Co je Ibb?

V článku analyzujeme, jaká data by měla být chráněna, na jakých principech je informační bezpečnost založena, jaké existují koncepty informační bezpečnosti, hlavní hrozby a prostředky ochrany.

Tato instrukce je součástí kurzu Úvod do informační bezpečnosti.

Zobrazit celý kurz

Co je informační bezpečnost

Informační bezpečnost je oblast IT zaměřená na důvěrnost, integritu a dostupnost dat a jejich ochranu před různými hrozbami. Informační bezpečnost zahrnuje technologie, standardy, procesy a praktiky zaměřené na zajištění informační bezpečnosti v podnikových strukturách.

Hlavním cílem informační bezpečnosti je poskytnout ochranu před jakýmkoli neoprávněným přístupem, úniky a změnami dat. Toho je dosaženo pomocí různých technických, softwarových, hardwarových a organizačních opatření určených k prevenci a také včasné detekci a reakci na kybernetické útoky.

Informační bezpečnost je také zaměřena na zajištění souladu se zákony a regulačními požadavky, ochranu dobrého jména společnosti a zajištění kontinuity podnikání.

Zásady informační bezpečnosti

Informační bezpečnost je postavena na třech klíčových principech. Jsou základem pro rozvoj bezpečnostních systémů a tvoří základ pro různá technická a procesní opatření k zajištění bezpečnosti informací.

Soukromí

Tento princip je zaměřen na zajištění ochrany důvěrných informací před neoprávněným přístupem. Důvěrné informace by měly být přístupné pouze osobám, které je potřebují k výkonu svých povinností, a neměly by být zpřístupňovány cizím osobám.

Integrita

Princip integrity informací je zaměřen na poskytování ochrany před změnami nebo ztrátou. To znamená, že data musí být chráněna před jakýmkoli typem neoprávněných změn: zavedením chybných dat, úmyslným zkreslením atd.

Dostupnost

Principem přístupnosti informací je zajištění přístupu pro oprávněné uživatele. Informace musí být k dispozici pro použití a zpracování v požadovaném objemu a v době, kdy jsou potřeba.

Typy informací a potřeba jejich ochrany

Informace mohou být důvěrné nebo veřejně dostupné. Na první pohled se zdá, že veřejně dostupné informace nepotřebují ochranu. Podívejme se však na předchozí kapitolu. Ano, nemusíme se obávat o soukromí veřejných informací, protože je to něco, co už každý ví. Ale nikdo nezrušil princip integrity a nahrazování veřejně dostupných informací může způsobit nemenší problémy než únik důvěrných informací. Představte si například, že útočníci nahradili platební údaje velkého tržiště.

Samotné důvěrné informace se mohou také lišit:

  • Osobní údaje. Jedná se o osobní údaje lidí, včetně jejich příjmení, jména a patronyma, údajů z pasu, telefonních čísel.
  • Státní tajemství. Nejtajnější informace, včetně vojensko-průmyslových, ekonomických, diplomatických a dalších cenných dat o zemi. Příklady: výsledky vědeckého výzkumu celostátního významu, diplomatické informace.
  • Oficiální tajemství. Informace nezbytné pro plné fungování organizace. Příklad: informace, které mají právníci k dispozici při podnikání, nebo údaje obdržené finančním úřadem.
  • Obchodní tajemství. Interní informace podniku, jejichž nezveřejňování do značné míry určuje úspěšnost podnikání. Příklad: dokumentace slibné technologie, kterou bylo možné implementovat v podniku.
  • Profesní tajemství. Osobní údaje klientů, které by měli chránit právníci, lékaři a vzdělávací instituce. Příklady: diagnóza pacienta, obsah závěti.

Rizika nízké bezpečnosti informačních systémů

Nespolehlivý systém informační bezpečnosti představuje pro zákazníka vážná rizika. Nejpravděpodobnější z nich budou diskutovány níže.

Netěsnosti

Nedostatečná ochrana může vést k úniku důvěrných dat o zákaznících, finančních transakcích, obchodních procesech a dalších citlivých informacích. To vede k vážným finančním ztrátám, ztrátě důvěry klientů a partnerů i právním problémům.

