Три кита безопасности данных: целостность, конфиденциальность и доступность информации
Когда речь идет о безопасности, помимо доступности внимание концентрируется еще на таких свойствах, как конфиденциальность и целостность данных. Конфиденциальность означает сохранения определенных знаний в секрете и предотвращение их несанкционированного разглашения
Конфиденциальность означает сохранения определенных знаний в секрете и предотвращение их несанкционированного разглашения.
На первый взгляд кажется, что это свойство является в противоположным открытости и доступности информации. Однако на самом деле конфиденциальность ограничивает не саму возможности получения необходимых данных, а лишь число лиц, которые обладают всеми правами доступа к ним.
Особенно это свойство важно для режимных объектов, а также финансовой и другой документации, разглашения содержания которой может быть использовано для нарушения закона или вредит целостности всего государства. Рассматривая конфиденциальность, стоит не забывать, что на любом предприятии существуют два типа данных:
Рассматривая конфиденциальность, стоит не забывать, что на любом предприятии существуют два типа данных:
- доступные лишь для его работников (конфиденциальные);
- общедоступные.
Последние, как правило, размещаются на сайтах, в справочниках, в отчетной документации. Подобная открытость и доступность информации об организации служит не только в роли рекламы ее услуг для потенциальных клиентов, но и позволяет контролирующим органам следить за соблюдением законности в работе определенного предприятия.
Кстати, полнота и достоверность таких данных проверяется специальными выездными комиссиями.
Целостность данных — это их актуальность и непротиворечивость, а также защищенность от разрушения/несанкционированного изменения. Фактически это свойство означает, насколько они сохраняют свою актуальность, адекватность, полноту и достоверность.
Целостность и доступность информации особенно важны, когда речь идет о технической документации.
К примеру, если в данных о составе и противопоказаниях к определенному препарату произойдут несанкционированные изменения (будет нарушена целостность информации), пациенты, принимающие данное лекарство, могут попросту умереть.
Кстати подобный эффект возможен и в случае, если стало известно о новых побочных действиях снадобья, однако доступ к данной информации не был открыт всем потенциальным потребителям. Именно поэтому данные 2 свойства очень тесно взаимосвязаны между собою.
Как защитить себя от каскада доступности
Каскад доступности позволяет манипулировать вниманием аудитории. С помощью этого инструмента можно выводить на рынок новые продукты и решения, но использоваться он может и недобросовестно, как в примере с антивак-движением
Основным инструментом защиты все еще остается критическое мышление и фактчекинг.
Проверяйте информацию
Если у вас есть возможность, проверяйте качество ссылок и информационную базу утверждений, которые буквально витают в воздухе. Ключевые утверждения каскада, как правило, стараются подкреплять статистическими данными, например: «99% опрошенных считают…» Проверяйте, кем проведены подтверждающие исследования и насколько они релевантны. Часто авторы могут использовать другие когнитивные искажения, чтобы сформировать каскад доступности: например, применяют эффект доктора Фокса и демонстрируют аудитории работы несуществующего эксперта.
Угрозы доступности данных
Хотя большинство вышеупомянутых прав не доступны широкому числу пользователей информационных систем, это ограничение имеет вполне конкретную цель. Почему так? Давайте разберемся.
Представим систему данных в виде обычной классной доски. Роль владельца или администратора выполняет учитель, а весь класс — это пользователи с ограниченными правами доступа.
Пока преподаватель в классе, пользование «системой» доступно всем. При этом педагог контролирует, чтобы его подопечные пользовались ею с пользой: получали знания или демонстрировали уровень усвоенного материала.
Однако, когда настает перемена и учитель покидает класс, доска остается без присмотра и ученики получают все права доступа к ней. Как вы полагаете: что они станут делать? В любом школьном коллективе всегда найдется парочка умников, которые будут рисовать, писать что-то (причем не всегда лицеприятное). А увлекшись, они могут случайно стереть записи, подготовленные педагогом для следующего урока. Кроме того, дети могут попросту истратить весь мел или забыть помыть доску.
Как результат, с началом нового занятия «система» будет не готова к работе. Учителю придется выделить часть урока, чтобы привести доску в порядок или возобновить стертый текст.
Знакомая картина? В данном случае показано, почему так важно контроль за правами доступа к информации. Ведь не все пользователи, желающие проводить с ней операции, способны ответственно ею распорядиться
Кроме того, у некоторых из них может просто не быть достаточной квалификации для этого и их некомпетентность способна привести к сбою работы всей системы.
