Википедия

Защита информации

18 Июл, 2025 / 17:15
У этого термина существуют и другие значения, см. Информационная безопасность (значения).

Информационная безопасность (англ. Information Security, а также — англ. InfoSec) — теория и практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, модификации, исследования, регистрации или уничтожения информации, которая является универсальной концепцией, применяемой независимо от формы, которую могут принимать данные (электронная или, например, физическая), основной задачей информационной безопасности является сбалансированная защита конфиденциальности, целостности и доступность данных с учётом удобства приложения и без какого-либо ущерба для производительности организации.

image
Плакат по информационной безопасности для Минобороны России.

Информационная безопасность достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками. Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и администраторов. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура [англ.] не привита должным образом.

Общие сведения

Информационная безопасность основана на мероприятиях по защите информации, которые обеспечивают ее конфиденциальность, доступность и целостность, а также предотвращают любой компромисс в критической ситуации. К таким ситуациям относятся природные, техногенные и социальные катастрофы, компьютерные сбои, похищения людей и подобные явления, и хотя офисная работа большинства организаций в мире по-прежнему основана на бумажных документах, требующих соответствующих мер информационной безопасности, количество мер по внедрению цифровых технологий на предприятиях неуклонно растет, что подразумевает привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев, какой-либо компьютерной системы). В данном контексте компьютер означает не только персональный домашний компьютер, но и цифровые устройства любой сложности и назначения, от примитивных и изолированных, таких как электронные калькуляторы и бытовая техника, до промышленных систем управления и суперкомпьютеров, соединенных компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для своего бизнеса, нанимают, как правило, в свой штат специалистов по информационной безопасности, задачей которых является защита всех технологий от вредоносных кибератак, часто направленных на кражу важной конфиденциальной информации или поимку руководства организации внутренние системы.

Информационная безопасность, как сфера занятости, значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры, защиты программного обеспечения и баз данных, аудит информационных систем, планирование непрерывности бизнеса, выявление электронных записей и [англ.] (форензика). Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Масштабные исследования, проведённые организацией (ISC)² показали, что на 2017 год 66 % руководителей информационной безопасности признали острую нехватку рабочей силы в своих подразделениях, а по прогнозам к 2022 году недостаток специалистов в этой области составит по всему миру 1 800 000 человек.

Угрозы и меры противодействия

Угрозы информационной безопасности могут принимать весьма разнообразные формы. На 2018 год наиболее серьёзными считаются угрозы связанные с «» (англ. Crime-as-a-Service), Интернетом вещей, цепями поставок и усложнением требований регуляторов. «Преступление как услуга» представляет собой модель предоставления зрелыми преступными сообществами пакетов криминальных услуг на даркнет-рынке по доступным ценам начинающим [англ.]. Это позволяет последним совершать хакерские атаки, ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением. Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома. Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются вовне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации. Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в 2018 году в Евросоюзе Общий регламент защиты персональных данных (англ. General Data Protection Regulation, GDPR), требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются. Причём эта информация должна быть предоставлена не только в ходе проверок уполномоченными органами, но и по первому требованию частного лица — владельца этих данных. Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают.

Большинство людей испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами вредоносных программ (вирусов и червей, троянских программ, программ-вымогателей), фишинга или кражи личности. Фишинг (англ. Phishing) представляет собой мошенническую попытку завладения конфиденциальной информацией (например, учётной записью, паролем или данными кредитной карты). Обычно пользователя Интернета стараются заманить на мошеннический веб-сайт, неотличимый от оригинального сайта какой-либо организации (банка, интернет-магазина, социальной сети и т. п.). Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации, содержащих ссылки на мошеннические сайты. Открыв такую ссылку в браузере, ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников. Термин Identity Theft с англ. — «кража личности» появился в английском языке в 1964 году для обозначения действий, в которых чьи-либо персональные данные (например, имя, учётная запись в банковской системе или номер кредитной карты, часто добытые с помощью фишинга) используются для мошенничества и совершения иных преступлений. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия. Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни, определение которой в различных культурах может весьма разниться.

Эксперты отмечают, что хуже всего защищены от кибератак госорганы. Органы государственной власти, вооружённые силы, корпорации, финансовые институты, медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах. Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая [англ.] описывает математический аппарат для решения этой задачи. Основными способами противодействия угрозам информационной безопасности или информационным рискам являются:

  • снижение — внедрение мер безопасности и противодействия для устранения уязвимостей и предотвращения угроз;
  • передача — перенос затрат, связанных с реализацией угроз на третьих лиц: страховые или аутсорсинговые компании;
  • принятие — формирование финансовых резервов в случае, если стоимость реализации мер безопасности превышает потенциальный ущерб от реализации угрозы;
  • отказ — отказ от чрезмерно рисковой деятельности.

История

С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и [англ.]. Например, Юлию Цезарю приписывают изобретение около 50 года до н. э. шифра Цезаря, который был предназначен для предотвращения чтения его секретных сообщений, теми, кому они не были предназначены. Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках.

C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в 1653 году появилась Тайная канцелярия (англ. Secret Office). В России перлюстрация осуществлялась, по крайней мере, со времен Петра I — с 1690 года в Смоленске вскрывались все письма, идущие за границу. Системный характер практика тайного копирования корреспонденции почти всех иностранных дипломатов так, чтобы у адресата не возникло никаких подозрений, приобрела в середине XVIII века — появились так называемые «чёрные кабинеты». После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Христиан Гольдбах, сумевший за полгода работы дешифровать 61 письмо прусских и французских министров. В отдельных случаях после успешного дешифрования письма осуществлялась подмена его содержимого — некоторое подобие атаки «человек посередине».

В начале XIX века в России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел. С 1803 года на службе этого ведомства находился выдающийся российский ученый Павел Львович Шиллинг. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны 1812 года. В середине XIX века появились более сложные системы классификации секретной информации, позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в 1889 году такую классификацию публикацией [англ.].

Во время Первой мировой войны многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа. Так к концу 1914 года была сформирована одна из секций Британского Адмиралтейства — «комната 40», — которая стала ведущим криптографическим органом Великобритании. 26 августа 1914 года лёгкий немецкий крейсер «Магдебург» сел на камни у острова Оденсхольм в устье Финского залива, принадлежавшего тогда Российской Империи. Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника. С конца ноября 1914 года «комната 40» начала регулярную дешифровку радиограмм германского флота, которыми передавались практически все приказы и распоряжения. Впервые данные расшифровки попытались использовать во время вылазки германского флота к британским берегам 16 декабря 1914 года.

В межвоенный период системы шифрования всё более усложнялись, так что для зашифровывания и расшифровывания секретных сообщений стали использовать специальные машины, из которых наиболее известной является «Энигма», созданная немецкими инженерами в 1920-х годах. Уже в 1932 году Бюро шифров польской разведки удалось взломать шифр «Энигмы» методом обратной разработки.

Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления. Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами (как правило, офицеры, нежели рядовые), и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ. Воюющими сторонами были разработаны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну. Например, экипаж немецкой подводной лодки [англ.] не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам. Ярким примером применения средств информационной безопасности является упомянутая выше «Энигма», усложнённая версия которой появилась в 1938 году и широко использовалась вермахтом и другими службами нацистской Германии. В Великобритании криптоанализом сообщений противника, зашифрованных с помощью «Энигмы», успешно занималась группа под руководством Алана Тьюринга. Разработанная ими дешифровальная машина «Turing Bombe» (с англ. — «бомба Тьюринга»), оказала значительную помощь антигитлеровской коалиции, а иногда ей приписывается решающая роль в победе союзников. В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо, язык которого за пределами США никто не знал. Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации. В СССР с 1930-х годов для защиты телефонных переговоров высших органов управления страной от прослушивания (в том числе, Ставки Верховного Главнокомандования) использовалась так называемая ВЧ-связь, основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования. Однако отсутствие криптографической защиты позволяло, используя спектрометр, восстанавливать сообщения в перехваченном сигнале.

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям. Очень быстро компьютеры были объединены Интернетом, что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма, вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. Возникли научные дисциплины, такие, как, «Компьютерная безопасность» и [англ.] и множество профессиональных организаций, преследующих общие цели обеспечения безопасности и надёжности информационных систем.

Основные определения

Защищаемая информация — информация, подлежащая защите в соответствии с требованиями нормативных правовых актов или требованиями, устанавливаемыми обладателем информации.

Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателями информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Безопасность информации — такое состояние защищенности информации, при котором обеспечены её конфиденциальность, целостность и доступность.

Организация защиты информации — совокупность действий, направленных на выявление угроз безопасности информации, планирование, реализацию мероприятий по защите информации и контроль состояния защиты информации.

Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации.

Политика безопасности информации в организации — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

«Информационная безопасность» в различных источниках

Ниже приведены определения термина «информационная безопасность» из различных источников:

  • Сохранение конфиденциальности, целостности и доступности информации. Примечание: также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, неотказуемость (англ. non-repudiation) и достоверность.
  • Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности.
  • Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям (конфиденциальность), противоправного изменения (целостность) и недоступности, когда она необходима (доступность).
  • Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности (технических, организационных, человекоориентированных, юридических) с целью предохранения информации от угроз повсюду, где бы она ни находилась (как внутри периметра организации, так и за его пределами) и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается. Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость.

Ключевые принципы

image
Триада CIA.

В 1975 году [англ.] и Майкл Шрёдер в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации (англ. unauthorized information release), неавторизованное изменение информации (англ. Unauthorized information modification) и неавторизованный отказ в доступе (англ. Unauthorized denial of use) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:

Confidentiality с англ. — «конфиденциальность» — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов;
Integrity с англ. — «целостность» — свойство сохранения правильности и полноты активов;
Availability с англ. — «доступность» — свойство информации быть доступной и готовой к использованию по запросу авторизованного субъекта, имеющего на это право.

В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA.

В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр. В 1996 году на основе публикации ОЭСР 1992 года американский Национальный институт стандартов и технологий (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами», «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированы», а «владельцы систем несут ответственность за безопасность за пределами своей организации». На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии.

В 1998 году [англ.] дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль (англ. Possession or Control), аутентичность (англ. Authenticity) и полезность (англ. Utility). Достоинства этой модели, получившей название [англ.] (от hexad с англ. — «группа из шести предметов»), являются предметом дискуссий среди специалистов по информационной безопасности.

В 2009 году министерство обороны США опубликовало «Три основополагающих принципа компьютерной безопасности»: подверженность системы [риску] (англ. System Susceptibility), доступность уязвимости (англ. Access to the Flaw) и способность эксплуатировать уязвимость (англ. Capability to Exploit the Flaw).

В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью [англ.], в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения. Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности (конфиденциальность), долгосрочные цели безопасности (целостность), цели качества информации (целостность), цели контроля доступа (доступность) и технические цели безопасности. .

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе. Она зафиксирована в национальных и международных стандартах и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP и [англ.]. Некоторые российские авторы используют кальку с него — «триада КЦД». В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, атрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы.

Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов. Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):

  • подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленному;
  • [англ.] (англ. accountability) — ответственность субъекта за его действия и решения;
  • [англ.] (англ. non-repudiation) — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;
  • достоверность (англ. reliability) — свойство соответствия предусмотренному поведению и результатам.

Конфиденциальность

Основная статья: Конфиденциальность

Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из [англ.] (англ. need-to-know). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности.

Целостность

Основная статья: Целостность информации

Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и логические бомбы, ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами.

Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип [англ.], согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое. Кроме того, любые изменения в ходе жизненного цикла информационных системы должны быть согласованны, протестированы на предмет обеспечения информационной целостности и внесены в систему только корректно сформированными транзакциями. Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированы.

Доступность

Основная статья: Доступность информации

Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программами, уничтожения данных, проникновения извне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей.

Невозможность отказа

Термин «невозможность отказа» (англ. Non-Repudiation, иногда употребляется слитно — Nonrepudiation) впервые появился в 1988 году в международном стандарте «Безопасность взаимосвязи открытых систем» (ISO 7498-2). Обычно понимается, как противоположный по смыслу термину англо-саксонского права Repudiation с англ. — «отказ, отрицание», имеющего два основных толкования. С одной стороны, он означает фундаментальное право стороны отказаться от исполнения обязательств по сделке на законных основаниях, если, например, подпись на бумажном документе была подделана, либо оригинальная подпись была полученная незаконным путём (в результате мошенничества). При этом бремя доказательства подлинности подписи лежит на той стороне, которая на неё полагается. Другая интерпретация — неправомерный отказ от обязательств. В контексте компьютерной безопасности это может быть, например, отрицание одной из сторон факта отправки, приёма, авторства, либо содержания электронного сообщения. В контексте информационной безопасности «невозможность отказа» понимается как подтверждение целостности и оригинального происхождения данных, исключающее возможность подделки, которое может быть в любой момент проверено сторонними лицами, либо как установление идентичности (личности, документа, объекта), которое с высокой степенью достоверности может считаться подлинным и не может быть опровергнуто.