Ztráty reputace

Špatný systém zabezpečení informací může negativně ovlivnit pověst společnosti a způsobit nespokojenost zákazníků a partnerů. To vede ke ztrátě zákazníků a zhoršení vnímání značky.

Finanční ztráty

V případě porušení zabezpečení dat může zákazník čelit finančním ztrátám spojeným s náhradou škody zákazníkům, pokutami a sankcemi. To může také trvat dlouho, než se obnoví funkčnost systémů a restartují obchodní procesy, což také ovlivňuje finance společnosti.

Postaráme se o bezpečnost vašich systémů

Vybereme IT infrastrukturu, zorganizujeme síť, ochráníme servery a převezmeme všechny úskalí migrace.

Je možné provést audit bezpečnosti informací vlastními silami?

Ano, je možné provést audit informační bezpečnosti vlastními silami, ale k tomu je potřeba mít zaměstnance s odpovídajícími znalostmi a zkušenostmi v oblasti informační bezpečnosti. Faktem je, že audit bezpečnosti informací vyžaduje hluboké znalosti technických a organizačních opatření k ochraně informací.

Firmy však takové specialisty ve většině případů nemají, proto se doporučuje angažovat profesionální auditory nebo konzultanty informační bezpečnosti, kteří mají v této oblasti vysoké kompetence. To zajistí objektivnější a kvalitnější audit a také pomůže identifikovat potenciální problémy a získat doporučení k jejich odstranění.

Typy hrozeb

V souladu s přijatými kritérii v oblasti informační bezpečnosti lze hrozby rozdělit na vnitřní a vnější.

Zasvěcené hrozby

Zasvěcené hrozby se týkají všeho, co přichází zevnitř samotné společnosti. Takové výhrůžky mohou být zase úmyslné (kdy např. chtěl uražený zaměstnanec poškodit zaměstnavatele) i neúmyslné (kdy si člověk prostě neuvědomuje základní pravidla informační bezpečnosti a například omylem klikne na phishingový odkaz v e-mailu).

Vnější hrozby

Vnější hrozby jsou tedy ty, které přicházejí zvenčí: představují soubor metod používaných moderními kyberzločinci.

Mezi nejoblíbenější typy kybernetických hrozeb dnes patří:

  • DDoS útoky. Současné odesílání datových paketů na server nebo skupinu serverů s cílem způsobit přetížení a zastavení práce.
  • Viry a spyware. Škodlivé programy, které při průniku do zařízení obětí vedou k různým negativním důsledkům: od sledování a připojení ke konkrétní síti až po poskytnutí plného přístupu útočníkům až po poškození a zničení dat.
  • Phishing. Podvod zaměřený na krádež dat. Nejčastěji se phishingem rozumí nahrazení skutečného zdroje (stránky, služby, aplikace) podvodným, který se vydává za skutečný. Výsledkem je, že tam člověk zadá svá data, která útočníci ukradnou a následně použijí na skutečném zdroji.
  • Botnet. Síť zařízení, která je ovládána kyberzločinci, kteří ji používají pro své vlastní účely. Například pro DDoS útoky nebo těžbu kryptoměn.
  • Využívá. Chyby v softwaru a hardwaru, které útočníkům umožňují získat kontrolu nad zařízením nebo skupinou zařízení.
  • Sociální inženýrství. Různé metody duševního ovlivňování zaměřené na získávání důvěrných informací. Patří mezi ně například „strašení“ („Váš počítač je zavirovaný, kupte si urychleně náš software!“), návnady („omylem“ zanechání flash disku nebo externího pevného disku s virem) nebo „hrnec medu“ (Honey Pot, „náhodné“ seznámení s cílem svést oběť).
  • Útočí na muže uprostřed. „Útok uprostřed“, tedy zachycení důvěrných informací třetí stranou.
  • Advanced Persistent Threat (APT). Trvalá hrozba pokročilé úrovně. To znamená, že na druhé straně stojí velmi zkušený a nebezpečný nepřítel, který se předem připravil a nechce vám nechat jedinou šanci. Pokud se firma setká s takovými pravidelnými útoky, je povinna přijmout opatření k bezpečnosti informací.

