Базовые идеи компьютерной безопасности
Защита информации, кодов доступа и компьютерных систем от злоумышленников стала обязательным направлением деятельности для любого предприятия или учреждения. Государственные финансы вряд ли можно назвать исключением. Эксперты по компьютерной безопасности считают, что эта сфера деятельности скорее относится к управленческой группе задач, чем к сугубо технической.
Статья основана на материалах курсов по компьютерной безопасности ведущих университетов мира. Среди них: «Кибербезопасность и десять сфер ее применения» Университета штата Джорджия, «Введение в компьютерную безопасность» Школы инженерии Нью-Йоркского университета, «Кибербезопасность бизнеса» Университета Колорадо и другие.
В статье мы последовательно расскажем о том, какие сферы — домены — охватывает кибербезопасность, а также об основных принципах этого направления.
Кибербезопасность: почему это важно?
Все больше аспектов нашей жизни зависят от интернета, смартфонов и компьютеров. Мы используем мобильные телефоны для связи и развлечения, а электронные почты — для регулярных личных и деловых коммуникаций.
Все больше автомобилей оснащено компьютерами, которые сообщают водителям о нарушениях в работе или других вещах, требующих внимания. Компьютерные системы начинают применяться для управления домашней техникой и координации ее работы (так называемая система «Умный дом»). Клиенты банков получают доступ к своим счетам, используя мобильные девайсы. Медицинские данные также переводят в цифровой вид, а следовательно, третьи лица могут получить к ним удаленный доступ. Образование тоже постепенно переходит на цифровые платформы.
Каждое учреждение, организация или предприятие ведет бухгалтерию и внутренние базы данных в электронном виде. Это значит, что вся деятельность напрямую зависит от компьютерной безопасности. Таким образом, мы видим, что от информационных технологий зависит как профессиональная деятельность, так и личная жизнь. Поэтому роль компьютерной безопасности постоянно возрастает.
Что такое компьютерная безопасность
На протяжении тысяч лет сфера безопасности вобрала в себя гигантское количество различных технологий. Еще в Каменном веке люди использовали простейшие орудия труда, чтобы защищаться от нападающих и хищников. Сторожевые собаки, согласно данным археологии, появились около 30 тысяч лет назад, первые крепости — около трех тысяч лет назад.
Системы охраны частных домов появились во время промышленной революции в
Криптография — защита сведений с помощью шифрования — стала набирать популярность в первой половине XX века. С появлением дискет на них стали массово записывать данные,
которые нужно было обезопасить. В
Компьютерная безопасность, согласно определению Министерства внутренней безопасности США, включает стратегию, политику и стандарты по защите операций в цифровом пространстве. Кибербезопасность отвечает за минимизацию угроз, снижение уязвимости, адекватную реакцию на инциденты, устойчивость систем, восстановление после происшествий.
Компьютерная безопасность охватывает такие сферы, как операции в Сети, защиту информации, юридическую поддержку, а иногда дипломатию, операции спецслужб и военное вмешательство (в случае угроз для государственной безопасности). На самом глобальном уровне эта отрасль отвечает за безопасность мировой коммуникационной системы.
Защита от неавторизованного вмешательства
Описание прикладных аспектов компьютерной безопасности лучше всего начать с такого направления, как контроль и управление доступом. Одним из важнейших элементов ИТ-системы любого учреждения является защита от неавторизованного доступа. Эта защита предусматривает не только технические, но и физические и административные меры.
Следовательно, контроль и управление доступом можно разделить на две основные функции. Первая — это разграничение доступа к определенной информации и сопутствующим сервисам. Вторая — контроль за физическим доступом в помещения, офисы и так далее.
Не стоит путать авторизацию и аутентификацию. Аутентификация — это подтверждение личности пользователей. Авторизация, или доступ к информации, — это возможность читать, создавать, изменять или удалять данные на компьютере. Разрешение выдается приложением или собственником системы.
