста должной подготовки в работе с информационными системами.
- Низкая мотивация обучаться.
- Нарушение правил и алгоритмов работы (умышленное или нет).
- Отказ программного обеспечения.
- Отсутствие технической поддержки.
- Ошибки при переконфигурировании.
- Внештатная ситуация, которая приводит к выходу поддерживающей инфраструктуры из обычного режима (увеличение числа запросов или повышение температуры).
- Физическое нанесение вреда поддерживающей инфраструктуре (проводам, компьютерам и так далее).
- Угрозы целостности
Основная угроза целостности – это кража и подделка, которые также чаще всего осуществляются работниками компании.
Известная американская газета USA Today опубликовала любопытные данные по этому вопросу. Еще в 1992 году, когда компьютеры играли не такую большую роль, общий нанесенный ущерб от такой угрозы составил 882 000 000 долларов. Сейчас эти суммы значительно выше.
Давайте рассмотрим, что может стать источником угрозы целостности?
- Изменение данных.
- Ввод некорректных сведений.
- Подделка части информации (например, заголовка).
- Подделка всего файла.
- Внесение дополнительной информации.
- Дублирование.
- Отказ от исполненных действий.
- Базовые угрозы конфиденциальности
Сюда относится использование паролей для несанкцинированного доступа злоумышленниками. Благодаря использованию этих данных они могут получить доступ к частной информации и конфиденциальным сведениям.
Что служит источником угрозы конфиденциальности?
- Применение одинаковых паролей на всех системах.
- Использование многоразовых паролей и сохранение их в ненадежных источниках, к которым могут получить доступ посторонние люди.
- Размещение данных в месте, которое не гарантирует конфиденциальность.
- Презентация оборудования с конфиденциальными данными на выставках.
- Применение технических средств злоумышленниками (программы, считывающие введенный пароль, подслушивающие устройства и так далее).
- Оставление оборудования без присмотра.
- Размещение данных на резервных копиях.
- Использование информации в множестве источников, что значительно снижает её безопасность и приводит к перехвату.
- Злоупотребление полномочиями и нарушение рабочей этики сотрудниками.
Основная суть угрозы конфиденциальности — данные становятся уязвимыми и из-за этого злоумышленник получает к ним доступ.
Цели кибератак
Для начала приведем любопытную статистику. Согласно мировым исследованиям, только за прошлый год 91% компаний подвергались кибератакам хотя бы раз. Если взять Россию отдельно, то статистика не лучше — 98% фирм сталкивались с внешними атаками. Еще 87% получили урон из-за внутренних угроз (утечке сведений, некорректных действий сотрудников, заражение программами и так далее).
Ущерб только от одного «нападения» злоумышленников может составить 800 тысяч рублей. Несмотря на все это, четверть российских компаний не используют никакие технологии защиты информации в сети интернет и телекоммуникационных сетях. Даже стандартные методы, вроде антивирусных программ.
Новые вирусы создаются постоянно, автоматические системы фиксируют более 300 тысяч образцов вредоносных программ ежедневно. Они способны нанести значительный урон пользователям и фирмам, таких случаев в истории предостаточно. Например, в США злоумышленники взломали систему магазина Target и получили данные о 70 миллионах кредитных карт их клиентов.
- Прежде всего — кража информации
Компании хотят получить доступ к коммерческой тайне конкурентов, к персональным данным клиентов и сотрудников. Участились случаи атак, которые получили название MiniDuke. Они направлены на государственные и дипломатические структуры, военные учреждения, энергетические компании, операторов связи.
ТОП-100 площадок для поиска работы от GeekBrains
20 профессий 2023 года, с доходом от 150 000 рублей
Чек-лист «Как успешно пройти собеседование»
Чтобы зарегистрироваться на бесплатный интенсив и получить в подарок подборку файлов от GeekBrains, заполните информацию в открывшемся окне
Доступ к ним — это доступ к огромным ресурсам. Вредоносные ПО действуют хитро, они подменяют популярные сайты и приложения. В точности копируют логотипы, описания файлов и даже их размеры. Программа крадет пароли, списки контактов, историю браузера и другие конфиденциальные данные
- Ликвидация сведений и блокировка работы компании
Существуют программы, которые полностью стирают данные на серверах без какой-либо возможности их восстановления (например, Shamoon и Wiper). Пару лет назад таким атакам подверглась нефтяная компания Saudi Arabian Oil Company. Тогда с 30 тысяч компьютеров исчезли сведения, оборудование просто перестало включаться.