Druhy řízení a prostředky zajištění informační bezpečnosti

Typy řízení bezpečnosti informací

Informační bezpečnost lze řídit na třech úrovních: administrativní, logické a fyzické.

Administrativní úroveň zahrnuje rozvoj a stanovení bezpečnostních politik, jmenování osob odpovědných za zajištění bezpečnosti informací.

Logická úroveň zajišťuje ochranu informací pomocí softwaru, šifrování dat, řízení přístupu a ověřování uživatelů, monitorování síťového provozu a správu konfigurace systému.

Fyzická vrstva je zaměřena na zajištění bezpečnosti fyzických objektů. Hovoříme o budovách, serverovnách, datových centrech a dalších místech, kde jsou uloženy informace. Jedná se o bezpečnostní opatření, jako je kontrola přístupu, video monitorovací systémy, alarmy a požární ochrana.

Nástroje informační bezpečnosti

Nástroje informační bezpečnosti lze rozdělit na organizační, softwarové, technické a hardwarové.

Organizační zahrnuje školení personálu, řízení rizik, audity a další organizační opatření.

Softwarové nástroje jsou především software, který zajišťuje ochranu informací. To zahrnuje antiviry, antispywarový software, systémy řízení přístupu, monitorování zabezpečení a šifrování dat.

Technické prostředky – firewally, systémy detekce narušení, ochrana před DDoS útoky, autentizace uživatelů, systémy šifrování dat a další nástroje.

Hardware je fyzické vybavení. Patří sem servery, routery, přepínače, úložná zařízení atd. Ze specifických bezpečnostních nástrojů pro informační systémy každý zná antiviry, firewally, VPN a proxy servery a skenery zranitelnosti. Méně známá, ale efektivnější jsou komplexní řešení pro zajištění bezpečnosti informačního prostředí. Zde jsou některé z nich:

  • IPS/IDS – hardwarové a softwarové systémy pro detekci narušení;
  • DLP – řada technologií pro zamezení úniku dat;
  • SIEM je řešením pro preventivní „údery“ proti zranitelnostem, pokud jsou odhaleny dříve, než mohou být zneužity;
  • DevSecOps – postupy komplexní ochrany softwarových produktů po celou dobu vývoje;
  • EDR je komplexní řešení pro detekci podezřelé aktivity na koncových bodech podnikových sítí (počítače nebo mobilní zařízení zaměstnanců).
  • CASB je střední ochrana mezi uživateli a cloudovým úložištěm a službami.

S čím může Selectel pomoci ohledně bezpečnosti informací?

Všechna řešení Selectel integrují nástroje zabezpečení informací. Poskytujeme spolehlivé zabezpečení našich datových center, pronajímáme servery v segmentu certifikovaných datových center a nabízíme integrovanou ochranu proti DDoS útokům a dalším hrozbám. Naši uživatelé se proto nemusí obávat úniku dat a integrity.

Bezpečnostní centrum na Akademii

Přečtěte si zprávy, zprávy, analýzy a případy o bezpečnosti informací na jedné stránce.

Informace jsou základem pro analýzu, prognózování, vývoj a strukturování podnikových procesů společnosti. Ve správných rukou je prospěšný, ale pokud k němu mají přístup ti, kdo mají vlastní zájmy, následky budou nepříjemné.

Tyto informace mohou být:

  • použití pro jiné účely;
  • deformovat;
  • výzkum k identifikaci přínosů;
  • zničit;
  • přepsat na externí média;
  • distribuovat, zveřejňovat data;
  • použít jako nástroj vydírání.

To platí pro jakýkoli typ dat – fyzické i elektronické. Relevantní pro jednotlivce, organizace, vládní agentury a jakékoli další struktury, které produkují a uchovávají různé množství informací.

Co je informační bezpečnost a za co je zodpovědná?

Informační bezpečnost (IS) je soubor opatření, která brání hrozbě úniku dat nebo hacknutí databází, softwarových produktů a systémového vybavení. V dobách před počítači se výměna dat prováděla na papíře, takže vše cenné bylo uloženo v trezorech, zapečetěno a hlídáno lidmi. Roli trezorů v dnešní době plní elektronická úložiště – lokální nebo cloudová. Proto se pozornost odborníků na informační bezpečnost přesunula k virtuálním hrozbám a specialista také potřebuje rozumět specifikům IT. Jde o důležitou součást digitální technologie, protože bez komplexní ochrany dat může dojít k vážnému poškození infrastruktury, což může pozastavit nebo zpomalit podnikové procesy společnosti.