Стандарты ЦРУ
Стандарты кибербезопасности ЦРУ США содержат три базовых принципа: конфиденциальность, доступность и честность. Первый принцип гласит, что информация не должна быть доступна неавторизованным пользователям, процессам и устройствам. Доступность, в свою очередь, означает, что авторизованные юзеры могут пользоваться информацией и изменять ее ради своих задач. Принцип честности предполагает, что данные не могут быть изменены или уничтожены анонимно.
Теперь давайте перейдем к прикладному применению. Базовые представления о компьютерной безопасности предполагают следующее:
- идентификацию. Пользователи предоставляют идентификационную информацию, такую как имя (имеется в виду техническое имя пользователя);
- аутентификацию. Например, личность пользователей подтверждается с помощью паролей;
- авторизацию. Ограничение операций, которые может совершать пользователь;
- подотчетность. Идентификация и аутентификация предусматривают, что можно отследить все действия пользователя.
Существуют различные модели управления доступом. Они направлены на защиту программного обеспечения, операционных систем и аппаратных средств.
Примеры: модель Белла-Лападулы (Bell LaPadula, используется в оборонной индустрии США), или Обязательный контроль доступа (MAC). Основная идея этих моделей — помочь создать систему, которая позволила бы защитить секреты организации от постороннего вмешательства или от участников с более низким уровнем доступа. Выбор модели в том числе зависит от отрасли деятельности организации.
Планирование непрерывности деятельности
Следующее направление компьютерной безопасности — подготовка предприятий и учреждений к нежелательным инцидентам. Идея заключается в том, чтобы организация продолжила выполнять свои функции, несмотря ни на что. Под инцидентом в данном случае понимается как масштабное событие, такое как природная катастрофа, так и небольшое происшествие — например, сотрудник с кодами доступа заболел и не смог прийти на работу. Алгоритм восстановления после инцидентов описывает механизмы, которые позволят вернуться к работе после того, как системы были поражены в результате неблагоприятных событий.
Эта деятельность называется «планирование непрерывности бизнеса» (business continuity planning, BCP) и предполагает создание систем профилактики и восстановления деловой активности для борьбы с потенциальными угрозами для компании, организации, учреждения. Выявление возможных инцидентов проводится с помощью многоэтапного анализа, включающего анализ последствий, анализ угроз и сценариев воздействия.
Самый простой уровень BCP предполагает наличие планов для работников, описывающих, что они должны делать в определенной ситуации и как связываться друг с другом, чтобы продолжить работу. Детали могут различаться в зависимости от профиля и размера организации. Многим организациям в том или ином виде требуется анализ угроз (business impact analysis, BIA), который позволяет понять, какие потери понесет деятельность в случае тех или иных событий. На основании BIA можно протестировать, что произойдет в случае тех или иных инцидентов.
Стандарты управления информационной безопасностью
Стандарты управления информационной безопасностью — это еще один обязательный домен, включенный в организацию компьютерной безопасности на предприятии. Он предполагает анализ рисков в информационной сфере и защиту от них.
Каждый день мы слышим о совершении преступлений в сфере компьютерной безопасности. В последние годы защита от них стала предметом постоянного беспокойства как организаций, так и частных лиц.
Построение менеджмента информационной безопасности опирается на стандарты, которые разрабатывают авторитетные экспертные организации и ИТ-институты. Например, это стандарт индустрии платежных карт (PCI DSS), ISO 17799/27002 («Практические правила менеджмента информационной безопасности»), стандарт COBIT (Control Objectives for Information and related Technology, дословно «Цели контроля информации и сопутствующих технологий») и другие. Цель применения таких стандартов — удостовериться, что активы предприятий защищены.
Этот домен может включать даже перестройку управленческих и организационных структур на предприятии, а также тренинги для сотрудников по вопросам компьютерной безопасности. Важно, что компьютерная безопасность является скорее управленческой, нежели технической задачей.