- Похищение денег
Сюда относятся троянские ПО, которые крадут деньги с помощью систем дистанционного банковского обслуживания.
- Нанесение финансового ущерба
Использование DDOS-атак, которые парализуют внешние веб-ресурсы компаний на несколько дней и мешают работе.
- Снижение репутации компании
Для этих целей взламываются корпоративные сайты, куда внедряются посторонние ссылки или баннера. Если пользователь перейдет по ним, то попадет на вредоносный ресурс. Также на сайте фирмы могут быть размещены любые дискредитирующие сведения, изображения, высказывания и так далее. Таким атакам подверглись пару лет назад две известные компании, которые занимаются защитой данных.
- Кража цифровых сертификатов
Для компании это будет означать снижения доверия пользователей, поскольку документ потеряет свой статус и клиенты не будут уверены в безопасности данных. Такие потери могут привести даже к закрытию бизнеса.
Основные принципы защиты информации
Внедрение технологий защиты информации в интернете и в организациях подчиняется некоторым базовым принципам, о которых мы расскажем ниже.
- Ведущая роль должна отводиться мероприятиям организационного характера, но при разработке охранных мер нужно учитывать все аспекты. Что это значит? Оптимальное соотношение программно-аппаратных средств и координации внедренных мер защиты. Изучите практику построения аналогичных систем в нашей стране и заграницей.
- Минимизируйте и распределяйте полномочия сотрудников, по доступу к данным и процедурам их обработки.
- Давайте минимальное количество четких полномочий экономическому отделу, тогда они смогут успешно выполнять работу на благо компании. Здесь имеется ввиду и автоматизированная обработка конфиденциальных данных, которые доступны персоналу.
- Вы должны быть в курсе всех попыток сотрудников получить несанкционированный доступ к данным. У вас должна быть возможность быстро установить их идентичность и составить протокол действий при расследовании. Для этого внедряйте полный контроль и предварительную регистрацию, без этого никто не должен иметь доступ к данным.
- Учитывайте любые внештатные ситуации — сбои, отказ внутренних и внешних систем снабжения, умышленные действия нарушителей, некорректное поведение сотрудников. Защита информации и технологии информационной безопасности должны быть надежными всегда.
- Осуществляйте контроль за функционированием технологии и системы охраны сведений. Внедряйте средства и методики, которые позволяют отслеживать их работоспособность.
- Организация и технологии защиты информации должны быть понятными и прозрачными (для сотрудников, общего и прикладного программного обеспечения).
- Просчитайте все финансовые показатели, сделайте систему охраны сведений целесообразной. Затраты на её разработку и эксплуатацию должны быть ниже потенциальной угрозы, которая может быть нанесена, если вы не внедрите соответствующие меры.
Задачи специалистов информационной безопасности
Что входит в должностные обязанности сотрудников, которые занимаются организацией системы защиты данных в компании? Они:
- определяют, что относится к конфиденциальным сведениям, оценивают их значимость, объем и степень секретности;
- определяют состав необходимого технического оборудования и в каком режиме будет происходить обработка данных (интерактив, реальное время), самостоятельно разбираются в программных комплексах;
- анализируют современные разработки, выпускаемые на рынок сертифицированные технологии и средства защиты, оценивают — какие из них можно применить в компании;
- описывают функционал персонала, всех служб, научных и вспомогательных сотрудников — каким образом они участвуют в процессе обработки данных, как взаимодействуют между друг другом и со службой безопасности;
- различными способами обеспечивают секретность в вопросах системы защиты данных, начиная с этапа её создания.
Средства защиты информации
К наиболее популярным современным технологиям защиты информации относят антивирусные программы, которые используют более 60% предприятий. Четверть организаций не применяет никакие средства охраны данных. Прослеживается тенденция: чем меньше компания, тем ниже у нее уровень безопасности. Маленькие фирмы пренебрегают любыми мерами и не уделяют этому вопросу должного внимания.
Несмотря на это, создаются и приобретают популярность новые методы защиты:
- управление обновлением программного обеспечения;
- контроль приложений.
Какие рекомендуется внедрять в обязательном порядке?