Jaké oblasti IT bezpečnost zahrnuje?

Zajištění bezpečnosti informací se vyznačuje vícestupňovým přístupem. Metody a nástroje se liší podle typu informačního prostoru, pro který je potřeba ochranu vytvořit.

Zabezpečení koncového bodu

Mezi koncové body patří počítače, mobilní zařízení, tablety, kancelářské vybavení, servery a kamery. V závislosti na operačních systémech a na nich zpracovávaných datech je vyžadována ochrana. Pro ochranu a správu mobilních zařízení vytvářejí společnosti systémy vzdáleného přístupu a údržby a také řešení MDM/UEM. Cloudové technologie nebudou schopny přemístit místní úložiště a pracovní body. Fyzické vybavení je nezbytné, aby společnosti měly plnou kontrolu, správu a důvěrnost dat. Servery zpracovávají osobní údaje, bankovní, obchodní a dokonce i státní tajemství. Ochrana serverů a dat na nich je důležitou součástí informační bezpečnosti.

Zabezpečení internetu a cloudu

  • skenují síť zákazníka, aby identifikovali hrozby;
  • monitorovat prostředí infrastruktury pro rychlou reakci v době útoku;
  • identifikovat kritické prvky sítě sběrem dat z osobních a globálních databází;
  • identifikovat potenciální cíle útoku na základě informací z darknetu.

Zabezpečení uživatele

Různé služby pro řízení přístupu, kontrolu uživatelů, vícefaktorové ověřování a ochranu e-mailových služeb pomáhají odlišit legitimního uživatele od útočníka. Každý z nás má nyní tento přístup ve svých mobilních zařízeních (například heslo nebo vzor), jasně dává najevo, jak jednoduše a efektivně ochránit svá data. Tím však ochrana uživatele nekončí. Uživatelé musí být vyškoleni v bezpečných přístupech k práci na internetu, metodách ochrany před podvodníky a vetřelci. Včasné informování uživatele o možných útocích či manipulacích ze strany útočníka mu pomůže zabránit hrozbě ve velmi rané fázi, i když si toho technická bezpečnostní opatření nevšimla.

Za co je zodpovědná informační bezpečnost?

Zajištění bezpečnosti informací je spojeno s řešením tří problémů: dostupnosti, integrity a důvěrnosti dat.

  • Dostupnost zaručuje, že uživatel bude mít v určitém čase přístup k požadovaným informacím nebo informační službě.
  • Integrita zaručuje, že během ukládání nebo přenosu dat nebyly provedeny žádné neoprávněné změny.
  • Soukromí znamená, že konkrétní informace jsou dostupné pouze okruhu osob, kterým jsou určeny.

Vztah mezi těmito principy lze vidět na následujícím příkladu: vlastníte své e-mailové heslo a pouze vy můžete číst své e-maily. Pokud útočník získá přístup k vašemu e-mailu, bude ohroženo vaše soukromí. Pokud vymaže písmena nebo změní text v některých z nich, naruší to integritu. Pokud se během hackerského útoku nebudete moci dostat ke své poštovní schránce, bude ohrožena vaše přístupnost.

Veškerá opatření přijatá v rámci informační bezpečnosti musí směřovat k implementaci těchto zásad.

Jaké informace existují a jak jsou chráněny?

  • účetní zprávy, finanční zprávy;
  • databáze zákazníků;
  • dotazníky, další informace o zaměstnancích;
  • dokumenty představující firemní tajemství.

Ochrana musí být riziková, víceúrovňová a komplexní – omezení přístupových práv, dvoustupňová autorizace, kontrola politiky hesel, šifrování komunikačních kanálů a dat, sběr dat o událostech informační bezpečnosti a reakce na ně atd. povolíme absenci samostatného prvku, aniž bychom pochopili jeho relevanci, pak únik dat nebo jiná událost zabezpečení informací nebude trvat dlouho.