По данным статистики, наиболее частыми причинами угрозы доступности информации являются именно непреднамеренные ошибки обычных пользователей различных ресурсов или сетей, а также обслуживающего персонала. Причем часто подобные оплошности способствуют созданию уязвимых мест, которыми впоследствии могут воспользоваться злоумышленники.
К примеру, в 2016-2017 г. много вреда компьютерным системам всего мира принес вирус Petya. Эта вредоносная программа шифровала данные на компьютерах, то есть фактически лишила всю информацию доступности. Интересно, что в большинстве случаев вирус проникал в системы из-за того, что отдельные пользователи открывали письма с незнакомых адресов, не проведя тщательную предварительную проверку, согласно всем протоколам безопасности.
Каждая из угроз доступности может быть нацеленной на один из компонентов самой системы. Таким образом, их выделяют три:
- Отказ оператора.
- Внутренний отказ самой системы данных.
- Отказ поддерживающей инфраструктуры.
Касательно пользователей с ограниченными правами выделяются 3 типа угроз доступности информации.
- Нежелание работать с системой данных, как следствие необходимости освоения новых возможностей и расхождения между запросами потребителя и доступными свойствами и техническими характеристиками.
- Неспособность работы системы по причине отсутствия соответствующей подготовки оператора. Как правило, это последствие недостатка общей компьютерной грамотности, неумения интерпретировать диагностические сообщения и т. п.
- Невозможность работать с системой из-за отсутствия соответствующей технической поддержки (неполная документация, недостаток справочной информации). Обычно это угроза доступности является следствием ошибок не рядовых операторов, а администратора.
Определения понятия
Доступность (информации ) (англ. availability) — состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
Примечание. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.
Доступность (документа) — свойство документа, состоящее в том, что форма представления документа обеспечивает физическую возможность измерения заданных параметров этого представления документа (содержания, атрибутов, технологии) заданными средствами в заданных точках за конечное время.
Доступ к информации (англ. access to information) — возможность получения информации и ее использования.
Доступ (в автоматизированной информационной системе) (англ. access) — получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств.
Примечание. Доступ осуществляется субъектами доступа, к которым относятся лица, а так же логические и физические объекты.
Защита персональных данных
Долг каждого гражданина — знать и понимать, какой информацией он обладает и как необходимо с ней обращаться. Очень часто отсутствие у людей основных понятий о личной информации, пренебрежение требованиями информационной безопасности, приводит к неприятным последствиям, из-за чего в дальнейшем они могут легко стать жертвой мошенников или злоумышленников.
К персональным данным относятся сведения или совокупность сведений о физическом лице, которое идентифицировано или позволяют конкретно идентифицировать его. Примером персональных данных является фамилия, имя, отчество, адрес, телефоны, паспортные данные, национальность, образование, семейное положение, религиозные и мировоззренческие убеждения, состояние здоровья, материальное положение, дата и место рождения, место жительства и пребывания и т.д. , данные о личных имущественных и неимущественных отношения этого лица с другими лицами, в том числе членами семьи, а также сведения о событиях и явлениях, происходивших или происходящих в бытовой, интимной, товарищеской, профессиональной, деловой и других сферах жизни лица (за исключением данных по выполнению полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органа местного самоуправления) и др.
Указанная выше информация является информацией о физическом лице и членах его семьи и является конфиденциальной. Конфиденциальная информация может обрабатываться и распространяться только с согласия лица, которому она принадлежит (субъект персональных данных), кроме случаев, определенных законом.
Основным способом обеспечения информационной безопасности и исключения несанкционированного доступа к ресурсам информационных систем с данными являются подтверждения подлинности пользователей и разграничение их намерений на доступ к определенным информационным ресурсам. Подтверждение подлинности пользователя обеспечивается выполнением процедуры его идентификации, проверкой подлинности лица и осуществлением контроля за всеми действиями, обусловленными приписанными данному пользователю полномочиями доступа. Идентификация пользователя включает в себя регистрацию в системе безопасности вычислительного устройства уникального регистрационного имени пользователя (логина) и соответствующего этому пользовательском имени — пароля. Установления подлинности пользователя (аутентификация) заключается в проверке истинности его полномочий. Для особо надежного опознания при идентификации и аутентификации пользователя иногда используются специальные технические средства, фиксирующие и распознают индивидуальные физические и лингвистические характеристики человека (голос, отпечатки пальцев, структура зрачки, языковые особенности и т.д.). Однако такие методы требуют значительных затрат, поэтому их используют редко, так что основным и самым массовым средством идентификации остается парольную доступ.