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

  • Защита объектов информационной системы;
  • Защита процессов, процедур и программ обработки информации;
  • Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
  • Подавление побочных электромагнитных излучений;
  • Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  1. Определение информационных и технических ресурсов, подлежащих защите;
  2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  4. Определение требований к системе защиты;
  5. Осуществление выбора средств защиты информации и их характеристик;
  6. Внедрение и организация использования выбранных мер, способов и средств защиты;
  7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-аппаратные средства системы обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации.

  • Средства защиты от несанкционированного доступа:
    • Средства авторизации;
    • Мандатное управление доступом;
    • Избирательное управление доступом;
    • Управление доступом на основе ролей;
    • Журналирование (также называется Аудит).
  • Системы анализа и моделирования информационных потоков (CASE-системы).
  • Системы мониторинга сетей:
    • Системы обнаружения и предотвращения вторжений (IDS/IPS).
    • Системы предотвращения утечек конфиденциальной информации (DLP-системы).
  • Анализаторы протоколов.
  • Антивирусные средства.
  • Межсетевые экраны.
  • Криптографические средства:
    • Шифрование;
    • Цифровая подпись.
  • Системы резервного копирования.
  • Системы бесперебойного питания:
  • Системы аутентификации:
    • Пароль;
    • Ключ доступа (физический или электронный);
    • Сертификат;
    • Биометрия.
  • Средства предотвращения взлома корпусов и краж оборудования.
  • Средства контроля доступа в помещения.
  • Инструментальные средства анализа систем защиты:
    • Антивирус.

Организационная защита объектов информатизации

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

  • организацию охраны, режима, работу с кадрами, с документами;
  • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

  • организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
  • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
  • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
  • организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
  • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
  • организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Информационная безопасность предприятия

Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Задачи систем информационной безопасности предприятия различны:

  • обеспечение защищённого хранения информации на носителях;
  • защита данных, передаваемых по каналам связи;
  • создание резервных копий, послеаварийное восстановление и т. д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, IТ-сервисами, средствами защиты и т. д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее.

Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:

  1. оценка стоимости;
  2. разработка политики безопасности;
  3. реализация политики;
  4. квалифицированная подготовка специалистов;
  5. аудит.

С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности:

  • определить ценность информационных активов;
  • определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
  • определить существующие уязвимые места в практической деятельности организации;
  • установить риски организации в отношении информационных активов;
  • предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
  • обеспечить базу для создания проекта обеспечения безопасности.

Пять основных видов оценки:

  • Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
  • Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры, выявлены зоны риска.
  • Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для её информационных активов.
  • Аудит. Исследована существующая политика и соответствие организации этой политике.
  • Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.

При проведении оценки должны быть исследованы такие документы, как:

  • политика безопасности;
  • информационная политика;
  • политика и процедуры резервного копирования;
  • справочное руководство работника или инструкции;
  • процедуры найма-увольнения работников;
  • методология разработки программного обеспечения;
  • методология смены программного обеспечения;
  • телекоммуникационные политики;
  • диаграммы сети.

Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.

После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.

Необходимо разработать следующие политики и процедуры:

  • Информационная политика. Выявляет секретную информацию и способы её обработки, хранения, передачи и уничтожения.
  • Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
  • Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
  • Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
  • Процедуры управления учётными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
  • План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.

При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.

Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.

Аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала.

Примечания

Комментарии

  1. На профессиональном жаргоне информационной безопасности киберпреступников часто называют Black hat с англ. — «чёрная шляпа».
  2. Российский Уголовный кодекс определяет «Мошенничество в сфере компьютерной информации», как:

    …хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей…

    ч. 6 ст. 159 УК РФ
  3. В России они объединены в научную специализацию «05.13.19 Методы и системы защиты информации, информационная безопасность», которая однако не включает себя исследования в области криптографии, алгоритмов и методов криптографической защиты информации.
  4. В 2015 году они были заменены восемью новыми: осведомлённость, навыки и полномочия; ответственность; права человека и фундаментальные ценности; сотрудничество; цикл оценки и работы с рисками; меры безопасности; инновация; обеспечение готовности и непрерывности.
  5. В ГОСТ Р ИСО/МЭК 27000-2012 термин non-repudiation переведён с английского языка окказионализмом неотказуемость.

Источники

  1. Schlienger, 2003, pp. 46—52.
  2. Frost & Sullivan, 2017, p. 2.
  3. Olavsrud, 2017.
  4. Moore, 2011.
  5. Europol, 2017.
  6. Stewart, 2015, pp. 882–883.
  7. Ramzan, 2010, p. 433.
  8. Van der Merwe, 2005, pp. 249—254.
  9. Dawes, 2012.
  10. Provos, 2012.
  11. Identity Theft.
  12. Dubal.
  13. Hoofnagle, 2007.
  14. Armstrong, 2017.
  15. Gorodyansky, 2013.
  16. Земская, 2005.
  17. Positive Technologies: госорганы хуже всех защищены от кибератак. Коммерсантъ (15 апреля 2022). Дата обращения: 28 октября 2023. Архивировано 1 декабря 2023 года.
  18. Gordon & Loeb, 2002.
  19. Stewart, 2015, pp. 72.
  20. Светоний Транквилл, 1964.
  21. Сингх, 2009.
  22. Johnson, 1998.
  23. Измозик, 2015.
  24. Соболева, 2002.
  25. Токарева, 2012, с. 82—107.
  26. Носов, 2002.
  27. Hastedt, 2011, p. 589—590.
  28. Staff. Battle on the Seven Seas. — P. 86
  29. Ежов, 2007.
  30. Сингх, 2009, с. 30.
  31. Sebag–Montefiore, 2011, p. 162.
  32. Сингх, 2009, с. 35.
  33. Жельников, 1996.
  34. Сингх, 2009, с. 191—201.
  35. Анин, 2000, с. 67—70.
  36. ВАК.
  37. De Nardis, 2007, pp. 681–704.
  38. Хорев А. А. Организация защиты конфиденциальной информации в коммерческой структуре // Защита информации. Инсайд : журнал. — 2015. — № 1. — С. 14—17. — ISSN 2413-3582. Архивировано 29 июня 2021 года.
  39. ГОСТ Р ИСО/МЭК 27000-2012, с. 1—3.
  40. NIST IR 7298 r2, 2013, pp. 94—95.
  41. ISACA.
  42. Cherdantseva, 2013.
  43. Saltzer & Schroeder, 1975.
  44. ГОСТ Р ИСО/МЭК 27000-2012, с. 2.
  45. ГОСТ Р ИСО/МЭК 27000-2012, с. 3.
  46. Лукацкий, 2012.
  47. OECD, 2002, pp. 9—12.
  48. OECD, 2015, pp. 9—11.
  49. NIST SP 800-14, 1996, pp. 4—10.
  50. NIST SP 800-160v1, 2016, p. 205.
  51. Parker, 1998.
  52. Slade.
  53. Hughes & Cybenko, 2013.
  54. TENS.
  55. Teplow.
  56. O-ISM3v2, 2017.
  57. Gordon, 2015, p. 8.
  58. Krutz & Vines, 2003, Chapter 1, p. 1.
  59. Samonas, 2014, pp. 21–45.
  60. Gordon, 2015, p. 7.
  61. Stewart, 2015, p. 5.
  62. Gordon, 2015, p. 7—8.
  63. McCarthy, 2006, p. 65.
  64. McCullagh & Caelli, 2000.
  65. Домарев В. В. Безопасность информационных технологий. Системный подход. www.security.ukrnet.net. Дата обращения: 10 мая 2013. Архивировано из оригинала 10 мая 2013 года. — К.: ООО ТИД Диа Софт, 2004. — 992 с.
  66. Информационная безопасность в современных системах управления базами данных. www.compress.ru. Дата обращения: 13 января 2019. Архивировано 7 мая 2019 года.
  67. Российский рынок DLP-систем: обзор популярных решений. securitymedia.org (27 октября 2022). Дата обращения: 15 октября 2023. Архивировано 4 октября 2023 года.
  68. В России вырос спрос на системы против утечек данных из организаций. РБК (3 июня 2022). Дата обращения: 15 октября 2023. Архивировано 14 мая 2023 года.
  69. Организационная безопасность на предприятии: бумажная и практическая безопасность. inforsec.ru. Дата обращения: 13 января 2019. Архивировано 25 апреля 2014 года.
  70. Русинов С. Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры: http://www.itsec.ru/articles2/Inf_security/infosec-torg Архивная копия от 4 апреля 2016 на Wayback Machine
  71. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации 3-е изд. Учеб. Пособие для студ. высш. учеб. заведений/В. П. Мельников, С. А. Клейменов, А. М. Петраков.-М.:2008. — 336 с.
  72. Обеспечение информационной безопасности: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html Архивная копия от 7 апреля 2016 на Wayback Machine.

Литература

  • Гай Светоний Транквилл. Книга первая // Жизнь двенадцати цезарей = De vita XII caesarvm : [пер. с лат.] / перевод Гаспаров М.. — М. : Издательство «Наука», 1964. — 374 с. — (Литературные памятники).
  • Сингх, Саймон. Книга шифров : Тайная история шифров и их расшифровки. — М. : Издательство «АСТ», 2009. — 448 с. — ISBN 5-17-038477-7.
  • Измозик, В. С. «Черные кабинеты» : история российской перлюстрации. XVIII — начало XX века. — М. : Новое литературное обозрение, 2015. — ISBN 978-5-4448-0392-9.
  • Жельников В. Язык сообщения // Криптография от папируса до компьютера. — М.: ABF, 1996. — 335 с. — ISBN 5-87484-054-0.
  • Анин, Б. Ю.. «Марфинская шаражка» // Радиоэлектронный шпионаж. — М. : Центрполиграф, 2000. — 491, [2] с., [8] л. ил., портр. — (Секретная папка). — 10 000 экз. — ISBN 5-227-00659-8.
  • Носов В. А. Краткий исторический очерк развития криптографии // Московский университет и развитие криптографии в России, МГУ, 17-18 октября, 2002 : материалы конференции. — 2002. — С. 20—32.
  • Токарева Н. Н. Об истории криптографии в России // Прикладная дискретная математика. — 2012. — Декабрь (№ 4 (18)).
  • Алексей Лукацкий. Триада \"конфиденциальность, целостность, доступность\": откуда она? // SecurityLab.ru. — 2012. — 20 сентября.
  • Концептуальные основы информационной безопасности Российской Федерации / Шушков Г. М., Сергеев И. В. // Актуальные вопросы научной и научно-педагогической деятельности молодых ученых : сборник научных трудов III Всероссийской заочной научно-практической конференции (23.11.2015 – 30.12.2015 г., Москва) / под общ. ред. Е.А. Певцовой; редколл.: Е.А. Куренкова и др.. — М. : ИИУ МГОУ, 2016. — ISBN 978-5-7017-2532-2.[неавторитетный источник]
  • Ежов, М. Ю. Один из мифов о крейсере «Магдебург» // Вопросы истории. — 2007. — Вып. 2. — С. 152—156. — ISSN 0042-8779.
  • 05.13.19 Методы и системы защиты информации, информационная безопасность : [DOC] // Высшая аттестационная комиссия (ВАК). — Дата обращения: 19.07.2018.
  • ГОСТ Р ИСО/МЭК 27000-2012 : Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология : [PDF] // Росстандарт. — Дата обращения: 20.07.2018.

