Информационная безопасность

Информационная безопасность — это разные методы защиты информации от посторонних. То есть от всех, кто не должен иметь к ней доступ. Например, маркетологу обычно незачем смотреть бухгалтерскую отчетность компании, а бухгалтеру — видеть внутренние документы отдела разработки.

До эпохи всеобщей цифровизации защищать приходилось в основном бумажные документы. Их прятали в сейфы, секретные сообщения шифровали, информацию передавали через надежных людей. Сейчас компьютерная безопасность — это основа любого бизнеса.

Принципы ИБ

Защита информационной безопасности базируется на трех принципах: доступность, целостность, конфиденциальность.

• Конфиденциальность — данные получают только те, кто имеет на это право. Например, в Figma хранятся макеты приложения, доступ к которым есть только у дизайнеров и менеджера продукта.
• Целостность — данные хранятся в полном объеме и не меняются без разрешения уполномоченных лиц. Допустим, есть код в закрытом репозитории. Если посторонний человек попадает в репозиторий и удаляет часть проекта, то это нарушает целостность.
• Доступность — если сотрудник имеет право на доступ к информации, он ее получает. Например, каждый сотрудник может зайти на свою электронную почту. Но если почтовый сервис атакуют и сделают недоступным, то сотрудники не смогут им воспользоваться.

Соблюдение этих принципов помогает достичь цели информационной безопасности — снизить вероятность или исключить несанкционированный доступ, изменение, распространение и удаление данных.

Какую информацию надо защищать

Понимание того, какие данные следует защищать — это то, от чего зависит информационная безопасность в компании. 

Информация бывает общедоступной и конфиденциальной. 

• Общедоступная — эти данные может просматривать любой человек.
• Конфиденциальная — доступна только отдельным пользователям.

На первый взгляд кажется, что меры информационной безопасности не распространяются на общедоступную информацию, но это не так. К ней не применяется только принцип конфиденциальности. Общедоступные данные должны оставаться целостными и, что логично, доступными.

Например, страница пользователя в социальной сети. На ней есть общедоступная информация. Социальная сеть обеспечивает ее доступность и целостность. Если пользователь не изменил настройки приватности, то посмотреть его страницу могут все желающие. Но они не могут ничего на ней изменить.

В то же время владелец аккаунта может настраивать конфиденциальность — допустим, скрыть своих друзей, группы, на которые он подписан, музыкальные интересы. 

Конфиденциальная информация тоже бывает разной. Это могут быть:

• Персональные данные пользователей.
• Коммерческая тайна — сведения о том, как работает компания, какие проекты и как ведет.
• Профессиональная тайна — ее обязаны сохранять врачи, адвокаты, нотариусы и представители некоторых других профессий.
• Служебная тайна — например, данные Пенсионного фонда, налоговой инспекции, банковские сведения.
• Государственная тайна — разведывательная информация, сведения об экономическом состоянии, внешней политике, науке и технике.

Это не исчерпывающий перечень, а, скорее, попытка показать, как много данных нуждаются в том, чтобы к ним были применены средства информационной безопасности.

Возможные угрозы

Огромный список потенциальных угроз обычно делят на четыре типа:

• Естественные — например, ураган или наводнение. 
• Искусственные — явления, которые связаны с деятельностью человека. Бывают непреднамеренными (ошибка сотрудника) и преднамеренными (хакерская атака).
• Внутренние — угрозы, которые исходят изнутри системы, например от сотрудников.
• Внешние — угрозы, которые исходят из других источников, например атака конкурентов.

С массовым внедрением удаленного формата количество искусственных угроз, внешних и внутренних, преднамеренных и непреднамеренных, заметно увеличилось. Из-за этого возросла нагрузка на специалистов по информационной безопасности.

Средства защиты

Организационные меры защиты информации выполняются на нескольких уровнях контроля.

• Административный — это формирование стандартов, процедур, принципов защиты. Например, разработка политики корпоративной безопасности. На этом уровне важно понять, какие данные и как вы будете защищать.
• Логический — защита доступа к программному обеспечению, информационным системам. На этом уровне контроля настраиваются права доступа, устанавливаются пароль, конфигурируются защищенная сеть и файрвол.
• Физический — на этом уровне контролируется физическая инфраструктура. Речь не только о доступе к оборудованию, но и о защите от пожаров, наводнений и других чрезвычайных ситуаций

Несмотря на цифровизацию, физическая защита информации остается не менее важной. Антивирусы и разграничение прав не помогут, если злоумышленники получат физический доступ к серверу. Не спасут они и при возникновении чрезвычайной ситуации. Чтобы исключить подобные проблемы, timeweb.cloud использует инфраструктуру в защищенных дата-центрах.