Vezměme si situaci na webu místní samosprávy, kde jsou zveřejňovány předpisy, důležité zprávy, oznámení a obchodní publikace. Veškerý její obsah je považován za veřejnou informaci. Nepovažuje se za důvěrný nebo PD, ale splňuje další dva principy – dostupnost a integritu. Proto také vyžaduje ochranná opatření, protože cizí osoby jej mohou narušit, upravit, odstranit a nahradit, což povede k nežádoucím důsledkům. To vše by měli sledovat specialisté na informační bezpečnost.

Mohou přímo poškodit fyzické zařízení, například deaktivovat servery na dálku nebo prostřednictvím přímého kontaktu. Prostory serveru musí být spolehlivě chráněny před přístupem osob bez zvláštního oprávnění. Síťové útoky na podnik mohou vyřadit jeho zdroje a vést k finančním ztrátám a ztrátám dobré pověsti. Jako ochrana se využívá šifrování dat, firewall, IDS řešení, instalace antivirů (včetně jejich včasné aktualizace) a další metody.

Před jakými hrozbami chrání informační bezpečnost?

  • interní pocházejí ze samotného systému – chyby, krádeže, zkreslování dat zaměstnanci a podobné situace;
  • vnější – hacky, DDoS útoky, viry a také fyzické hrozby (například požár nebo záplavy).

Ve kterých oblastech je informační bezpečnost nejdůležitější?

Nejzranitelnější informační oblastí jsou peníze a osobní údaje lidí, které mohou útočníci využít k osobnímu zisku. Proto všechny společnosti pracující s takovými informacemi věnují otázce jejich zabezpečení zvláštní pozornost. Obvykle se používají systémy monitorování hrozeb, vícefázové autorizační formuláře, biometrie, šifrování s vylepšenými kryptografickými algoritmy a další metody, které vlastní specialisté na informační bezpečnost.

Mezi tyto oblasti patří:

  • Bankovní sektor. Online služby pro klienty a bankovní infrastruktura jsou neustálým cílem podvodníků. Kybernetické útoky, hackování a podvodná schémata neustále testují sílu bankovních systémů. Proto je nutné zajistit neustálé zlepšování úrovně bezpečnosti v souladu s hrozbami a také včasné reakce na události a útoky informační bezpečnosti, jejich eliminaci proaktivně nebo v reálném čase. Ochrana těchto údajů je regulována specializovanými normami pro finanční instituce, například GOST 57.580-1.
  • Vládní struktury. Objevilo se mnoho online systémů, které umožňují mnohem pohodlnější interakci s vládními úřady. Žadatelé mohou rychle získat potřebné informace nebo službu bez front, ale to s sebou nese vysoké riziko, že se útočníci dostanou k důležitým informacím. Informační bezpečnost v této oblasti je postavena na vysoké úrovni, její implementace je kontrolována regulátory (FSTEK, FSB) a zákony.
  • Velké společnosti s velkou zákaznickou základnou. Mnoho korporací uchovává informace o svých klientech, některé mají online služby, kde se můžete registrovat, sledovat obchodní aktivity, speciální nabídky a akce. Tato vrstva informací je pro obchodníky s osobními údaji cennou komoditou, proto musí být jejich ochrana co nejvyšší. Úniky znamenají nejen poškozenou pověst, ale i odpovědnost před zákonem. Ochrana osobních údajů je řízena zákonem a FSTEC Ruské federace.
  • Klíčové segmenty ekonomiky. Ropný a plynárenský průmysl, vojensko-průmyslový komplex a energetika jsou kritickými oblastmi, jejichž některé aspekty jsou považovány za obchodní tajemství. Mají složitou softwarovou strukturu, jejíž porušení může vést k provozním poruchám a ekonomickým problémům. Takové struktury se nazývají chráněné objekty kritické informační infrastruktury (ZOKII), jejich úroveň ochrany je řízena samostatnými nařízeními FSTEC a zákony.
  • Online obchodování. Placená předplatná, online nákupy a jakékoli další služby, kde uživatelé provádějí platby, musí splňovat bezpečnostní parametry. Zde by měly být použity osvědčené platformy, online pokladny, různé autorizační a autentizační systémy a šifrování přenášených dat. Je použit hybridní přístup, který zajišťuje jak ochranu osobních údajů, tak bezpečnost bankovních údajů.
  • Centra pro ukládání a zpracování dat. Hosting a cloudové technologie patří mezi oblíbené digitální služby, které využívají miliony společností. Pro tyto účely se vytvářejí obrovská datová centra a celé budovy pro umístění serverových a síťových zařízení. Únik dat nebo selhání může vést ke skutečné katastrofě. Úroveň ochrany před virtuálními útoky je v nich poskytována ve spojení s fyzickou ochranou, odolností proti poruchám a odolností proti katastrofám zařízení a sítí.