На иностранных языках

  • Andress, J. The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. — Syngress, 2014. — 240 p. — ISBN 9780128008126.
  • Stewart, James Michael. CISSP® : Certified Information Systems Security Professional Study Guide : [англ.] / James Michael Stewart, Mike Chapple, Darril Gibson. — Seventh Edition. — Canada : John Wiley & Sons, Inc., 2015. — 1023 p. — ISBN 978-1-119-04271-6.
  • Moore, Robert. Cybercrime : Investigating High Technology Computer Crime : [англ.]. — 2nd ed. — Boston : Anderson Publ., 2011. — 318 p. — ISBN 9781437755824.
  • Phishing attacks and countermeasures / Ramzan, Zulfikar // Handbook of Information and Communication Security : [англ.] / Peter Stavroulakis, Mark Stamp. — London : Springer Science & Business Media, 2010. — 867 p. — ISBN 978-3-642-04117-4.
  • Johnson, John. The Evolution of British Sigint : 1653–1939 : [англ.]. — Her Majesty's Stationary Office, 1998. — 58 p.
  • Соболева, Т. А. Введение // История шифровального дела в России. — М. : ОЛМА-Пресс, 2002. — 510 с. — ISBN 5224036348.
  • Staff, Gary. Battle on the Seven Seas: German Cruiser Battles, 1914—1918. — Barnsley: Pen & Sword Books, 2011. — 224 p. — ISBN 978-1848841826.
  • Official Secrets Act (1889; New 1911; Amended 1920, 1939, 1989) // Spies, Wiretaps, and Secret Operations : An Encyclopedia of American Espionage / editor Hastedt, G. P.. — Santa Barbara, CA, USA : ABC-CLIO, LLC, 2011. — Vol. 2. — ISBN 978-1-85109-807-1.
  • Sebag–Montefiore, Hugh. Enigma : The Battle for the Code. — Orion, 2011. — 576 p. — ISBN 9781780221236.
  • Pipkin, Donald L. Information Security : Protecting the Global Enterprise : [англ.]. — New York : Prentice Hall PTR, 2000. — 364 p. — ISBN 9780130173232.
  • Official (ISC)²® Guide to the CISSP® CBK® : Fourth Edition : [англ.] / Adam Gordon, Editor. — Boca Raton, FL, USA : CRC Press, 2015. — 1278 p. — ISBN 978-1-4822-6275-9.
  • Parker, Donn B. Fighting Computer Crime : A New Framework for Protecting Information : [англ.]. — New York : John Wiley & Sons, 1998. — 528 p. — ISBN 0-471-16378-3.
  • Krutz, Ronald L. The CISM Prep Guide : Mastering the Five Domains of Information Security Management : [англ.] / Ronald L. Krutz, Russell Dean Vines. — New York : John Wiley & Sons, 2003. — 433 p. — ISBN 0-471-45598-9.
  • McCarthy, C. Digital Libraries : Security and Preservation Considerations // Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management : [англ.] / Bidgoli, H.. — John Wiley & Sons, 2006. — Vol. 3. — ISBN 9780470051214.
  • Schlienger, Thomas. Information security culture : From analysis to change : [англ.] / Thomas Schlienger, Stephanie Teufel // South African Computer Journal. — Pretoria, South Africa, 2003. — Vol. 31.
  • Samonas, S. The CIA Strikes Back : Redefining Confidentiality, Integrity and Availability in Security : [англ.] / Samonas, S., Coss, D. // Journal of Information System Security. — Washington DC, USA : Information Institute Publishing, 2014. — Vol. 10, no. 3.
  • Jacques, R. J. The True Costs of Paper-Based Business : [англ.] // Fulcrum Blog. — Spatial Networks, Inc, 2016. — 13 January. — Дата обращения: 27.06.2018.
  • Pettey, Christy. Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are Crucial to Measuring Success : [англ.]. — Gartner, Inc., 2017. — 2 October. — Дата обращения: 27.06.2018.
  • Forni, Amy Ann, van der Meulen, Rob. Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation : [англ.]. — Gartner, Inc., 2017. — 24 April. — Дата обращения: 27.06.2018.
  • 2017 Global Information Security Workforce Study : Benchmarking Workforce Capacity and Response to Cyber Risk — EMEA : [PDF] : [англ.] // (ISC)². — Frost & Sullivan, 2017. — Дата обращения: 27.06.2018.
  • Crime in the age of technology : Europol’s serious and organised crime threat assessment 2017 : [англ.] : press release. — Europol, 2017. — 9 March. — Дата обращения: 27.06.2018.
  • Olavsrud, Thor. 5 information security threats that will dominate 2018 : [англ.] // CIO.com. Дата обращения: 13 января 2019.. — IDG Communications, Inc., 2017. — 20 November. — Дата обращения: 27.06.2018.
  • Земская, Е. А. Особенности русской речи эмигрантов четвертой волны. — Грамота.ру, 2005. — 9 апреля. — Дата обращения: 27.06.2018.
  • Gordon, Lawrence. The Economics of Information Security Investment : [англ.] / Lawrence Gordon, Martin Loeb // ACM Transactions on Information and System Security. — 2002. — Vol. 5, no. 4 (November). — doi:10.1145/581271.581274.
  • Van der Merwe, Alta. Characteristics and Responsibilities involved in a Phishing Attack : [англ.] / Loock, Marianne, Dabrowski, Marek // WISICT '05 Proceedings of the 4th international symposium on Information and communication technologies. — Cape Town, South Africa, 2005. — 3 January. — P. 249—254. — ISBN 1-59593-169-4.
  • Hoofnagle, Chris Jay. Identity Theft : Making the Known Unknowns Known : [англ.] // Social Science Research Network. — Berkeley, CA, USA : University of California, 2007. — 13 March. — Дата обращения: 04.07.2018.
  • Armstrong, Drew. My Three Years in Identity Theft Hell : [арх. 19.09.2017] : [англ.]. — Bloomberg, 2017. — 17 September. — Дата обращения: 04.07.2018.
  • Gorodyansky, David. Internet privacy and security : A shared responsibility : [англ.] // wired.com. — 2013. — 10. — Дата обращения: 04.07.2018.
  • Information security is information risk management / Bob Blakley, Ellen McDermott, Dan Geer // Proceedings of the 2001 workshop on New security paradigms. — New York : ACM, 2001. — P. 97—104. — ISBN 1-58113-457-6.
  • Anderson, J. M. Why we need a new definition of information security // Computers & Security. — 2003. — Vol. 22, no. 4. — P. 308–313. — doi:10.1016/S0167-4048(03)00407-3.
  • Venter, H. S. A taxonomy for information security technologies / H. S. Venter, J. H. P. Eloff // Computers & Security. — 2003. — Vol. 22, no. 4. — P. 299–307. — doi:10.1016/S0167-4048(03)00406-1.
  • Chapter 24 : A History of Internet Security / De Nardis, L. // The History of Information Security : A Comprehensive Handbook / edited by de Leeuw, K. M. M. and Bergstra, J.. — Elsevier, 2007. — ISBN 9780080550589.
  • Cherdantseva, Y. Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals // Organizational, Legal, and Technological Dimensions of Information System Administrator / Y. Cherdantseva, J. Hilton. — IGI Global Publishing, 2013.
  • Saltzer, H. Saltzer. The Protection of Information in Computer Systems : [англ.] / H. Saltzer Saltzer, Michael D. Schroeder // Proceedings of the IEEE. — USA : IEEE, 1975. — Vol. 63, no. 09 (September). — P. 1278—1308. — ISSN 1558-2256.
  • Hughes, J. Quantitative Metrics and Risk Assessment : The Three Tenets Model of Cybersecurity : [англ.] / J. Hughes, G. Cybenko // Technology Innovation Management Review. — Ottawa, Canada : Talent First Network (Carleton University), 2013. — August. — P. 15—24. — ISSN 1927-0321.
  • McCullagh, Adrian. Non-Repudiation in the Digital Environment : [англ.] / Adrian McCullagh, William Caelli // Technology Innovation Management Review. — Chicago, USA : First Monday, 2000. — Vol. 8, no. 8 (August). — ISSN 1396-0466.
  • NIST Interagency or Internal Report 7298 : Glossary of Key Information Security Terms : [англ.] / Richard L. Kissel, editor, Computer Security Division, Information Technology Laboratory. — Revision 2. — Gaithersburg, MD, USA : National Institute of Standards and Technology, 2013. — 222 p.
  • NIST Special Publication 800-14 : Generally Accepted Principles and Practices for Securing Information Technology Systems : [англ.]. — Gaithersburg, MD, USA : National Institute of Standards and Technology, 1996. — 61 p.
  • NIST Special Publication 800-160 : Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems : [англ.]. — Gaithersburg, MD, USA : National Institute of Standards and Technology, 2016. — Vol. 1. — 260 p.
  • OECD Guidelines for the Security of Information Systems and Networks : Towards a Culture of Security : [англ.]. — Paris : OECD Publications, 2002. — 30 p.
  • Digital Security Risk Management for Economic and Social Prosperity : OECD Recommendation and Companion Document : [англ.]. — Paris : OECD Publishing, 2015. — 74 p.
  • Open Group Standard : Open Information Security Management Maturity Model (O-ISM3), Version 2.0 : [англ.]. — Reading, Berkshire, United Kingdom : The Open Group, 2017. — 130 p. — ISBN 1-937218-98-0.

Ссылки

  • Обзор. Средства защиты информации и бизнеса 2006. www.cnews.ru. Дата обращения: 13 января 2019. CNews
  • Словарь терминов по безопасности и криптографии. www.profinfo.ru. Дата обращения: 13 января 2019. Архивировано из оригинала 9 января 2006 года. Европейский институт стандартов по электросвязи
  • Доктрина информационной безопасности Российской Федерации. web.archive.org. Дата обращения: 13 января 2019.
  • Проект концепции совершенствования правового обеспечения информационной безопасности Российской Федерации. web.archive.org. Дата обращения: 13 января 2019.
  • Provos, Niels. Safe Browsing - Protecting Web Users for 5 Years and Counting : [англ.] // Google Security Blog. — 2012. — 19 June. — Дата обращения: 04.07.2018.
  • Dawes, Adam. Landing another blow against email phishing : [англ.] // Google Security Blog. — 2012. — 29 January. — Дата обращения: 04.07.2018.
  • Dubal, Uttam, Rigot, Stu. Synthetic ID Theft (недоступная ссылка) : [арх. 09.10.2015] : [англ.] // Cyber Space Times. — Дата обращения: 04.07.2018.
  • Identity Theft : [англ.] // Merriam-Webster.com. — Merriam-Webster. — Дата обращения: 04.07.2018.
  • Glossary : Information security : [англ.] // www.isaca.org. — [англ.]. — Дата обращения: 21.08.2018.
  • Slade, Rob. CIA TRIAD VERSUS PARKERIAN HEXAD : [англ.] // (ICS)2 Blog. — 2008. — 15 December. — Дата обращения: 07.09.2018.
  • The Three Tenets : [англ.] // Trusted End Node Security. — DOD. — Дата обращения: 08.09.2018.
  • Teplow, Lily. Are Your Clients Falling for These IT Security Myths? [CHART] : [англ.] // Continuum Blog. — Boston, MA, USA : Continuum Managed Services, 2016. — 18 November. — Дата обращения: 08.09.2018.

Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер, Информация о Защита информации, Что такое Защита информации? Что означает Защита информации?