Во-первых, ставить средства защиты не только на офисные компьютеры, но и на остальные используемые в рабочих целях устройства (телефоны, планшеты). Одна ошибка, вроде случайного подключения к незащищенной сети wi-fi, может стать причиной финансовых потерь или слива клиентской базы.
Во-вторых, не скупитесь на покупку лицензионных версий антивирусов (для этого есть выгодные корпоративные предложения). Они защитят вас от вирусов на флеш-накопителях, вредоносных ПО и ссылок, зараженных сайтов.
В-третьих, уделяйте внимание обучению сотрудников в вопросах информационной безопасности. Чтобы они не попались на действия злоумышленников, которые подделывают приложения и сайты (банков, госучреждений и так далее).
Технологии защиты информации
Существует множество технических средств и технологий защиты информации, о которых мы расскажем ниже. Использовать их лучше в совокупности.
- Организационно-правовая защита
К основным технологиям правовой защиты информации относятся международные договоры, нормативно-правовые акты, принятые в стране и различные официальные стандарты.
Еще одним инструментом являются организационные мероприятия по формированию инфраструктуры, с помощью которой данные будут храниться. Они осуществляются еще на ранних этапах проектирования зданий, помещений и систем, а также их ремонта.
- Инженерно-техническая защита
К таким средствам относятся объекты, которые обеспечивают безопасность. Их нужно предусмотреть еще на этапе строительства здания или проверить наличие, если вы арендуете помещение.
Какие преимущества дают инженерно-технические инструменты?
- Профилактические меры для снижения последствий внешнего воздействия (катаклизмов и стихийных бедствий).
- Контроль за перемещениями людей по территории фирмы.
- Контроль за действиями специалистов.
- Доступ в помещения компании только уполномоченных сотрудников.
- Невозможность перехвата данных.
- Устранение возможности установки удаленного видеонаблюдения или прослушки.
- Защита от пожаров.
- Надежная защита хранилища информации.
- Защита офиса компании от действий злоумышленников.
- Криптографическая защита
Развитие технологий защиты информации не стоит на месте, и появляются все новые способы. Один из них — это криптография, в рамках которой используется шифрование данных. Она является базовым методом защиты при хранении информации в компьютере. Если данные передаются с одного устройства на другое, то используются зашифрованные каналы.
Для чего используется криптография?
- Обеспечение конфиденциальности при передаче по открытым каналам.
- Подтверждение достоверности данных из различных каналов.
- Защита конфиденциальности информации, если она содержится на открытых носителях.
- Избежание угрозы целостности сведений при их передаче и хранении.
- Подтверждение отправки данных.
- Защита программного обеспечения от копирования и с ипользованием сторонними лицами.
На данный момент криптография – одна из наиболее продвинутых цифровых технологий и надежная защита информации.
- Программно-аппаратные инструменты
Они входят в состав технических средств. Что это может быть?
- Любые инструменты идентификации для определения сведений о человеке (персональные магнитные карты, коды доступа, отпечатки пальцев и так далее).
- Инструменты по шифрованию информации.
- Оборудование, блокирующее несанкционированный доступ к системам (электронные звонки и блокираторы).
- Сигнализация, срабатывающая из-за противоправных действий.
- Инструменты для уничтожения данных на носителях.
Основная задача таких инструментов — шифрование, ограничение доступа к информации и идентификация пользователей. Для этого разрабатываются различные специализированные программы.
Для обеспечения полноценной защиты используются и программные, и аппаратные инструменты. Использование совокупности мер повышает шансы и увеличивает уровень безопасности данных. Однако стоит помнить, что 100% гарантии вам никто не может дать и все равно останутся слабые места, которые необходимо выявлять.
7 технологий защиты информации от несанкционированного доступа
- Средства защиты от несанкционированного доступа
Сюда относятся программно-аппаратные средства в совокупности, а также программные и аппаратные отдельно. Их главная задача — полное предотвращение и усложнение доступа сторонних лиц к конфиденциальным данным.
Перечислим основной функционал:
- регистрация носителей информации;
- управление информационными потоками между устройствами;
- разграничение доступа;
- регистрация запуска и завершения процессов;
- идентификация устройств и отдельных пользователей и так далее.
- Модули доверенной загрузки
С их помощью осуществляется запуск операционной системы с доверенных носителей информации. Они контролируют целостность программного обеспечения и технических параметров, проводят аутентификацию, идентифицируют устройства и пользователей. Могут быть как программными, так и программно-аппаратными средствами.