В ряде случаев при необходимости обеспечить высокую степень защиты данных, содержащихся в компьютере, используют также специальные криптографические методы защиты информации (шифрование, цифровая подпись, цифровые водяные знаки и т.д.). При шифровании информации происходит ее обратное преобразование в некоторую кажущуюся случайную последовательность символов, которая называется шифротекстом, или криптограммой. Для создания и работы с криптограммой требуется знание алгоритма и ключа шифрования. Алгоритм шифрования представляет собой последовательность преобразований обрабатываемых данных в соответствии с ключом шифрования, ключ шифрования обеспечивает шифрование и дешифрование информации.
Сегодня все большую популярность приобретает такое криптографическое средство защиты информации, как электронная цифровая подпись (ЭЦП). Такая подпись уже стала достаточно часто используемым способом идентификации и аутентификации пользователя в банковской и других сферах деятельности. Электронная цифровая подпись представляет собой присоединенное к какому-либо тексту его криптографическое (зашифрованное определенным способом) преобразования, что позволяет получателю текста проверить подлинность его авторства и подлинности самого текста. К такому же типу технологической защиты можно отнести и цифровые водяные знаки (англ. Digital watermark), которые сегодня чаще всего используют для предотвращения несанкционированного копирования мультимедийных файлов, как один из эффективных способов защиты авторских прав.
Интернет для людей с нарушением моторики и с ментальными особенностями
Цифровая доступность касается не только зрения и слуха. Сегодня сервисы стремятся стать максимально удобными для всех пользователей без исключения. Например, это касается людей с нарушением моторных функций (ДЦП, отсутствие или повреждение конечностей, паралич, тремор).
Многие из них, работая за компьютером, пользуются исключительно клавиатурой, игнорируя мышь. Причем управлять могут и пальцами рук, и пальцами ног. А еще могут использовать карандаш, зажатый в зубах, или различные ассистивные устройства типа джойстиков или специально настраиваемых кнопок. Также иногда возможно и использование мобильных устройств.
Видео: YouTube
Стоит помнить, что люди с нарушением моторики также могут не иметь инвалидности
Человек с младенцем на руках или с тяжелыми сумками — это тоже пользователи, которым важно упрощать взаимодействие с гаджетами
Еще один важный блок для тех, кто работает с адаптацией сервисов под законы цифровой доступности — это доступность для людей с разными когнитивными способностями. Есть такое мнение (с которым сложно не согласиться), что дизайн для людей с аутизмом — один из самых удобных вообще для всех. А все потому, что правила доступности для этой аудитории как будто дают глазам «отдохнуть»: простые формы, высокая контрастность (без бледно-серых букв на светло-сером фоне), простая навигация, наличие пустого пространства между объектами. При соблюдении этих пунктов глаза и мозг не раздражены миганиями, вспышками, кричащими картинками и отсутствием логики.
Уже много лет в сети живет понятие «ясный язык» (в англоязычном сегменте easy to read) — это адаптированный письменный язык, который понятен абсолютно всем: как людям с инвалидностью, так и людям с ментальными особенностями (людям с синдромом Дауна или аутизмом), так и нормотипичным людям
В России особое внимание к ясному языку и привлекают благотворительные фонды «Синдром любви» и «Даунсайд ап», которые создали проект «Простыми словами», посвященный ясному языку и доступной коммуникации
Формы представления информации
Акустическая информация. Разговоры – передача акустической информации. Есть виброакустика, когда акустическая волна воздействует на стекло или трубу отопления (соответствующая поверхность вибрирует) можно попытаться снять вибрацию. Аналогично – электроакустика (через розетки). Двойные двери с тамбуром у начальников – решение, которое позволят уменьшить уровень акустического сигнала за пределами защищаемого помещения.
Побочное электромагнитное излучение. На определенной частоте в телевизоре можно было поймать сигнал соседей. То же самое качается розетки, в которой есть электричество.
Применительно к конфиденциальной информации не имеет смысла – проще купить информацию у сотрудника. Поэтому угроза считается не актуальной.
Информация обрабатываемая (циркулирующая) в ИСПДн.
Видовая информация в виде текста, изображений и т. д., например та информация, которая отображается в мониторе. Речь идет о канале, по которому может быть нарушена конфиденциальность + физический доступ. Мы можем посмотреть на бумажный документ, нарушив конфиденциальность (+ физическая нарушение целостности).