U etogo termina sushestvuyut i drugie znacheniya sm Informacionnaya bezopasnost znacheniya V etoj state mozhet byt slishkom mnogo ssylok na drugie stati i vozmozhno ih kolichestvo nuzhno sokratit Pozhalujsta oformite eyo soglasno pravilam rasstanovki i oformleniya vnutrennih ssylok i udalite povtoryayushiesya ssylki i vse ssylki ne otnosyashiesya k kontekstu 24 maya 2024 Stil etoj stati neenciklopedichen ili narushaet normy literaturnogo russkogo yazyka Statyu sleduet ispravit soglasno stilisticheskim pravilam Vikipedii 19 dekabrya 2024 Informacionnaya bezopasnost angl Information Security a takzhe angl InfoSec teoriya i praktika predotvrasheniya nesankcionirovannogo dostupa ispolzovaniya raskrytiya iskazheniya modifikacii issledovaniya registracii ili unichtozheniya informacii kotoraya yavlyaetsya universalnoj koncepciej primenyaemoj nezavisimo ot formy kotoruyu mogut prinimat dannye elektronnaya ili naprimer fizicheskaya osnovnoj zadachej informacionnoj bezopasnosti yavlyaetsya sbalansirovannaya zashita konfidencialnosti celostnosti i dostupnost dannyh s uchyotom udobstva prilozheniya i bez kakogo libo usherba dlya proizvoditelnosti organizacii Plakat po informacionnoj bezopasnosti dlya Minoborony Rossii Informacionnaya bezopasnost dostigaetsya v osnovnom posredstvom mnogoetapnogo processa upravleniya riskami kotoryj pozvolyaet identificirovat osnovnye sredstva i nematerialnye aktivy istochniki ugroz uyazvimosti potencialnuyu stepen vozdejstviya i vozmozhnosti upravleniya riskami Etot process soprovozhdaetsya ocenkoj effektivnosti plana po upravleniyu riskami Dlya togo chtoby standartizovat etu deyatelnost nauchnoe i professionalnoe soobshestva nahodyatsya v postoyannom sotrudnichestve napravlennom na vyrabotku bazovoj metodologii politik i industrialnyh standartov v oblasti tehnicheskih mer zashity informacii yuridicheskoj otvetstvennosti a takzhe standartov obucheniya polzovatelej i administratorov Eta standartizaciya v znachitelnoj mere razvivaetsya pod vliyaniem shirokogo spektra zakonodatelnyh i normativnyh aktov kotorye reguliruyut sposoby dostupa obrabotki hraneniya i peredachi dannyh Odnako vnedrenie lyubyh standartov i metodologij v organizacii mozhet imet lish poverhnostnyj effekt esli kultura angl ne privita dolzhnym obrazom Obshie svedeniyaInformacionnaya bezopasnost osnovana na meropriyatiyah po zashite informacii kotorye obespechivayut ee konfidencialnost dostupnost i celostnost a takzhe predotvrashayut lyuboj kompromiss v kriticheskoj situacii K takim situaciyam otnosyatsya prirodnye tehnogennye i socialnye katastrofy kompyuternye sboi pohisheniya lyudej i podobnye yavleniya i hotya ofisnaya rabota bolshinstva organizacij v mire po prezhnemu osnovana na bumazhnyh dokumentah trebuyushih sootvetstvuyushih mer informacionnoj bezopasnosti kolichestvo mer po vnedreniyu cifrovyh tehnologij na predpriyatiyah neuklonno rastet chto podrazumevaet privlechenie specialistov po bezopasnosti informacionnyh tehnologij IT dlya zashity informacii Eti specialisty obespechivayut informacionnuyu bezopasnost tehnologii v bolshinstve sluchaev kakoj libo kompyuternoj sistemy V dannom kontekste kompyuter oznachaet ne tolko personalnyj domashnij kompyuter no i cifrovye ustrojstva lyuboj slozhnosti i naznacheniya ot primitivnyh i izolirovannyh takih kak elektronnye kalkulyatory i bytovaya tehnika do promyshlennyh sistem upravleniya i superkompyuterov soedinennyh kompyuternymi setyami Krupnejshie predpriyatiya i organizacii v silu zhiznennoj vazhnosti i cennosti informacii dlya svoego biznesa nanimayut kak pravilo v svoj shtat specialistov po informacionnoj bezopasnosti zadachej kotoryh yavlyaetsya zashita vseh tehnologij ot vredonosnyh kiberatak chasto napravlennyh na krazhu vazhnoj konfidencialnoj informacii ili poimku rukovodstva organizacii vnutrennie sistemy Informacionnaya bezopasnost kak sfera zanyatosti znachitelno razvilas i vyrosla v poslednie gody V nej vozniklo mnozhestvo professionalnyh specializacij naprimer takih kak bezopasnost setej i svyazannoj infrastruktury zashity programmnogo obespecheniya i baz dannyh audit informacionnyh sistem planirovanie nepreryvnosti biznesa vyyavlenie elektronnyh zapisej i angl forenzika Professionaly informacionnoj bezopasnosti imeyut vesma stabilnuyu zanyatost i vysokij spros na rynke truda Masshtabnye issledovaniya provedyonnye organizaciej ISC pokazali chto na 2017 god 66 rukovoditelej informacionnoj bezopasnosti priznali ostruyu nehvatku rabochej sily v svoih podrazdeleniyah a po prognozam k 2022 godu nedostatok specialistov v etoj oblasti sostavit po vsemu miru 1 800 000 chelovek Ugrozy i mery protivodejstviya Ugrozy informacionnoj bezopasnosti mogut prinimat vesma raznoobraznye formy Na 2018 god naibolee seryoznymi schitayutsya ugrozy svyazannye s angl Crime as a Service Internetom veshej cepyami postavok i uslozhneniem trebovanij regulyatorov Prestuplenie kak usluga predstavlyaet soboj model predostavleniya zrelymi prestupnymi soobshestvami paketov kriminalnyh uslug na darknet rynke po dostupnym cenam nachinayushim angl Eto pozvolyaet poslednim sovershat hakerskie ataki ranee nedostupnye iz za vysokoj tehnicheskoj slozhnosti ili dorogovizny delaya kiberprestupnost massovym yavleniem Organizacii aktivno vnedryayut Internet veshej ustrojstva kotorogo zachastuyu sproektirovany bez uchyota trebovanij bezopasnosti chto otkryvaet dopolnitelnye vozmozhnosti dlya ataki K tomu zhe bystroe razvitie i uslozhnenie Interneta veshej snizhaet ego prozrachnost chto v sochetanii s nechyotko opredelyonnymi pravovymi normami i usloviyami pozvolyaet organizaciyam ispolzovat sobrannye ustrojstvami personalnye dannye svoih klientov po sobstvennomu usmotreniyu bez ih vedoma Krome togo dlya samih organizacij problematichno otslezhivat kakie iz sobrannyh ustrojstvami Interneta veshej dannyh peredayutsya vovne Ugroza cepej postavok sostoit v tom chto organizacii kak pravilo peredayut svoim postavshikam raznoobraznuyu cennuyu i konfidencialnuyu informaciyu v rezultate chego teryayut neposredstvennyj kontrol nad nej Takim obrazom znachitelno vozrastaet risk narusheniya konfidencialnosti celostnosti ili dostupnosti etoj informacii Vsyo novye i novye trebovaniya regulyatorov znachitelno oslozhnyayut upravlenie zhiznenno vazhnymi informacionnymi aktivami organizacij Naprimer vvedyonnyj v dejstvie v 2018 godu v Evrosoyuze Obshij reglament zashity personalnyh dannyh angl General Data Protection Regulation GDPR trebuet ot lyuboj organizacii v lyuboj moment vremeni na lyubom uchastke sobstvennoj deyatelnosti ili cepi postavok prodemonstrirovat kakie personalnye dannye i dlya kakih celej imeyutsya tam v nalichii kak oni obrabatyvayutsya hranyatsya i zashishayutsya Prichyom eta informaciya dolzhna byt predostavlena ne tolko v hode proverok upolnomochennymi organami no i po pervomu trebovaniyu chastnogo lica vladelca etih dannyh Soblyudenie takogo komplaensa trebuet otvlecheniya znachitelnyh byudzhetnyh sredstv i resursov ot drugih zadach informacionnoj bezopasnosti organizacii I hotya uporyadochenie obrabotki personalnyh dannyh predpolagaet v dolgosrochnoj perspektive uluchshenie informacionnoj bezopasnosti v kratkosrochnom plane riski organizacii zametno vozrastayut Bolshinstvo lyudej ispytyvayut na sebe vozdejstvie ugroz informacionnoj bezopasnosti Naprimer stanovyatsya zhertvami vredonosnyh programm virusov i chervej troyanskih programm programm vymogatelej fishinga ili krazhi lichnosti Fishing angl Phishing predstavlyaet soboj moshennicheskuyu popytku zavladeniya konfidencialnoj informaciej naprimer uchyotnoj zapisyu parolem ili dannymi kreditnoj karty Obychno polzovatelya Interneta starayutsya zamanit na moshennicheskij veb sajt neotlichimyj ot originalnogo sajta kakoj libo organizacii banka internet magazina socialnoj seti i t p Kak pravilo takie popytki sovershayutsya s pomoshyu massovyh rassylok poddelnyh elektronnyh pisem yakoby ot imeni samoj organizacii soderzhashih ssylki na moshennicheskie sajty Otkryv takuyu ssylku v brauzere nichego ne podozrevayushij polzovatel vvodit svoi uchyotnye dannye kotorye stanovyatsya dostoyaniem moshennikov Termin Identity Theft s angl krazha lichnosti poyavilsya v anglijskom yazyke v 1964 godu dlya oboznacheniya dejstvij v kotoryh chi libo personalnye dannye naprimer imya uchyotnaya zapis v bankovskoj sisteme ili nomer kreditnoj karty chasto dobytye s pomoshyu fishinga ispolzuyutsya dlya moshennichestva i soversheniya inyh prestuplenij Tot ot chego imeni prestupniki poluchayut nezakonnye finansovye preimushestva kredity ili sovershayut inye prestupleniya zachastuyu sam stanovitsya obvinyaemym chto mozhet imet dlya nego daleko idushie tyazhyolye finansovye i yuridicheskie posledstviya Informacionnaya bezopasnost okazyvaet neposredstvennoe vliyanie na neprikosnovennost chastnoj zhizni opredelenie kotoroj v razlichnyh kulturah mozhet vesma raznitsya Eksperty otmechayut chto huzhe vsego zashisheny ot kiberatak gosorgany Organy gosudarstvennoj vlasti vooruzhyonnye sily korporacii finansovye instituty medicinskie uchrezhdeniya i chastnye predprinimateli postoyanno nakaplivayut znachitelnye obyomy konfidencialnoj informacii o svoih sotrudnikah klientah produktah nauchnyh issledovaniyah i finansovyh rezultatah Popadanie takoj informacii v ruki konkurentov ili kiberprestupnikov mozhet povlech dlya organizacii i eyo klientov daleko idushie yuridicheskie posledstviya nevospolnimye finansovye i reputacionnye poteri S tochki zreniya biznesa informacionnaya bezopasnost dolzhna byt sbalansirovana otnositelno zatrat ekonomicheskaya angl opisyvaet matematicheskij apparat dlya resheniya etoj zadachi Osnovnymi sposobami protivodejstviya ugrozam informacionnoj bezopasnosti ili informacionnym riskam yavlyayutsya snizhenie vnedrenie mer bezopasnosti i protivodejstviya dlya ustraneniya uyazvimostej i predotvrasheniya ugroz peredacha perenos zatrat svyazannyh s realizaciej ugroz na tretih lic strahovye ili autsorsingovye kompanii prinyatie formirovanie finansovyh rezervov v sluchae esli stoimost realizacii mer bezopasnosti prevyshaet potencialnyj usherb ot realizacii ugrozy otkaz otkaz ot chrezmerno riskovoj deyatelnosti IstoriyaS poyavleniem samyh rannih sredstv svyazi diplomaty i voennye deyateli osoznali neobhodimost razrabotki mehanizmov zashity konfidencialnoj korrespondencii i angl Naprimer Yuliyu Cezaryu pripisyvayut izobretenie okolo 50 goda do n e shifra Cezarya kotoryj byl prednaznachen dlya predotvrasheniya chteniya ego sekretnyh soobshenij temi komu oni ne byli prednaznacheny Hotya po bolshej chasti zashita obespechivalas kontrolem za samoj proceduroj obrasheniya s sekretnoj korrespondenciej Konfidencialnye soobsheniya pomechalis s tem chtoby ih zashishali i peredavali tolko s doverennymi licami pod ohranoj hranili v zashishyonnyh pomesheniyah ili prochnyh shkatulkah C razvitiem pochty stali voznikat pravitelstvennye organizacii dlya perehvata rasshifrovki chteniya i povtornogo zapechatyvaniya pisem Tak v Anglii dlya etih celej v 1653 godu poyavilas Tajnaya kancelyariya angl Secret Office V Rossii perlyustraciya osushestvlyalas po krajnej mere so vremen Petra I s 1690 goda v Smolenske vskryvalis vse pisma idushie za granicu Sistemnyj harakter praktika tajnogo kopirovaniya korrespondencii pochti vseh inostrannyh diplomatov tak chtoby u adresata ne vozniklo nikakih podozrenij priobrela v seredine XVIII veka poyavilis tak nazyvaemye chyornye kabinety Posle vskrytiya trebovalos provesti kriptoanaliz soobsheniya dlya chego k deyatelnosti chyornyh kabinetov privlekali izvestnyh matematikov svoego vremeni Naibolee vydayushihsya rezultatov dobilsya Hristian Goldbah sumevshij za polgoda raboty deshifrovat 61 pismo prusskih i francuzskih ministrov V otdelnyh sluchayah