Таким образом, система риск-менеджмента не является свободным творчеством ИТ-специалистов: она опирается на стандарты, разработанные экспертами для определенных отраслей.
Какой бывает криптография
Современную защиту данных невозможно представить без криптографии. В простейшем виде она представляет собой превращение текста в некий набор данных (шифрование) и последующую его расшифровку. Цель шифрования — сделать так, чтобы при передаче данных их могли понять только те, кому они были адресованы.
На заметку
RSA — это аббревиатура от фамилий Ривест, Шамир и Адлеман (Rivest, Shamir и Adleman). Этот криптографический алгоритм с открытым ключом стал первым пригодным и для шифрования, и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений.
Таким образом, в современном мире защищается конфиденциальность личных и других сведений, гарантируется их добросовестное использование. Кроме того, с помощью криптографии получатели данных могут понять, что и отправители — это действительно те, за кого себя выдают. Криптография содержит в себе два важных компонента: алгоритм шифрования и ключи, с помощью которых данные приобретают первоначальный вид.
Системы шифрования (криптосистемы) бывают симметричными и асимметричными. В первой группе систем ключ находится у многих участников системы, и каждый из них может зашифровать данные или расшифровать их. Во втором случае используется два типа ключей: открытый и закрытый. Открытые ключи есть у многих участников, и они могут с их помощью зашифровать данные. Однако расшифровать сведения можно только с помощью закрытых ключей, которые есть у одного или нескольких доверенных участников. Примером такой системы является известная модель шифрования RSA.
Термин
Файрволл (от английского firewall, «огненная стена») — это технологический барьер (программное обеспечение), предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или пользователями.
Безопасность телекоммуникаций и сетей
Безопасность телекоммуникаций и сетей — это отдельный домен компьютерной безопасности, который нужно учитывать при управлении учреждением. Телекоммуникации и сети считаются наиболее детализированной и всесторонне описанной отраслью кибербезопасности. Направление включает в себя как голосовые коммуникации, так и передачу данных. Здесь целью является поиск, недопущение и исправление ошибок, установление файрволлов, обеспечение правильной работы роутеров и различных протоколов.
В этом элементе кибербезопасности важную роль играет модель OSI, или базовая эталонная модель взаимодействия открытых систем. Она была разработана Международной организацией по стандартизации (ISO), для того чтобы созданные разными компаниями сетевые устройства могли коммуницировать друг с другом. Модели обеспечения безопасности различаются для разных типов сетей: например, это может быть интернет, локальная сеть, частная сеть, глобальные и муниципальные сети. По данному топику, как говорилось раньше, очень много доступной информации в интернете. Так, ее можно найти в Открытом университете (open.edu/openlearn/).
Почему компьютерная безопасность — управленческая задача?
Напомним, стартовым тезисом этой статьи было то, что компьютерная безопасность в учреждении — это не только техническая, но и управленческая задача. Видя широкий спектр сфер ее применения, мы можем заключить, что это направление должно быть прямой заботой руководителя.
Во-первых, от компьютерной безопасности напрямую зависит деятельность учреждения и выполнение его целей и задач. Поэтому руководству следует знать, какому стандарту соответствует менеджмент информационной безопасности, какие юридические аспекты возникают в связи с деятельностью учреждения в информационной среде, как разграничены доступы пользователей и как команда будет организована или даже восстановлена деятельность в случае возникновения инцидента.
Физическая безопасность
Один из важных аспектов компьютерной безопасности — обеспечить физические условия, которые позволяют информационным системам продолжить работу. Список физических угроз широк: это природные катастрофы или экстремальные погодные условия, беспорядки, отключения электричества, пожар, иногда прямой саботаж.
Более того, организация компьютерной безопасности может потребовать создание специальных регламентов для сотрудников, перестройку работы или даже изменения в организационной структуре. Все это, безусловно, должно войти в сферу внимания лиц, принимающих решения.
К. В. СУГРОБОВ