- DLP-системы
Программы, которые обеспечивают охрану данных от возможной утечки внутри компании. Они анализируют все исходящие и иногда входящие информационные потоки, создавая защищенный цифровой периметр. Контролируют не только веб-трафик, но и распечатанные или отправляемые по wi-fi и bluetooth документы.
- Анализ защищенности информационных систем
Здесь подразумевается процесс проверки инфраструктуры компании на наличие проблем и слабых мест. Они могут быть связаны с ошибками конфигурации, исходным кодом или используемым ПО. На этом этапе выполняется проверка всех внешних и внутренних информационных систем.
- Защита виртуальной инфраструктуры
Существуют конкретные средства и инструменты, эффективные именно для защиты виртуальной инфраструктуры. С их помощью нейтрализуются потенциальные атаки и формируется комплексная защита виртуальной среды (в совокупности с другими инструментами). Разработкой таких программных продуктов занимаются отдельные компании, которые используют особые подходы. Они основаны на глубоком анализе потенциальных киберугроз.
- Межсетевое экранирование
Это программный или программно-аппаратный комплекс средств, локальных или функционально-распределенных. Их основная задача — контроль всей входящей и исходящей информации. Безопасность системы обеспечивается с помощью фильтрации данных, её углубленного анализа по комбинации критериев. Только после этого принимается решение о её распространении или нет на основании заданных правил.
- Системы обнаружения вторжений
Это программные и аппаратные средства, используемые для обнаружения неавторизованного входа в систему. А также неправомерных и несанкционированных попыток по управлению защищаемой сетью. Применяется для дополнительного усиления уровня информационной безопасности.
Технологии криптографической защиты информации
Как мы уже упоминали выше, криптография — это применение специальных методов шифрования, кодирования и любого преобразования информации. Такой метод защиты делает сведения недоступными без обратного преобразования или предъявления ключа криптограммы.
На данный момент существует 4 крупных раздела криптографии:
- Симметричные криптосистемы. Здесь для преобразования и обратного преобразования текста применяется одинаковый ключ. В процессе преобразования открытый текст заменяется шифрованным, обратного преобразования — он снова заменяется исходным).
- Криптосистемы с открытым ключом. Применяются два ключа — открытый и закрытый, которые связаны между друг другом. Шифрование происходит с помощью открытого ключа, который известен всем. Дешифрование доступно только получателю сообщения с помощью закрытого ключа.
- Система электронной подписи. Когда к тексту присоединяется его криптографическое преобразование. Это позволяет другим пользователям проверить достоверность полученных данных и их авторство.
- Управление ключами. Обработка информации, составление и распределение ключей между пользователями.
Где используются криптографические методы? При передаче конфиденциальных данных по различным каналам связи (к примеру, e-mail). Также при необходимости установления подлинности и авторства данных, хранения зашифрованных сведений на носителях.
Технологии криптографической защиты информации
Для криптографического закрытия могут использоваться как программные, так и аппаратные инструменты. Последние отличаются большими финансовыми затратами, но они также обладают особыми преимуществами – простотой в использовании, высокой производительностью и уровнем защиты.
Какие требования существуют для криптографический систем? Перечислим общепринятые:
- прочитать зашифрованное сообщение можно только при наличии ключа;
- число операций, нужных для определения ключа шифрования по фрагменту, должно быть не меньше общего числа возможных ключей;
- число операций путем перебора всевозможных ключей должно выходить за пределы возможностей современных компьютеров и иметь строгую нижнюю оценку;
- знание алгоритма шифрования не должно снижать уровень защиты;
- даже при использовании одного и того же ключа незначительное изменение должно приводить к существенному изменению вида зашифрованного сообщения;
- структурные элементы алгоритма шифрования должны быть неизменными;
- дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;
- исходный и шифрованный текст должны быть одинаковыми по длине;
- любой ключ из множества возможных должен обеспечивать надежную защиту информации;
- алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.
Развитие технологий защиты информации не стоит на месте. Скорее всего, в ближайшем будущем появятся новые более продвинутые формы борьбы с киберугрозами и злоумышленниками. Но уже сейчас компаниям и частным пользователям необходимо применять существующие инструменты для охраны конфиденциальных сведений.