posle uspeshnogo deshifrovaniya pisma osushestvlyalas podmena ego soderzhimogo nekotoroe podobie ataki chelovek poseredine V nachale XIX veka v Rossii s prihodom k vlasti Aleksandra I vsya kriptograficheskaya deyatelnost perehodit v vedenie Kancelyarii ministerstva inostrannyh del S 1803 goda na sluzhbe etogo vedomstva nahodilsya vydayushijsya rossijskij uchenyj Pavel Lvovich Shilling Odnim iz naibolee znachimyh dostizhenij Kancelyarii stalo deshifrovanie prikazov i perepiski Napoleona I vo vremya Otechestvennoj vojny 1812 goda V seredine XIX veka poyavilis bolee slozhnye sistemy klassifikacii sekretnoj informacii pozvolyayushie pravitelstvam upravlyat informaciej v zavisimosti ot stepeni eyo konfidencialnosti Naprimer britanskoe pravitelstvo do nekotoroj stepeni uzakonilo v 1889 godu takuyu klassifikaciyu publikaciej angl Vo vremya Pervoj mirovoj vojny mnogourovnevye sistemy klassifikacii i shifrovaniya ispolzovalis dlya peredachi informacii vsemi voyuyushimi storonami chto sposobstvovalo poyavleniyu i intensivnomu ispolzovaniyu podrazdelenij shifrovaniya i kriptoanaliza Tak k koncu 1914 goda byla sformirovana odna iz sekcij Britanskogo Admiraltejstva komnata 40 kotoraya stala vedushim kriptograficheskim organom Velikobritanii 26 avgusta 1914 goda lyogkij nemeckij krejser Magdeburg sel na kamni u ostrova Odensholm v uste Finskogo zaliva prinadlezhavshego togda Rossijskoj Imperii Nemcy unichtozhili vse dokumenty i vzorvali korabl no russkie vodolazy obsledovav dno obnaruzhili dva ekzemplyara signalnoj knigi odin iz kotoryh byl peredan britancam Poluchiv vskore knigi kodov dlya vspomogatelnyh sudov a takzhe po kommunikacii mezhdu korablyami vneshnih morej i soprovozhdayushimi ih sudami protivnika britancy sumeli rasshifrovat germanskie voenno morskie kody Vzlom koda pozvolil chitat perehvachennye radiogrammy protivnika S konca noyabrya 1914 goda komnata 40 nachala regulyarnuyu deshifrovku radiogramm germanskogo flota kotorymi peredavalis prakticheski vse prikazy i rasporyazheniya Vpervye dannye rasshifrovki popytalis ispolzovat vo vremya vylazki germanskogo flota k britanskim beregam 16 dekabrya 1914 goda V mezhvoennyj period sistemy shifrovaniya vsyo bolee uslozhnyalis tak chto dlya zashifrovyvaniya i rasshifrovyvaniya sekretnyh soobshenij stali ispolzovat specialnye mashiny iz kotoryh naibolee izvestnoj yavlyaetsya Enigma sozdannaya nemeckimi inzhenerami v 1920 h godah Uzhe v 1932 godu Byuro shifrov polskoj razvedki udalos vzlomat shifr Enigmy metodom obratnoj razrabotki Obyom informacii kotoroj obmenivalis strany antigitlerovskoj koalicii v hode Vtoroj mirovoj vojny potreboval formalnogo soglasovaniya nacionalnyh sistem klassifikacii i procedur kontrolya i upravleniya Sformirovalsya dostupnyj lish posvyashyonnym nabor grifov sekretnosti opredelyayushih kto mozhet obrashatsya s dokumentami kak pravilo oficery nezheli ryadovye i gde ih sleduet hranit s uchyotom poyavleniya vsyo bolee slozhnyh sejfov i hranilish Voyuyushimi storonami byli razrabotany procedury garantirovannogo unichtozheniya sekretnyh dokumentov Nekotorye iz narushenij takih procedur priveli k samym znachitelnym dostizheniyam razvedki za vsyu vojnu Naprimer ekipazh nemeckoj podvodnoj lodki angl ne sumel dolzhnym obrazom unichtozhit mnozhestvo sekretnyh dokumentov kotorye dostalis zahvativshim eyo britancam Yarkim primerom primeneniya sredstv informacionnoj bezopasnosti yavlyaetsya upomyanutaya vyshe Enigma uslozhnyonnaya versiya kotoroj poyavilas v 1938 godu i shiroko ispolzovalas vermahtom i drugimi sluzhbami nacistskoj Germanii V Velikobritanii kriptoanalizom soobshenij protivnika zashifrovannyh s pomoshyu Enigmy uspeshno zanimalas gruppa pod rukovodstvom Alana Tyuringa Razrabotannaya imi deshifrovalnaya mashina Turing Bombe s angl bomba Tyuringa okazala znachitelnuyu pomosh antigitlerovskoj koalicii a inogda ej pripisyvaetsya reshayushaya rol v pobede soyuznikov V SShA dlya shifrovaniya radioperegovorov na Tihookeanskom teatre voennyh dejstvij nabirali svyazistov iz indejskogo plemeni Navaho yazyk kotorogo za predelami SShA nikto ne znal Yaponcam tak i ne udalos podobrat klyuch k etomu ekzoticheskomu metodu zashity informacii V SSSR s 1930 h godov dlya zashity telefonnyh peregovorov vysshih organov upravleniya stranoj ot proslushivaniya v tom chisle Stavki Verhovnogo Glavnokomandovaniya ispolzovalas tak nazyvaemaya VCh svyaz osnovannaya na golosovoj modulyacii vysokochastotnyh signalov i posleduyushego ih skremblirovaniya Odnako otsutstvie kriptograficheskoj zashity pozvolyalo ispolzuya spektrometr vosstanavlivat soobsheniya v perehvachennom signale Vtoraya polovina XX i nachalo XXI stoletiya oznamenovalis stremitelnym razvitiem telekommunikacij apparatnogo i programmnogo obespecheniya kompyuterov i shifrovaniya dannyh Poyavlenie kompaktnogo moshnogo i nedorogogo kompyuternogo oborudovaniya sdelalo elektronnuyu obrabotku dannyh dostupnoj malomu biznesu i domashnim polzovatelyam Ochen bystro kompyutery byli obedineny Internetom chto privelo k vzryvnomu rostu elektronnogo biznesa Vsyo eto v sochetanii s poyavleniem kiberprestupnosti i mnozhestvom sluchaev mezhdunarodnogo terrorizma vyzvalo potrebnost v luchshih metodah zashity kompyuterov i informacii kotoruyu oni hranyat obrabatyvayut i peredayut Voznikli nauchnye discipliny takie kak Kompyuternaya bezopasnost i angl i mnozhestvo professionalnyh organizacij presleduyushih obshie celi obespecheniya bezopasnosti i nadyozhnosti informacionnyh sistem Osnovnye opredeleniyaZashishaemaya informaciya informaciya podlezhashaya zashite v sootvetstvii s trebovaniyami normativnyh pravovyh aktov ili trebovaniyami ustanavlivaemymi obladatelem informacii Obladatel informacii lico samostoyatelno sozdavshee informaciyu libo poluchivshee na osnovanii zakona ili dogovora pravo razreshat ili ogranichivat dostup k informacii opredelyaemoj po kakim libo priznakam Obladatelyami informacii mogut byt gosudarstvo yuridicheskoe lico gruppa fizicheskih lic otdelnoe fizicheskoe lico Bezopasnost informacii takoe sostoyanie zashishennosti informacii pri kotorom obespecheny eyo konfidencialnost celostnost i dostupnost Organizaciya zashity informacii sovokupnost dejstvij napravlennyh na vyyavlenie ugroz bezopasnosti informacii planirovanie realizaciyu meropriyatij po zashite informacii i kontrol sostoyaniya zashity informacii Sistema zashity informacii sovokupnost organov i ili ispolnitelej ispolzuemoj imi tehniki zashity informacii a takzhe obektov zashity informacii organizovannaya i funkcioniruyushaya v sootvetstvii s trebovaniyami o zashite informacii Politika bezopasnosti informacii v organizacii sovokupnost dokumentirovannyh pravil procedur prakticheskih priyomov ili rukovodyashih principov v oblasti bezopasnosti informacii kotorymi rukovodstvuetsya organizaciya v svoej deyatelnosti Informacionnaya bezopasnost v razlichnyh istochnikah Nizhe privedeny opredeleniya termina informacionnaya bezopasnost iz razlichnyh istochnikov Sohranenie konfidencialnosti celostnosti i dostupnosti informacii Primechanie takzhe syuda mogut byt vklyucheny drugie svojstva takie kak podlinnost podotchetnost neotkazuemost angl non repudiation i dostovernost Zashita informacii i informacionnyh sistem ot neavtorizovannogo dostupa ispolzovaniya raskrytiya iskazheniya izmeneniya ili unichtozheniya v celyah obespecheniya konfidencialnosti celostnosti i dostupnosti Obespechenie zashity informacii na predpriyatii ot raskrytiya neavtorizovannym polzovatelyam konfidencialnost protivopravnogo izmeneniya celostnost i nedostupnosti kogda ona neobhodima dostupnost Multidisciplinarnaya oblast issledovanij i professionalnoj deyatelnosti kotoraya sosredotochena na razvitii i vnedrenii vsevozmozhnyh mehanizmov bezopasnosti tehnicheskih organizacionnyh chelovekoorientirovannyh yuridicheskih s celyu predohraneniya informacii ot ugroz povsyudu gde by ona ni nahodilas kak vnutri perimetra organizacii tak i za ego predelami i sootvetstvenno informacionnyh sistem v kotoryh informaciya sozdayotsya obrabatyvaetsya hranitsya peredayotsya i unichtozhaetsya Perechen celej bezopasnosti mozhet vklyuchat konfidencialnost celostnost dostupnost neprikosnovennost chastnoj zhizni podlinnost i dostovernost neotkazuemost podotchetnost i proveryaemost Klyuchevye principyTriada CIA V 1975 godu angl i Majkl Shryoder v state Zashita informacii v kompyuternyh sistemah vpervye predlozhili razdelit narusheniya bezopasnosti na tri osnovnyh kategorii neavtorizovannoe raskrytie informacii angl unauthorized information release neavtorizovannoe izmenenie informacii angl Unauthorized information modification i neavtorizovannyj otkaz v dostupe angl Unauthorized denial of use k informacii Pozdnee eti kategorii poluchili kratkie naimenovaniya i standartizirovannye opredeleniya Confidentiality s angl konfidencialnost svojstvo informacii byt nedostupnoj ili zakrytoj dlya neavtorizovannyh lic sushnostej ili processov Integrity s angl celostnost svojstvo sohraneniya pravilnosti i polnoty aktivov Availability s angl dostupnost svojstvo informacii byt dostupnoj i gotovoj k ispolzovaniyu po zaprosu avtorizovannogo subekta imeyushego na eto pravo V sovokupnosti eti tri klyuchevyh principa informacionnoj bezopasnosti imenuyutsya triadoj CIA V 1992 godu OESR opublikovala svoyu sobstvennuyu model informacionnoj bezopasnosti sostoyashuyu iz devyati principov osvedomlyonnost otvetstvennost protivodejstvie etika demokratiya ocenka riska razrabotka i vnedrenie bezopasnosti upravlenie bezopasnostyu peresmotr V 1996 godu na osnove publikacii OESR 1992 goda amerikanskij Nacionalnyj institut standartov i tehnologij NIST sformuliroval vosem osnovnyh principov kotorye glasyat chto kompyuternaya bezopasnost podderzhivaet missiyu organizacii yavlyaetsya neotemlemoj sostavlyayushej racionalnogo menedzhmenta dolzhna byt ekonomicheski effektivnoj trebuet vseobemlyushego i kompleksnogo podhoda ogranichivaetsya socialnymi faktorami dolzhna periodicheski podvergatsya peresmotru obyazannosti i otvetstvennost za kompyuternuyu bezopasnost dolzhny byt chyotko sformulirovany a vladelcy sistem nesut otvetstvennost za bezopasnost za predelami svoej organizacii Na osnove etoj modeli v 2004 godu NIST opublikoval 33 principa inzhenernogo proektirovaniya sistem informacionnoj bezopasnosti dlya kazhdogo iz kotoryh byli razrabotany prakticheskie rukovodstva i rekomendacii kotorye po sej den postoyanno razvivayutsya i podderzhivayutsya v aktualnom sostoyanii V 1998 godu angl dopolnil klassicheskuyu triadu CIA eshyo tremya aspektami vladenie ili kontrol angl Possession or Control autentichnost angl Authenticity i poleznost angl Utility Dostoinstva etoj modeli poluchivshej nazvanie angl ot hexad s angl gruppa iz shesti predmetov yavlyayutsya predmetom diskussij sredi specialistov po informacionnoj bezopasnosti V 2009 godu ministerstvo oborony SShA opublikovalo Tri osnovopolagayushih principa kompyuternoj bezopasnosti podverzhennost sistemy risku angl System Susceptibility dostupnost uyazvimosti angl Access to the Flaw i sposobnost ekspluatirovat uyazvimost angl Capability to Exploit the Flaw V 2011 godu mezhdunarodnyj konsorcium The Open Group opublikoval standart upravleniya informacionnoj bezopasnostyu angl v kotorom otkazalsya ot konceptualnogo opredeleniya komponentov klassicheskoj triady CIA v polzu ih operacionalnogo opredeleniya Soglasno O ISM3 dlya kazhdoj organizacii mozhno identificirovat individualnyj nabor celej bezopasnosti otnosyashihsya k odnoj iz pyati kategorij kotorye sootvetstvuyut tomu ili inomu komponentu triady prioritetnye celi bezopasnosti konfidencialnost dolgosrochnye celi bezopasnosti celostnost celi kachestva informacii celostnost celi kontrolya dostupa dostupnost i tehnicheskie celi bezopasnosti Iz