Информация в виде сигналов.
- Утечка информации. Любое нарушение конфиденциальности можно назвать утечкой.
- Разглашение информации. Является подмножеством утечки. Доведение защищаемой информации до лиц, не имеющих права доступа. Активным лицом является сотрудник знающий информацию. Т. Е. внутренний нарушитель.
- Перехват. Активным лицом является злоумышленник. Перехват информации с помощью технических или иных средств. Подслушать и т.д.
- Побочные элеткромагнитные излучения.
- Наводка – наведение через конструктивный элемент.
Блокирование (затруднение) доступа к информации – прекращение возможности доступа к информации.
Способы реализации угроз
- Способы реализации угроз утечки речевой и акустической информации:
- С использованием аппаратуры регистрирующей акустические (в воздухе) и виброакустические (в других средах) волны.
- С использованием специальных электронных устройств съема речевой информации внедренных в технические средства обработки информации. ВТСС – кондиционер, трубы отопления, телефон и т. д.
- Регистрация волн за пределами помещения.
- Внедрение жучков (средств негласного снятия информации).
- Способы реализации угроз видовой информации:
- С помощью оптических устройств и средств съема информации с экранов вне помещений.
- С помощью специальных устройств съема внедренных в служебные помещения.
- Пример – на вахте есть видеонаблюдение и монитор вахтера стоит так что проходящие мимо люди могут его свободно просматривать. Можно понять с какого количества камер выводится изображение и где они установлены.
- Способы реализации угроз по каналам ПЭМИН – при помощи соответствующей аппаратуры перехватить все, что подключается к розетке и обладает побочным электромагнитным излучением.
- Способ реализации угрозы целостности на основе сигналов. Преднамеренное электромагнитное воздействие на информацию – несанкционированное воздействие на информацию путем электромагнитного воздействия.
Компьютерные атаки
- Угрозы, реализуемые в ходе загрузки операционной системы (BIOS). Через BIOS можно установить устройство загрузки (приоритет), например флешка. Если у вас первым в очереди стоит USB порт, то при подключении «Вредоносной» флешки можно скопировать все нужные данные. Так же можно установить пароль на BIOS. Пароль на загрузку ОС.
- Угрозы, реализуемые после загрузки ОС. Эксплойты, использующие известные уязвимости операционной системы и прикладного программного обеспечения.
- Программное воздействие. Наличие в ОС вредоносных программ. Тут в целом все понятно и заучивать типовые определение не вижу смысла.
- Программная закладка. По сути это недекларируемые возможности программного обеспечения.
Теперь вы знаете основные понятия информационной безопасности.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Понятие «угроза информационной безопасности»
Рассмотрим, какие угрозы существуют, и на какие свойства информации они направлены. Свойства и краткие пояснения указаны в скобках.
- Противоправные сбор и использование информации (нарушение конфиденциальности).
- Нарушение технологии обработки информации (нарушение целостности, аутентичности).
- Внедрение в аппаратные и программные изделия компонентов функций не предусмотренные документацией (нарушение достоверности).
- Разработка и распространение программ нарушающих нормальное функционирование информационных систем и систем защиты информации (нарушение целостности).
- Уничтожение, повреждение или разрушение средств и систем обработки информации (нарушение целостности).
- Воздействие на парольно-ключевые системы защиты систем обработки информации (нарушение доступности – ввести несколько раз неправильно пароль, блокировка информации через систему защиты; отключение парольной защиты – нарушение целостности).
- Компрометация ключей и средств криптографической защиты информации (угроза конфиденциальности, применительно к системе защиты информации).
- Утечка информации по техническим каналам, например, акустическим (нарушение конфиденциальности информации).
- Внедрение электронных устройств для перехвата информации в технические средства обработки информации «жучки» (нарушение целостностипомещения, системы).
- Уничтожение, повреждение, разрушение носителей информации, хищение (угроза целостности).
- Несанкционированный доступ к информации в БД (нарушение конфиденциальности).
- Перехват информации в сетях, дешифрирование и передача ложной информации (нарушение конфиденциальности/целостности).
- Использование несертифицированных средств защиты информации. Это не совсем угроза. Ну, приведу простое сравнение, например. Вы пришли в больницу, а почему я заболел – по тому, что таблетки не пили. Сертификация направлена на обнаружение недекларированных возможностей (нарушение достоверности).
- Нарушение законных ограничений на распространение информации (нарушение доступности).
То есть, нарушение информационной безопасности – случайное или преднамеренное неправомерное действие вызывающее негативные последствия (ущерб/вред) для организации.
