Управление информационной безопасностью

Введение в информационную безопасность: основные понятия, цели и нормативно-правовое регулирование

Добро пожаловать в курс «Управление информационной безопасностью». Мы начинаем погружение в одну из самых динамичных и критически важных областей современного мира. В эпоху цифровизации информация стала «новой нефтью», а способность защищать её — ключевым навыком для выживания бизнеса и государства.

В этой статье мы разберем фундамент, на котором строится вся система защиты: от базовой триады безопасности до юридических аспектов, регулирующих эту деятельность.

Что такое информационная безопасность?

Информационная безопасность (ИБ) — это состояние защищенности информации, при котором обеспечены её конфиденциальность, доступность и целостность. Это не просто установка антивируса или сложного пароля. Это комплекс организационных, технических и правовых мер, направленных на защиту информационных активов от угроз.

Важно понимать, что ИБ — это процесс, а не результат. Нельзя «сделать безопасность» один раз и забыть. Угрозы эволюционируют, технологии меняются, и система защиты должна адаптироваться вместе с ними.

Триада информационной безопасности (CIA)

В основе любой стратегии безопасности лежат три ключевых принципа, известные как модель CIA (Confidentiality, Integrity, Availability) или КЦД (Конфиденциальность, Целостность, Доступность).

!Триада информационной безопасности: три столпа защиты данных

1. Конфиденциальность

Это гарантия того, что доступ к информации имеют только те субъекты (люди, программы, процессы), которые прошли авторизацию и имеют на это права. Нарушение конфиденциальности происходит, когда данные попадают в чужие руки (утечки, шпионаж, перехват трафика).

2. Целостность

Это гарантия того, что информация не была изменена, разрушена или искажена неавторизованным способом. Данные должны оставаться точными и полными. Нарушение целостности может быть случайным (сбой оборудования) или преднамеренным (внедрение вредоносного кода, подмена финансовых отчетов).

3. Доступность

Это гарантия того, что авторизованные пользователи имеют доступ к информации и связанным с ней активам тогда, когда это необходимо. DDoS-атаки, шифровальщики-вымогатели или физическое отключение серверов — это атаки на доступность.

> Безопасность — это всегда компромисс между защищенностью и удобством использования. Абсолютно безопасный компьютер — это тот, который выключен, залит бетоном и находится на дне океана.

Ключевые термины: Активы, Угрозы, Уязвимости и Риски

Чтобы управлять безопасностью, нужно говорить на правильном языке. Разберем цепочку понятий, которая формирует ландшафт ИБ.

Актив — все, что имеет ценность для организации (базы данных, сотрудники, репутация, оборудование).

Уязвимость — слабое место в системе (ошибка в коде, открытый порт, доверчивый сотрудник).

Угроза — потенциальная причина нежелательного инцидента, который может нанести ущерб системе или организации.

Атака — реализация угрозы через использование уязвимости.

Взаимосвязь этих понятий лучше всего описывается через концепцию риска. В управлении рисками часто используется базовая формула для оценки величины риска:

Где: * (Risk) — величина риска. * (Probability) — вероятность реализации угрозы (насколько часто это может происходить). * (Impact) — степень влияния или ущерб от реализации угрозы (сколько денег или репутации мы потеряем).

Иногда формулу детализируют, чтобы показать роль уязвимостей:

Где: * — риск. * (Threat) — уровень угрозы (активность злоумышленников, стихийные бедствия). * (Vulnerability) — уровень уязвимости системы (насколько легко её взломать). * (Cost) — стоимость актива или ущерб от его потери.

!Взаимосвязь основных понятий ИБ: риск возникает там, где угроза встречает уязвимость ценного актива

Понимание этой формулы критически важно для менеджера. Вы не можете защитить всё от всего. Вы должны снижать (уязвимости) или уменьшать (ущерб), чтобы минимизировать итоговый (риск).