vseh upomyanutyh vyshe modelej informacionnoj bezopasnosti klassicheskaya triada CIA po prezhnemu ostayotsya naibolee priznannoj i rasprostranyonnoj v mezhdunarodnom professionalnom soobshestve Ona zafiksirovana v nacionalnyh i mezhdunarodnyh standartah i voshla v osnovnye obrazovatelnye i sertifikacionnye programmy po informacionnoj bezopasnosti takie kak CISSP i angl Nekotorye rossijskie avtory ispolzuyut kalku s nego triada KCD V literature vse eyo tri sostavlyayushih konfidencialnost celostnost i dostupnost sinonimicheski upominayutsya kak principy atributy bezopasnosti svojstva fundamentalnye aspekty informacionnye kriterii vazhnejshie harakteristiki ili bazovye strukturnye elementy Mezhdu tem v professionalnom soobshestve ne prekrashayutsya debaty o sootvetstvii triady CIA stremitelno razvivayushimsya tehnologiyam i trebovaniyam biznesa V rezultate etih diskussij poyavlyayutsya rekomendacii o neobhodimosti ustanovki vzaimosvyazi mezhdu bezopasnostyu i neprikosnovennostyu chastnoj zhizni a takzhe utverzhdeniya dopolnitelnyh principov Nekotorye iz nih uzhe vklyucheny v standarty Mezhdunarodnoj organizacii po standartizacii ISO podlinnost angl authenticity svojstvo garantiruyushee chto subekt ili resurs identichny zayavlennomu angl angl accountability otvetstvennost subekta za ego dejstviya i resheniya angl angl non repudiation sposobnost udostoveryat imevshee mesto sobytie ili dejstvie i ih subekty tak chtoby eto sobytie ili dejstvie i subekty imeyushie k nemu otnoshenie ne mogli byt postavleny pod somnenie dostovernost angl reliability svojstvo sootvetstviya predusmotrennomu povedeniyu i rezultatam Konfidencialnost Osnovnaya statya Konfidencialnost Konfidencialnost informacii dostigaetsya predostavleniem k nej dostupa c naimenshimi privilegiyami ishodya iz angl angl need to know Inymi slovami avtorizovannoe lico dolzhno imet dostup tolko k toj informacii kotoraya emu neobhodima dlya ispolneniya svoih dolzhnostnyh obyazannostej Upomyanutye vyshe prestupleniya protiv neprikosnovennosti chastnoj zhizni takie kak krazha lichnosti yavlyayutsya narusheniyami konfidencialnosti Odnoj iz vazhnejshih mer obespecheniya konfidencialnosti yavlyaetsya klassifikaciya informacii kotoraya pozvolyaet otnesti eyo k strogo konfidencialnoj ili prednaznachennoj dlya publichnogo libo vnutrennego polzovaniya Shifrovanie informacii harakternyj primer odnogo iz sredstv obespecheniya konfidencialnosti Celostnost Osnovnaya statya Celostnost informacii Chyotkoe osushestvlenie operacij ili prinyatie vernyh reshenij v organizacii vozmozhno lish na osnove dostovernyh dannyh hranyashihsya v fajlah bazah dannyh ili sistemah libo transliruemyh po kompyuternym setyam Inymi slovami informaciya dolzhna byt zashishena ot namerennogo nesankcionirovannogo ili sluchajnogo izmeneniya po sravneniyu s ishodnym sostoyaniem a takzhe ot kakih libo iskazhenij v processe hraneniya peredachi ili obrabotki Odnako eyo celostnosti ugrozhayut kompyuternye virusy i logicheskie bomby oshibki programmirovaniya i vredonosnye izmeneniya programmnogo koda podmena dannyh neavtorizovannyj dostup bekdory i tomu podobnoe Pomimo prednamerennyh dejstvij vo mnogih sluchayah neavtorizovannye izmeneniya vazhnoj informacii voznikayut v rezultate tehnicheskih sboev ili chelovecheskih oshibok po oploshnosti ili iz za nedostatochnoj professionalnoj podgotovki Naprimer k narusheniyu celostnosti vedut sluchajnoe udalenie fajlov vvod oshibochnyh znachenij izmenenie nastroek vypolnenie nekorrektnyh komand prichyom kak ryadovymi polzovatelyami tak i sistemnymi administratorami Dlya zashity celostnosti informacii neobhodimo primenenie mnozhestva raznoobraznyh mer kontrolya i upravleniya izmeneniyami informacii i obrabatyvayushih eyo sistem Tipichnym primerom takih mer yavlyaetsya ogranichenie kruga lic s pravami na izmeneniya lish temi komu takoj dostup neobhodim dlya vypolneniya sluzhebnyh obyazannostej Pri etom sleduet soblyudat princip angl soglasno kotoromu izmeneniya v dannye ili informacionnuyu sistemu vnosit odno lico a podtverzhdaet ih ili otklonyaet drugoe Krome togo lyubye izmeneniya v hode zhiznennogo cikla informacionnyh sistemy dolzhny byt soglasovanny protestirovany na predmet obespecheniya informacionnoj celostnosti i vneseny v sistemu tolko korrektno sformirovannymi tranzakciyami Obnovleniya programmnogo obespecheniya neobhodimo proizvodit s soblyudeniem mer bezopasnosti Lyubye dejstviya vlekushie izmeneniya dolzhny byt obyazatelno protokolirovany Dostupnost Osnovnaya statya Dostupnost informacii Soglasno etomu principu informaciya dolzhna byt dostupna avtorizovannym licam kogda eto neobhodimo Osnovnymi faktorami vliyayushimi na dostupnost informacionnyh sistem yavlyayutsya DoS ataki abbreviatura ot Denial of Service s angl otkaz v obsluzhivanii ataki programm vymogatelej sabotazh Krome togo istochnikom ugroz dostupnosti yavlyayutsya neprednamerennye chelovecheskie oshibki po oploshnosti ili iz za nedostatochnoj professionalnoj podgotovki sluchajnoe udalenie fajlov ili zapisej v bazah dannyh oshibochnye nastrojki sistem otkaz v obsluzhivanii v rezultate prevysheniya dopustimoj moshnosti ili nedostatka resursov oborudovaniya libo avarij setej svyazi neudachno provedyonnoe obnovlenie apparatnogo ili programmnogo obespecheniya otklyuchenie sistem iz za avarij energosnabzheniya Sushestvennuyu rol v narushenii dostupnosti igrayut takzhe prirodnye katastrofy zemletryaseniya smerchi uragany pozhary navodneniya i tomu podobnye yavleniya Vo vseh sluchayah konechnyj polzovatel teryaet dostup k informacii neobhodimoj dlya ego deyatelnosti voznikaet vynuzhdennyj prostoj Kritichnost sistemy dlya polzovatelya i eyo vazhnost dlya vyzhivaniya organizacii v celom opredelyayut stepen vozdejstviya vremeni prostoya Nedostatochnye mery bezopasnosti uvelichivayut risk porazheniya vredonosnymi programmami unichtozheniya dannyh proniknoveniya izvne ili DoS atak Podobnye incidenty mogut sdelat sistemy nedostupnymi dlya obychnyh polzovatelej Nevozmozhnost otkaza Termin nevozmozhnost otkaza angl Non Repudiation inogda upotreblyaetsya slitno Nonrepudiation vpervye poyavilsya v 1988 godu v mezhdunarodnom standarte Bezopasnost vzaimosvyazi otkrytyh sistem ISO 7498 2 Obychno ponimaetsya kak protivopolozhnyj po smyslu terminu anglo saksonskogo prava Repudiation s angl otkaz otricanie imeyushego dva osnovnyh tolkovaniya S odnoj storony on oznachaet fundamentalnoe pravo storony otkazatsya ot ispolneniya obyazatelstv po sdelke na zakonnyh osnovaniyah esli naprimer podpis na bumazhnom dokumente byla poddelana libo originalnaya podpis byla poluchennaya nezakonnym putyom v rezultate moshennichestva Pri etom bremya dokazatelstva podlinnosti podpisi lezhit na toj storone kotoraya na neyo polagaetsya Drugaya interpretaciya nepravomernyj otkaz ot obyazatelstv V kontekste kompyuternoj bezopasnosti eto mozhet byt naprimer otricanie odnoj iz storon fakta otpravki priyoma avtorstva libo soderzhaniya elektronnogo soobsheniya V kontekste informacionnoj bezopasnosti nevozmozhnost otkaza ponimaetsya kak podtverzhdenie celostnosti i originalnogo proishozhdeniya dannyh isklyuchayushee vozmozhnost poddelki kotoroe mozhet byt v lyuboj moment provereno storonnimi licami libo kak ustanovlenie identichnosti lichnosti dokumenta obekta kotoroe s vysokoj stepenyu dostovernosti mozhet schitatsya podlinnym i ne mozhet byt oprovergnuto Organizacionno tehnicheskie i rezhimnye mery i metodyDlya opisaniya tehnologii zashity informacii konkretnoj informacionnoj sistemy obychno stroitsya tak nazyvaemaya Politika informacionnoj bezopasnosti ili Politika bezopasnosti rassmatrivaemoj informacionnoj sistemy Politika bezopasnosti informacii v organizacii angl Organizational security policy sovokupnost dokumentirovannyh pravil procedur prakticheskih priyomov ili rukovodyashih principov v oblasti bezopasnosti informacii kotorymi rukovodstvuetsya organizaciya v svoej deyatelnosti Politika bezopasnosti informacionno telekommunikacionnyh tehnologij angl IST security policy pravila direktivy slozhivshayasya praktika kotorye opredelyayut kak v predelah organizacii i eyo informacionno telekommunikacionnyh tehnologij upravlyat zashishat i raspredelyat aktivy v tom chisle kritichnuyu informaciyu Dlya postroeniya Politiki informacionnoj bezopasnosti rekomenduetsya otdelno rassmatrivat sleduyushie napravleniya zashity informacionnoj sistemy Zashita obektov informacionnoj sistemy Zashita processov procedur i programm obrabotki informacii Zashita kanalov svyazi akusticheskie infrakrasnye provodnye radiokanaly i dr vklyuchaya zashitu informacii v lokalnyh setyah Podavlenie pobochnyh elektromagnitnyh izluchenij Upravlenie sistemoj zashity Pri etom po kazhdomu iz perechislennyh vyshe napravlenij Politika informacionnoj bezopasnosti dolzhna opisyvat sleduyushie etapy sozdaniya sredstv zashity informacii Opredelenie informacionnyh i tehnicheskih resursov podlezhashih zashite Vyyavlenie polnogo mnozhestva potencialno vozmozhnyh ugroz i kanalov utechki informacii Provedenie ocenki uyazvimosti i riskov informacii pri imeyushemsya mnozhestve ugroz i kanalov utechki Opredelenie trebovanij k sisteme zashity Osushestvlenie vybora sredstv zashity informacii i ih harakteristik Vnedrenie i organizaciya ispolzovaniya vybrannyh mer sposobov i sredstv zashity Osushestvlenie kontrolya celostnosti i upravlenie sistemoj zashity Politika informacionnoj bezopasnosti oformlyaetsya v vide dokumentirovannyh trebovanij na informacionnuyu sistemu Dokumenty obychno razdelyayut po urovnyam opisaniya detalizacii processa zashity Dokumenty verhnego urovnya Politiki informacionnoj bezopasnosti otrazhayut poziciyu organizacii k deyatelnosti v oblasti zashity informacii eyo stremlenie sootvetstvovat gosudarstvennym mezhdunarodnym trebovaniyam i standartam v etoj oblasti Podobnye dokumenty mogut nazyvatsya Koncepciya IB Reglament upravleniya IB Politika IB Tehnicheskij standart IB i t p Oblast rasprostraneniya dokumentov verhnego urovnya obychno ne ogranichivaetsya odnako dannye dokumenty mogut vypuskatsya i v dvuh redakciyah dlya vneshnego i vnutrennego ispolzovaniya Soglasno GOST R ISO MEK 17799 2005 na verhnem urovne Politiki informacionnoj bezopasnosti dolzhny byt oformleny sleduyushie dokumenty Koncepciya obespecheniya IB Pravila dopustimogo ispolzovaniya resursov informacionnoj sistemy Plan obespecheniya nepreryvnosti biznesa K srednemu urovnyu otnosyat dokumenty kasayushiesya otdelnyh aspektov informacionnoj bezopasnosti Eto trebovaniya na sozdanie i ekspluataciyu sredstv zashity informacii organizaciyu informacionnyh i biznes processov organizacii po konkretnomu napravleniyu zashity informacii Naprimer Bezopasnosti dannyh Bezopasnosti kommunikacij Ispolzovaniya sredstv kriptograficheskoj zashity Kontentnaya filtraciya i t p Podobnye dokumenty obychno izdayutsya v vide vnutrennih tehnicheskih i organizacionnyh politik standartov organizacii Vse dokumenty srednego urovnya politiki informacionnoj bezopasnosti konfidencialny V politiku informacionnoj bezopasnosti nizhnego urovnya vhodyat reglamenty rabot rukovodstva po administrirovaniyu instrukcii po ekspluatacii otdelnyh servisov informacionnoj bezopasnosti Programmno apparatnye sredstva sistemy obespecheniya informacionnoj bezopasnostiV literature predlagaetsya sleduyushaya klassifikaciya sredstv zashity informacii Sredstva zashity ot nesankcionirovannogo dostupa Sredstva avtorizacii Mandatnoe upravlenie dostupom Izbiratelnoe upravlenie dostupom Upravlenie dostupom na osnove rolej Zhurnalirovanie takzhe nazyvaetsya Audit Sistemy analiza i modelirovaniya informacionnyh potokov CASE sistemy Sistemy monitoringa setej Sistemy obnaruzheniya i predotvrasheniya vtorzhenij IDS IPS Sistemy predotvrasheniya utechek konfidencialnoj