Теперь немного не связно, но по сути.
Категории доступа к информации
Категории доступа к информации:
- Общедоступная информация. Может использоваться кем угодно, лишь бы соблюдались законы (например, противодействие терроризму и подобные). Обладатель общедоступной информации по просьбе первоисточника должен указывать ссылку на него.
- Информация, доступ к которой ограничен.
Информация ограниченного доступа:
- Секретная (гос. тайна). Ключевое определение гос тайны включает в себя направления по которым информация является секретной:
- Военная,
- Внешнеполитическая
- Экономическая,
- Разведывательная,
- Контрразведывательная,
- Розыскная деятельность.
- Конфиденциальная.
Документ без реквизитов — это бумажка, а не документ.
Реквизиты на документе – гриф секретности:
Особой важности. Ущерб интересам Российской Федерации в одной из областей.
Совершенно секретно
Ущерб интересам министерства (ведомства) или отрасли экономики РФ.
Секретно. Ущерб, нанесенный интересам предприятия.
Штамп на документе: чья информация, уровень секретности и иные реквизиты, характеризующие документ. Ключевое слово – ущерб.
Сведения конфиденциального характера.
Конфиденциальная информация:
- Персональные данные.
- Тайна следствия и судопроизводства.
- Служебная тайна.
- Профессиональная тайна.
- Коммерческая тайна.
- Интеллектуальная собственность (до официальной публикации).
Служебная тайна – документы с грифом ДСП (для служебного пользования).
Профессиональная тайна – информация полученная градинами при исполнении своих обязанностей.
Банковская тайна (ФЗ №14 от 26.01.1996 г. «Гражданский Кодекс РФ» ) – тайна об операциях, счетах и вклада клиентов и корреспондентов.
Врачебная тайна (ФЗ №323 от 21.11.2011 «Об основах охраны здоровья граждан в российской Федерации») – информация о факте обращения за медицинской помощью, состояние здоровья, диагноз.
Адвокатская тайна (ФЗ №63 от 31 мая 2002 г. «Об адвокатской деятельности и адвокатуре в РФ») – любые сведения, связанные с оказанием юридической помощью своего доверителя.
Нотариальная тайна – любые сведения, которые стали известны нотариусу в связи с осуществлением своей деятельности.
Аудиторская тайна (ФЗ №307 от 30 декабря 2008 г. «Об аудиторской деятельности») – любые сведения, полученные в ходе профессиональной деятельности, за исключением: сведений о договоре и оплате, и разглашенных самим лицом.
Журналистская тайна (закон РФ №2124-1 от 27.12.1991 «О средствах массовой информации»)– не вправе разглашать сведения, кем-либо с условием сохранения их в тайне, не вправе называть лицо, предоставившее сведения с условием неразглашения его имени. Так же нельзя разглашать судебные и т.д. сведения о несовершеннолетних.
Налоговая тайна (ФЗ №146 от 31.07.1998 «Налоговый кодекс РФ. Часть 1»)– любые сведения, полученные налоговым органом, за исключением: ИНН и т.п.
Тайна связи (ФЗ №126 от 7 июля 2003 г. «О связи») – тайна переписки, телефонных разговоров и почтовых и иных отправлений. Тайна не распространяется на общественные места. Если предупрежден о том, что снимают на видео, то все ОК. Разговоры записываются в целях …
Тайна страхования (ФЗ №14 от 26.01.1996 «Гражданский кодекс РФ (часть 2)», ст. 946) – страховщик не вправе разглашать сведения о страхователе, об имущественном состоянии и состоянии здоровья застрахованных лиц.
Коммерческая тайна (ФЗ №98 от 29 июля 2004 г. «О коммерческой тайне»)– под коммерческую тайну можно подтянуть практически все.
Интеллектуальная собственность – вся интеллектуальная собственность до ее публикации.
Область использования
Понятие «доступность объекта»
(англ. availability
) используется в контексте терминологии информационной безопасности (объектом может быть информация, документы, ресурсы автоматизированной системы). В частности, свойство доступность информации
(ресурсов автоматизированной системы) — является одним из трех основных критериев информационной безопасности объекта.
Обычно свойство доступности требуется наряду с конфиденциальностью (confidentiality
) и целостностью (integrity
). Иногда к списку необходимых свойств информационной безопасности объекта добавляют неотказуемость (non-repudiation
), подотчётность (accountability
), аутентичность или подлинность (authenticity
), достоверность (reliability
).