Hlavní typy důvěrných informací

Důvěrná data jako základ informační bezpečnosti vyžadují klasifikaci, aby se s nimi dalo správně pracovat. Zákon upravuje ochranu osobních údajů, bankovního a státního tajemství:

  • Osobní. Patří sem všechny údaje, jejichž zpracování je v Rusku upraveno zákonem 152-FZ. Toto je také vaše celé jméno, adresa bydliště, rodinný stav, kontaktní údaje, údaje z pasu atd. Je zakázáno je předávat třetím osobám nebo kdekoli zveřejňovat bez vědomí vlastníka. Jako je například osobní spis zaměstnance nebo klientská základna.
  • Bankovní tajemství — jedná se o zákaz úvěrovým institucím zveřejňovat informace o svých klientech, jejich účtech a transakcích. Přístup k jakýmkoli takovým informacím je přísně regulován zákonem.
  • Státní tajemství – od vnitropolitického, ekonomického státu až po razítko „Tajné“ – je přísně chráněno před vnějšími útoky. Technologie používané v této oblasti procházejí nejpřísnějším výběrem.

Servis, komerční a profesionální ochrana je na uvážení majitelů:

  • Oficiální tajemství. Něco, co se každý zaměstnanec různých služeb, například penzijního fondu nebo daňové inspekce, zavazuje písemně nezveřejnit. Tyto stejné služby jsou odpovědné za bezpečnost zpracovávaných informací a uvolňují je pouze na základě příslušných žádostí.
  • Obchodní tajemství. Tuto informační vrstvu tvoří každá společnost samostatně na základě metod, nástrojů a informací, které při své práci používá. Informace, které umožňují podnikání úspěšně se rozvíjet a dosahovat vysokých zisků.
  • Profesní tajemství. Pokud lékař komukoli sdělí informace o zdravotním stavu pacienta, poruší tím profesní mlčenlivost. Totéž platí pro právníky, notáře, psychology a všechny, kdo osobně pracují s daty lidí. Taková data je ale potřeba někde ukládat a spolehlivě chránit. Tato oblast je upravena na legislativní úrovni.

Obecné závěry a závěr

  1. S rozvojem IT roste hodnota dat i počet kybernetických hrozeb, proto je třeba informační bezpečnosti věnovat maximální pozornost.
  2. Je nutné chránit data, uživatele, zařízení, síťovou komunikaci a všechny procesy, které zanechávají digitální stopu.
  3. Ochrana důvěrných údajů není jen osobním přáním společností, ale také zákonným požadavkem.
  4. Veřejné informace vyžadují ochranu jejich integrity, důvěrnosti a dostupnosti.
  5. Osobní a finanční údaje jsou oblasti s velmi vysokou zranitelností.
  6. Specialista na informační bezpečnost se neustále vzdělává, aplikuje nové znalosti a chápe, jak různé systémy fungují.
  7. Systém zabezpečení informací vyžaduje pravidelné testování účinnosti a relevance.

Společnost RAMAX nabízí rozsáhlé projekty využívající inovativní technologie. Našimi klienty jsou lídři průmyslového a technologického trhu. Na implementaci a podpoře v oblasti IT a systémů informační bezpečnosti pracuje tým odborných praktiků s dlouholetými zkušenostmi. Implementujeme řešení, která splňují čtyři důležité požadavky: rychlost, nepřetržitý provoz, odolnost proti chybám a informační bezpečnost.

Máte zájem o řešení bezpečnosti informací?

Napsat komentář