informacii DLP sistemy Analizatory protokolov Antivirusnye sredstva Mezhsetevye ekrany Kriptograficheskie sredstva Shifrovanie Cifrovaya podpis Sistemy rezervnogo kopirovaniya Sistemy besperebojnogo pitaniya Istochniki besperebojnogo pitaniya Rezervirovanie nagruzki Generatory napryazheniya Sistemy autentifikacii Parol Klyuch dostupa fizicheskij ili elektronnyj Sertifikat Biometriya Sredstva predotvrasheniya vzloma korpusov i krazh oborudovaniya Sredstva kontrolya dostupa v pomesheniya Instrumentalnye sredstva analiza sistem zashity Antivirus Organizacionnaya zashita obektov informatizaciiOrganizacionnaya zashita eto reglamentaciya proizvodstvennoj deyatelnosti i vzaimootnoshenij ispolnitelej na normativno pravovoj osnove isklyuchayushej ili sushestvenno zatrudnyayushej nepravomernoe ovladenie konfidencialnoj informaciej i proyavlenie vnutrennih i vneshnih ugroz Organizacionnaya zashita obespechivaet organizaciyu ohrany rezhima rabotu s kadrami s dokumentami ispolzovanie tehnicheskih sredstv bezopasnosti i informacionno analiticheskuyu deyatelnost po vyyavleniyu vnutrennih i vneshnih ugroz predprinimatelskoj deyatelnosti K osnovnym organizacionnym meropriyatiyam mozhno otnesti organizaciyu rezhima i ohrany Ih cel isklyuchenie vozmozhnosti tajnogo proniknoveniya na territoriyu i v pomesheniya postoronnih lic organizaciyu raboty s sotrudnikami kotoraya predusmatrivaet podbor i rasstanovku personala vklyuchaya oznakomlenie s sotrudnikami ih izuchenie obuchenie pravilam raboty s konfidencialnoj informaciej oznakomlenie s merami otvetstvennosti za narushenie pravil zashity informacii i dr organizaciyu raboty s dokumentami i dokumentirovannoj informaciej vklyuchaya organizaciyu razrabotki i ispolzovaniya dokumentov i nositelej konfidencialnoj informacii ih uchyot ispolnenie vozvrat hranenie i unichtozhenie organizaciyu ispolzovaniya tehnicheskih sredstv sbora obrabotki nakopleniya i hraneniya konfidencialnoj informacii organizaciyu raboty po analizu vnutrennih i vneshnih ugroz konfidencialnoj informacii i vyrabotke mer po obespecheniyu eyo zashity organizaciyu raboty po provedeniyu sistematicheskogo kontrolya za rabotoj personala s konfidencialnoj informaciej poryadkom uchyota hraneniya i unichtozheniya dokumentov i tehnicheskih nositelej V kazhdom konkretnom sluchae organizacionnye meropriyatiya nosyat specificheskuyu dlya dannoj organizacii formu i soderzhanie napravlennye na obespechenie bezopasnosti informacii v konkretnyh usloviyah Informacionnaya bezopasnost predpriyatiyaInformacionnaya bezopasnost predpriyatiya eto sostoyanie zashishyonnosti korporativnyh dannyh pri kotoroj obespechivaetsya ih konfidencialnost celostnost autentichnost i dostupnost Zadachi sistem informacionnoj bezopasnosti predpriyatiya razlichny obespechenie zashishyonnogo hraneniya informacii na nositelyah zashita dannyh peredavaemyh po kanalam svyazi sozdanie rezervnyh kopij posleavarijnoe vosstanovlenie i t d Obespechenie informacionnoj bezopasnosti predpriyatiya vozmozhno tolko pri sistemnom i kompleksnom podhode k zashite Polnocennaya IBP podrazumevaet nepreryvnyj kontrol vseh vazhnyh sobytij i sostoyanij vliyayushih na bezopasnost dannyh i osushestvlyaetsya kruglogodichno Informacionnaya bezopasnost predpriyatiya dostigaetsya celym kompleksom organizacionnyh i tehnicheskih mer napravlennyh na zashitu korporativnyh dannyh Organizacionnye mery vklyuchayut dokumentirovannye procedury i pravila raboty s raznymi vidami informacii IT servisami sredstvami zashity i t d Tehnicheskie mery zaklyuchayutsya v ispolzovanii apparatnyh i programmnyh sredstv kontrolya dostupa monitoringa utechek antivirusnoj zashity mezhsetevogo ekranirovaniya zashity ot elektromagnitnyh izluchenij i prochee Obespechenie informacionnoj bezopasnosti eto nepreryvnyj process vklyuchayushij v sebya pyat klyuchevyh etapov ocenka stoimosti razrabotka politiki bezopasnosti realizaciya politiki kvalificirovannaya podgotovka specialistov audit S ocenki imushestva nachinaetsya process obespecheniya informacionnoj bezopasnosti opredeleniya informacionnyh aktivov organizacii faktorov ugrozhayushih etoj informacii i eyo uyazvimosti znachimosti obshego riska dlya organizacii V zavisimosti ot imushestva i budet sostavlyatsya programma zashity etih aktivov Posle togo kak risk budet vyyavlen i budet sostavlena ego kolichestvennaya ocenka mozhno budet vybrat rentabelnuyu kontrmeru dlya umensheniya etogo riska Celi ocenki informacionnoj bezopasnosti opredelit cennost informacionnyh aktivov opredelit ugrozy dlya konfidencialnosti celostnosti dostupnosti i ili identificiruemosti etih aktivov opredelit sushestvuyushie uyazvimye mesta v prakticheskoj deyatelnosti organizacii ustanovit riski organizacii v otnoshenii informacionnyh aktivov predlozhit izmeneniya v sushestvuyushej praktike raboty kotorye pozvolyat sokratit velichinu riskov do dopustimogo urovnya obespechit bazu dlya sozdaniya proekta obespecheniya bezopasnosti Pyat osnovnyh vidov ocenki Ocenka uyazvimyh mest na sistemnom urovne Kompyuternye sistemy issledovany na izvestnye uyazvimosti i prostejshie politiki sootvetstviya tehnicheskim trebovaniyam Ocenka na setevom urovne Proizvedena ocenka sushestvuyushej kompyuternoj seti i informacionnoj infrastruktury vyyavleny zony riska Obshaya ocenka riska v ramkah organizacii Proizveden analiz vsej organizacii s celyu vyyavleniya ugroz dlya eyo informacionnyh aktivov Audit Issledovana sushestvuyushaya politika i sootvetstvie organizacii etoj politike Ispytanie na vozmozhnost proniknoveniya Issledovana sposobnost organizacii reagirovat na smodelirovannoe proniknovenie Pri provedenii ocenki dolzhny byt issledovany takie dokumenty kak politika bezopasnosti informacionnaya politika politika i procedury rezervnogo kopirovaniya spravochnoe rukovodstvo rabotnika ili instrukcii procedury najma uvolneniya rabotnikov metodologiya razrabotki programmnogo obespecheniya metodologiya smeny programmnogo obespecheniya telekommunikacionnye politiki diagrammy seti Poluchiv vysheukazannye politiki i procedury kazhdaya iz nih issleduetsya na predmet znachimosti pravomernosti zavershennosti i aktualnosti tak kak politiki i procedury dolzhny sootvetstvovat celi opredelyonnoj v dokumente Posle ocenki neobhodimo zanyatsya razrabotkoj politik i procedur kotorye opredelyayut predpolagaemoe sostoyanie bezopasnosti i perechen neobhodimyh rabot Net politiki net plana na osnovanii kotorogo organizaciya razrabotaet i vypolnit effektivnuyu programmu IBP Neobhodimo razrabotat sleduyushie politiki i procedury Informacionnaya politika Vyyavlyaet sekretnuyu informaciyu i sposoby eyo obrabotki hraneniya peredachi i unichtozheniya Politika bezopasnosti Opredelyaet tehnicheskie sredstva upravleniya dlya razlichnyh kompyuternyh sistem Politika ispolzovaniya Obespechivaet politiku kompanii po ispolzovaniyu kompyuternyh sistem Politika rezervnogo kopirovaniya Opredelyaet trebovaniya k rezervnym kopiyam kompyuternyh sistem Procedury upravleniya uchyotnymi zapisyami Opredelyayut dejstviya vypolnyaemye pri dobavlenii ili udalenii polzovatelej Plan na sluchaj chrezvychajnyh obstoyatelstv Obespechivaet dejstviya po vosstanovleniyu oborudovaniya kompanii posle stihijnyh bedstvij ili incidentov proizoshedshih po vine cheloveka Realizaciya politiki bezopasnosti zaklyuchaetsya v realizacii tehnicheskih sredstv i sredstv neposredstvennogo kontrolya a takzhe v podbore shtata bezopasnosti Mogut potrebovatsya izmeneniya v konfiguracii sistem nahodyashihsya vne kompetencii otdela bezopasnosti poetomu v provedenii programmy bezopasnosti dolzhny uchastvovat sistemnye i setevye administratory Pri primenenii lyubyh novyh sistem bezopasnosti nuzhno raspolagat kvalificirovannym personalom Organizaciya ne mozhet obespechit zashitu sekretnoj informacii ne privlekaya svoih sotrudnikov Gramotnaya professionalnaya perepodgotovka eto mehanizm obespecheniya sotrudnikov neobhodimoj informaciej Sotrudniki dolzhny znat pochemu voprosy bezopasnosti tak vazhny dolzhny byt obucheny vyyavleniyu i zashite sekretnoj informacii Audit eto poslednij shag v processe realizacii informacionnoj bezopasnosti On opredelyaet sostoyanie informacionnoj bezopasnosti vnutri organizacii sozdanie sootvetstvuyushih politik i procedur privedenie v dejstvie tehnicheskih sredstv kontrolya i obuchenie personala Mediafajly na VikiskladePrimechaniyaKommentarii Na professionalnom zhargone informacionnoj bezopasnosti kiberprestupnikov chasto nazyvayut Black hat s angl chyornaya shlyapa Rossijskij Ugolovnyj kodeks opredelyaet Moshennichestvo v sfere kompyuternoj informacii kak hishenie chuzhogo imushestva ili priobretenie prava na chuzhoe imushestvo putem vvoda udaleniya blokirovaniya modifikacii kompyuternoj informacii libo inogo vmeshatelstva v funkcionirovanie sredstv hraneniya obrabotki ili peredachi kompyuternoj informacii ili informacionno telekommunikacionnyh setej ch 6 st 159 UK RF V Rossii oni obedineny v nauchnuyu specializaciyu 05 13 19 Metody i sistemy zashity informacii informacionnaya bezopasnost kotoraya odnako ne vklyuchaet sebya issledovaniya v oblasti kriptografii algoritmov i metodov kriptograficheskoj zashity informacii V 2015 godu oni byli zameneny vosemyu novymi osvedomlyonnost navyki i polnomochiya otvetstvennost prava cheloveka i fundamentalnye cennosti sotrudnichestvo cikl ocenki i raboty s riskami mery bezopasnosti innovaciya obespechenie gotovnosti i nepreryvnosti V GOST R ISO MEK 27000 2012 termin non repudiation perevedyon s anglijskogo yazyka okkazionalizmom neotkazuemost Istochniki Schlienger 2003 pp 46 52 Frost amp Sullivan 2017 p 2 Olavsrud 2017 Moore 2011 Europol 2017 Stewart 2015 pp 882 883 Ramzan 2010 p 433 Van der Merwe 2005 pp 249 254 Dawes 2012 Provos 2012 Identity Theft Dubal Hoofnagle 2007 Armstrong 2017 Gorodyansky 2013 Zemskaya 2005 Positive Technologies gosorgany huzhe vseh zashisheny ot kiberatak rus Kommersant 15 aprelya 2022 Data obrasheniya 28 oktyabrya 2023 Arhivirovano 1 dekabrya 2023 goda Gordon amp Loeb 2002 Stewart 2015 pp 72 Svetonij Trankvill 1964 Singh 2009 Johnson 1998 Izmozik 2015 Soboleva 2002 Tokareva 2012 s 82 107 Nosov 2002 Hastedt 2011 p 589 590 Staff Battle on the Seven Seas P 86 Ezhov 2007 Singh 2009 s 30 Sebag Montefiore 2011 p 162 Singh 2009 s 35 Zhelnikov 1996 Singh 2009 s 191 201 Anin 2000 s 67 70 VAK De Nardis 2007 pp 681 704 Horev A A Organizaciya zashity konfidencialnoj informacii v kommercheskoj strukture rus Zashita informacii Insajd zhurnal 2015 1 S 14 17 ISSN 2413 3582 Arhivirovano 29 iyunya 2021 goda GOST R ISO MEK 27000 2012 s 1 3 NIST IR 7298 r2 2013 pp 94 95 ISACA Cherdantseva 2013 Saltzer amp Schroeder 1975 GOST R ISO MEK 27000 2012 s 2 GOST R ISO MEK 27000 2012 s 3 Lukackij 2012 OECD 2002 pp 9 12 OECD 2015 pp 9 11 NIST SP 800 14 1996 pp 4 10 NIST SP 800 160v1 2016 p 205 Parker 1998 Slade Hughes amp Cybenko 2013 TENS Teplow O ISM3v2 2017 Gordon 2015 p 8 Krutz amp Vines 2003 Chapter 1 p 1 Samonas 2014 pp 21 45 Gordon 2015 p 7 Stewart 2015 p 5 Gordon 2015 p 7 8 McCarthy 2006 p 65 McCullagh amp Caelli 2000 Domarev V V Bezopasnost informacionnyh tehnologij Sistemnyj podhod rus www security ukrnet net Data obrasheniya 10 maya 2013 Arhivirovano iz originala 10 maya 2013 goda K OOO TID Dia Soft 2004 992 s Informacionnaya bezopasnost v sovremennyh sistemah upravleniya bazami dannyh rus www compress ru Data obrasheniya 13 yanvarya 2019 Arhivirovano 7 maya 2019 goda Rossijskij rynok DLP sistem obzor populyarnyh reshenij rus securitymedia org 27 oktyabrya 2022 Data obrasheniya 15 oktyabrya 2023 Arhivirovano 4 oktyabrya 2023 goda V Rossii vyros spros na sistemy protiv utechek dannyh iz organizacij rus RBK 3 iyunya 2022 Data obrasheniya 15 oktyabrya 2023 Arhivirovano 14 maya 2023 goda Organizacionnaya bezopasnost