Информационная безопасность
Информационная безопасность — это разные методы защиты информации от посторонних. То есть от всех, кто не должен иметь к ней доступ. Например, маркетологу обычно незачем смотреть бухгалтерскую отчетность компании, а бухгалтеру — видеть внутренние документы отдела разработки.
До эпохи всеобщей цифровизации защищать приходилось в основном бумажные документы. Их прятали в сейфы, секретные сообщения шифровали, информацию передавали через надежных людей. Сейчас компьютерная безопасность — это основа любого бизнеса.
Принципы ИБ
Защита информационной безопасности базируется на трех принципах: доступность, целостность, конфиденциальность.
- Конфиденциальность — данные получают только те, кто имеет на это право. Например, в Figma хранятся макеты приложения, доступ к которым есть только у дизайнеров и менеджера продукта.
- Целостность — данные хранятся в полном объеме и не меняются без разрешения уполномоченных лиц. Допустим, есть код в закрытом репозитории. Если посторонний человек попадает в репозиторий и удаляет часть проекта, то это нарушает целостность.
- Доступность — если сотрудник имеет право на доступ к информации, он ее получает. Например, каждый сотрудник может зайти на свою электронную почту. Но если почтовый сервис атакуют и сделают недоступным, то сотрудники не смогут им воспользоваться.
Соблюдение этих принципов помогает достичь цели информационной безопасности — снизить вероятность или исключить несанкционированный доступ, изменение, распространение и удаление данных.
Какую информацию надо защищать
Понимание того, какие данные следует защищать — это то, от чего зависит информационная безопасность в компании.
Информация бывает общедоступной и конфиденциальной.
- Общедоступная — эти данные может просматривать любой человек.
- Конфиденциальная — доступна только отдельным пользователям.
На первый взгляд кажется, что меры информационной безопасности не распространяются на общедоступную информацию, но это не так. К ней не применяется только принцип конфиденциальности. Общедоступные данные должны оставаться целостными и, что логично, доступными.
Например, страница пользователя в социальной сети. На ней есть общедоступная информация. Социальная сеть обеспечивает ее доступность и целостность. Если пользователь не изменил настройки приватности, то посмотреть его страницу могут все желающие. Но они не могут ничего на ней изменить.
В то же время владелец аккаунта может настраивать конфиденциальность — допустим, скрыть своих друзей, группы, на которые он подписан, музыкальные интересы.
Конфиденциальная информация тоже бывает разной. Это могут быть:
- Персональные данные пользователей.
- Коммерческая тайна — сведения о том, как работает компания, какие проекты и как ведет.
- Профессиональная тайна — ее обязаны сохранять врачи, адвокаты, нотариусы и представители некоторых других профессий.
- Служебная тайна — например, данные Пенсионного фонда, налоговой инспекции, банковские сведения.
- Государственная тайна — разведывательная информация, сведения об экономическом состоянии, внешней политике, науке и технике.
Это не исчерпывающий перечень, а, скорее, попытка показать, как много данных нуждаются в том, чтобы к ним были применены средства информационной безопасности.
Возможные угрозы
Огромный список потенциальных угроз обычно делят на четыре типа:
- Естественные — например, ураган или наводнение.
- Искусственные — явления, которые связаны с деятельностью человека. Бывают непреднамеренными (ошибка сотрудника) и преднамеренными (хакерская атака).
- Внутренние — угрозы, которые исходят изнутри системы, например от сотрудников.
- Внешние — угрозы, которые исходят из других источников, например атака конкурентов.
С массовым внедрением удаленного формата количество искусственных угроз, внешних и внутренних, преднамеренных и непреднамеренных, заметно увеличилось. Из-за этого возросла нагрузка на специалистов по информационной безопасности.
Средства защиты
Организационные меры защиты информации выполняются на нескольких уровнях контроля.
- Административный — это формирование стандартов, процедур, принципов защиты. Например, разработка политики корпоративной безопасности. На этом уровне важно понять, какие данные и как вы будете защищать.
- Логический — защита доступа к программному обеспечению, информационным системам. На этом уровне контроля настраиваются права доступа, устанавливаются пароль, конфигурируются защищенная сеть и файрвол.
- Физический — на этом уровне контролируется физическая инфраструктура. Речь не только о доступе к оборудованию, но и о защите от пожаров, наводнений и других чрезвычайных ситуаций
Несмотря на цифровизацию, физическая защита информации остается не менее важной. Антивирусы и разграничение прав не помогут, если злоумышленники получат физический доступ к серверу. Не спасут они и при возникновении чрезвычайной ситуации. Чтобы исключить подобные проблемы, cloud.timeweb.com использует инфраструктуру в защищенных дата-центрах.