na predpriyatii bumazhnaya i prakticheskaya bezopasnost rus inforsec ru Data obrasheniya 13 yanvarya 2019 Arhivirovano 25 aprelya 2014 goda Rusinov S Obespechenie informacionnoj bezopasnosti predpriyatij torgovli torgovyh setej i ih infrastruktury http www itsec ru articles2 Inf security infosec torg Arhivnaya kopiya ot 4 aprelya 2016 na Wayback Machine Melnikov V P Klejmenov S A Petrakov A M Informacionnaya bezopasnost i zashita informacii 3 e izd Ucheb Posobie dlya stud vyssh ucheb zavedenij V P Melnikov S A Klejmenov A M Petrakov M 2008 336 s Obespechenie informacionnoj bezopasnosti http it sektor ru obespechenie informatscionnoyi bezopasnosti html Arhivnaya kopiya ot 7 aprelya 2016 na Wayback Machine LiteraturaGaj Svetonij Trankvill Kniga pervaya Zhizn dvenadcati cezarej De vita XII caesarvm per s lat perevod Gasparov M M Izdatelstvo Nauka 1964 374 s Literaturnye pamyatniki Singh Sajmon Kniga shifrov Tajnaya istoriya shifrov i ih rasshifrovki M Izdatelstvo AST 2009 448 s ISBN 5 17 038477 7 Izmozik V S Chernye kabinety istoriya rossijskoj perlyustracii XVIII nachalo XX veka M Novoe literaturnoe obozrenie 2015 ISBN 978 5 4448 0392 9 Zhelnikov V Yazyk soobsheniya Kriptografiya ot papirusa do kompyutera M ABF 1996 335 s ISBN 5 87484 054 0 Anin B Yu Marfinskaya sharazhka Radioelektronnyj shpionazh M Centrpoligraf 2000 491 2 s 8 l il portr Sekretnaya papka 10 000 ekz ISBN 5 227 00659 8 Nosov V A Kratkij istoricheskij ocherk razvitiya kriptografii Moskovskij universitet i razvitie kriptografii v Rossii MGU 17 18 oktyabrya 2002 materialy konferencii 2002 S 20 32 Tokareva N N Ob istorii kriptografii v Rossii Prikladnaya diskretnaya matematika 2012 Dekabr 4 18 Aleksej Lukackij Triada konfidencialnost celostnost dostupnost otkuda ona SecurityLab ru 2012 20 sentyabrya Konceptualnye osnovy informacionnoj bezopasnosti Rossijskoj Federacii Shushkov G M Sergeev I V Aktualnye voprosy nauchnoj i nauchno pedagogicheskoj deyatelnosti molodyh uchenyh sbornik nauchnyh trudov III Vserossijskoj zaochnoj nauchno prakticheskoj konferencii 23 11 2015 30 12 2015 g Moskva pod obsh red E A Pevcovoj redkoll E A Kurenkova i dr M IIU MGOU 2016 ISBN 978 5 7017 2532 2 neavtoritetnyj istochnik Ezhov M Yu Odin iz mifov o krejsere Magdeburg Voprosy istorii 2007 Vyp 2 S 152 156 ISSN 0042 8779 05 13 19 Metody i sistemy zashity informacii informacionnaya bezopasnost DOC Vysshaya attestacionnaya komissiya VAK Data obrasheniya 19 07 2018 GOST R ISO MEK 27000 2012 Informacionnaya tehnologiya IT Metody i sredstva obespecheniya bezopasnosti Sistemy menedzhmenta informacionnoj bezopasnosti Obshij obzor i terminologiya PDF Rosstandart Data obrasheniya 20 07 2018 Na inostrannyh yazykah Andress J The Basics of Information Security Understanding the Fundamentals of InfoSec in Theory and Practice Syngress 2014 240 p ISBN 9780128008126 Stewart James Michael CISSP Certified Information Systems Security Professional Study Guide angl James Michael Stewart Mike Chapple Darril Gibson Seventh Edition Canada John Wiley amp Sons Inc 2015 1023 p ISBN 978 1 119 04271 6 Moore Robert Cybercrime Investigating High Technology Computer Crime angl 2nd ed Boston Anderson Publ 2011 318 p ISBN 9781437755824 Phishing attacks and countermeasures Ramzan Zulfikar Handbook of Information and Communication Security angl Peter Stavroulakis Mark Stamp London Springer Science amp Business Media 2010 867 p ISBN 978 3 642 04117 4 Johnson John The Evolution of British Sigint 1653 1939 angl Her Majesty s Stationary Office 1998 58 p Soboleva T A Vvedenie Istoriya shifrovalnogo dela v Rossii M OLMA Press 2002 510 s ISBN 5224036348 Staff Gary Battle on the Seven Seas German Cruiser Battles 1914 1918 Barnsley Pen amp Sword Books 2011 224 p ISBN 978 1848841826 Official Secrets Act 1889 New 1911 Amended 1920 1939 1989 Spies Wiretaps and Secret Operations An Encyclopedia of American Espionage editor Hastedt G P Santa Barbara CA USA ABC CLIO LLC 2011 Vol 2 ISBN 978 1 85109 807 1 Sebag Montefiore Hugh Enigma The Battle for the Code Orion 2011 576 p ISBN 9781780221236 Pipkin Donald L Information Security Protecting the Global Enterprise angl New York Prentice Hall PTR 2000 364 p ISBN 9780130173232 Official ISC Guide to the CISSP CBK Fourth Edition angl Adam Gordon Editor Boca Raton FL USA CRC Press 2015 1278 p ISBN 978 1 4822 6275 9 Parker Donn B Fighting Computer Crime A New Framework for Protecting Information angl New York John Wiley amp Sons 1998 528 p ISBN 0 471 16378 3 Krutz Ronald L The CISM Prep Guide Mastering the Five Domains of Information Security Management angl Ronald L Krutz Russell Dean Vines New York John Wiley amp Sons 2003 433 p ISBN 0 471 45598 9 McCarthy C Digital Libraries Security and Preservation Considerations Handbook of Information Security Threats Vulnerabilities Prevention Detection and Management angl Bidgoli H John Wiley amp Sons 2006 Vol 3 ISBN 9780470051214 Schlienger Thomas Information security culture From analysis to change angl Thomas Schlienger Stephanie Teufel South African Computer Journal Pretoria South Africa 2003 Vol 31 Samonas S The CIA Strikes Back Redefining Confidentiality Integrity and Availability in Security angl Samonas S Coss D Journal of Information System Security Washington DC USA Information Institute Publishing 2014 Vol 10 no 3 Jacques R J The True Costs of Paper Based Business angl Fulcrum Blog Spatial Networks Inc 2016 13 January Data obrasheniya 27 06 2018 Pettey Christy Gartner Says Digital Disruptors Are Impacting All Industries Digital KPIs Are Crucial to Measuring Success angl Gartner Inc 2017 2 October Data obrasheniya 27 06 2018 Forni Amy Ann van der Meulen Rob Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation angl Gartner Inc 2017 24 April Data obrasheniya 27 06 2018 2017 Global Information Security Workforce Study Benchmarking Workforce Capacity and Response to Cyber Risk EMEA PDF angl ISC Frost amp Sullivan 2017 Data obrasheniya 27 06 2018 Crime in the age of technology Europol s serious and organised crime threat assessment 2017 angl press release Europol 2017 9 March Data obrasheniya 27 06 2018 Olavsrud Thor 5 information security threats that will dominate 2018 angl CIO com neopr Data obrasheniya 13 yanvarya 2019 IDG Communications Inc 2017 20 November Data obrasheniya 27 06 2018 Zemskaya E A Osobennosti russkoj rechi emigrantov chetvertoj volny Gramota ru 2005 9 aprelya Data obrasheniya 27 06 2018 Gordon Lawrence The Economics of Information Security Investment angl Lawrence Gordon Martin Loeb ACM Transactions on Information and System Security 2002 Vol 5 no 4 November doi 10 1145 581271 581274 Van der Merwe Alta Characteristics and Responsibilities involved in a Phishing Attack angl Loock Marianne Dabrowski Marek WISICT 05 Proceedings of the 4th international symposium on Information and communication technologies Cape Town South Africa 2005 3 January P 249 254 ISBN 1 59593 169 4 Hoofnagle Chris Jay Identity Theft Making the Known Unknowns Known angl Social Science Research Network Berkeley CA USA University of California 2007 13 March Data obrasheniya 04 07 2018 Armstrong Drew My Three Years in Identity Theft Hell arh 19 09 2017 angl Bloomberg 2017 17 September Data obrasheniya 04 07 2018 Gorodyansky David Internet privacy and security A shared responsibility angl wired com 2013 10 Data obrasheniya 04 07 2018 Information security is information risk management Bob Blakley Ellen McDermott Dan Geer Proceedings of the 2001 workshop on New security paradigms New York ACM 2001 P 97 104 ISBN 1 58113 457 6 Anderson J M Why we need a new definition of information security Computers amp Security 2003 Vol 22 no 4 P 308 313 doi 10 1016 S0167 4048 03 00407 3 Venter H S A taxonomy for information security technologies H S Venter J H P Eloff Computers amp Security 2003 Vol 22 no 4 P 299 307 doi 10 1016 S0167 4048 03 00406 1 Chapter 24 A History of Internet Security De Nardis L The History of Information Security A Comprehensive Handbook edited by de Leeuw K M M and Bergstra J Elsevier 2007 ISBN 9780080550589 Cherdantseva Y Information Security and Information Assurance The Discussion about the Meaning Scope and Goals Organizational Legal and Technological Dimensions of Information System Administrator Y Cherdantseva J Hilton IGI Global Publishing 2013 Saltzer H Saltzer The Protection of Information in Computer Systems angl H Saltzer Saltzer Michael D Schroeder Proceedings of the IEEE USA IEEE 1975 Vol 63 no 09 September P 1278 1308 ISSN 1558 2256 Hughes J Quantitative Metrics and Risk Assessment The Three Tenets Model of Cybersecurity angl J Hughes G Cybenko Technology Innovation Management Review Ottawa Canada Talent First Network Carleton University 2013 August P 15 24 ISSN 1927 0321 McCullagh Adrian Non Repudiation in the Digital Environment angl Adrian McCullagh William Caelli Technology Innovation Management Review Chicago USA First Monday 2000 Vol 8 no 8 August ISSN 1396 0466 NIST Interagency or Internal Report 7298 Glossary of Key Information Security Terms angl Richard L Kissel editor Computer Security Division Information Technology Laboratory Revision 2 Gaithersburg MD USA National Institute of Standards and Technology 2013 222 p NIST Special Publication 800 14 Generally Accepted Principles and Practices for Securing Information Technology Systems angl Gaithersburg MD USA National Institute of Standards and Technology 1996 61 p NIST Special Publication 800 160 Systems Security Engineering Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems angl Gaithersburg MD USA National Institute of Standards and Technology 2016 Vol 1 260 p OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security angl Paris OECD Publications 2002 30 p Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document angl Paris OECD Publishing 2015 74 p Open Group Standard Open Information Security Management Maturity Model O ISM3 Version 2 0 angl Reading Berkshire United Kingdom The Open Group 2017 130 p ISBN 1 937218 98 0 SsylkiObzor Sredstva zashity informacii i biznesa 2006 rus www cnews ru Data obrasheniya 13 yanvarya 2019 CNews Slovar terminov po bezopasnosti i kriptografii rus www profinfo ru Data obrasheniya 13 yanvarya 2019 Arhivirovano iz originala 9 yanvarya 2006 goda Evropejskij institut standartov po elektrosvyazi Doktrina informacionnoj bezopasnosti Rossijskoj Federacii neopr web archive org Data obrasheniya 13 yanvarya 2019 Proekt koncepcii sovershenstvovaniya pravovogo obespecheniya informacionnoj bezopasnosti Rossijskoj Federacii neopr web archive org Data obrasheniya 13 yanvarya 2019 Provos Niels Safe Browsing Protecting Web Users for 5 Years and Counting angl Google Security Blog 2012 19 June Data obrasheniya 04 07 2018 Dawes Adam Landing another blow against email phishing angl Google Security Blog 2012 29 January Data obrasheniya 04 07 2018 Dubal Uttam Rigot Stu Synthetic ID Theft nedostupnaya ssylka arh 09 10 2015 angl Cyber Space Times Data obrasheniya 04 07 2018 Identity Theft angl Merriam Webster com Merriam Webster Data obrasheniya 04 07 2018 Glossary Information security angl www isaca org angl Data obrasheniya 21 08 2018 Slade Rob CIA TRIAD VERSUS PARKERIAN HEXAD angl ICS 2 Blog 2008 15 December Data obrasheniya 07 09 2018 The Three Tenets angl Trusted End Node Security DOD Data obrasheniya 08 09 2018 Teplow Lily Are Your Clients Falling for These IT Security Myths CHART angl Continuum Blog Boston MA USA Continuum Managed Services 2016 18 November Data obrasheniya 08 09 2018

18 Июл, 2025 / 17:15
NiNa.Az

NiNa.Az

NiNa.Az - Абсолютно бесплатная система, которая делится для вас информацией и контентом 24 часа в сутки.
Взгляните
Закрыто
© 2019 NiNa.Az - Все права защищены.
Авторские права: Dadash Mammadov