Цели управления информационной безопасностью

Главная цель управления ИБ — не «построить крепость», а обеспечить достижение целей бизнеса в условиях существующих угроз. Это достигается через:

* Минимизацию ущерба: Предотвращение финансовых и репутационных потерь. * Обеспечение непрерывности бизнеса: Компания должна работать даже во время атаки или сбоя. * Соответствие требованиям (Compliance): Соблюдение законов и стандартов, чтобы избежать штрафов.

Нормативно-правовое регулирование в РФ

Работа специалиста по ИБ строго регламентирована. В России существует иерархическая система правовых актов. Рассмотрим основные уровни и документы.

Основные регуляторы

В России сферу ИБ курируют три ключевых ведомства:

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — отвечает за защиту информации в некриптографических системах, техническую защиту и защиту персональных данных (техническая часть).

ФСБ России (Федеральная служба безопасности) — регулирует вопросы криптографии (шифрования) и работу с государственной тайной, а также курирует ГосСОПКА (система обнаружения компьютерных атак).

Роскомнадзор — следит за соблюдением прав субъектов персональных данных (организационно-правовая часть).

Ключевые федеральные законы

Любой менеджер по ИБ обязан знать положения следующих законов:

1. ФЗ-149 «Об информации, информационных технологиях и о защите информации»

Это базовый закон, который вводит основные понятия (информация, обладатель информации, доступ) и устанавливает общие требования к защите. Он закрепляет право граждан на доступ к информации и обязанности компаний по её защите.

2. ФЗ-152 «О персональных данных»

Самый «популярный» закон в бизнесе. Он регулирует обработку любых данных, относящихся к физическому лицу (ФИО, телефон, email). Закон требует:

* Получать согласие на обработку данных. * Хранить базы данных граждан РФ на территории РФ. * Принимать технические и организационные меры для защиты этих данных.

3. ФЗ-187 «О безопасности критической информационной инфраструктуры (КИИ) РФ»

Этот закон касается организаций, от работы которых зависит жизнь и здоровье людей, экономика или безопасность страны (банки, энергетика, транспорт, связь, здравоохранение). Если ваша компания попадает под критерии субъекта КИИ, вы обязаны категорировать свои объекты и подключаться к ГосСОПКА.

4. ФЗ-98 «О коммерческой тайне»

Регулирует защиту секретов производства (ноу-хау). Чтобы информация стала коммерческой тайной, недостаточно просто назвать её таковой. Необходимо ввести в организации режим коммерческой тайны: нанести грифы, определить перечень лиц с доступом, внести пункты в трудовые договоры.

Международные стандарты

Помимо российских законов, «золотым стандартом» в управлении ИБ является серия международных стандартов ISO/IEC 27000.

Главный из них — ISO/IEC 27001. Он описывает требования к Системе Менеджмента Информационной Безопасности (СМИБ). В России он адаптирован как ГОСТ Р ИСО/МЭК 27001. Внедрение этого стандарта помогает выстроить процессы управления безопасностью системно, основываясь на цикле PDCA (Plan-Do-Check-Act).

Заключение

Информационная безопасность — это фундамент доверия клиентов и партнеров к вашей организации. Понимание триады CIA, умение оценивать риски и знание правового поля — это первые шаги к построению надежной системы защиты.

В следующей статье мы углубимся в тему «Управление рисками информационной безопасности», где детально разберем методы оценки рисков и стратегии их обработки.

Управление рисками: идентификация активов, моделирование угроз и методики оценки рисков

В предыдущей статье мы ввели понятие риска как произведения вероятности события на ущерб от него. Теперь пришло время превратить эту абстрактную формулу в рабочий инструмент. Управление рисками (Risk Management) — это центральный процесс информационной безопасности. Без него ИБ превращается в хаотичную закупку дорогих средств защиты, которые могут вовсе не решать реальных проблем бизнеса.

Если вы не знаете, что защищаете и от кого, вы уже проиграли. В этой статье мы пройдем полный цикл управления рисками: от инвентаризации того, что у нас есть, до математического расчета возможных потерь.

Этап 1: Идентификация активов

Нельзя защитить «всё». Ресурсы всегда ограничены. Поэтому первый шаг любого аудита или построения системы ИБ — это инвентаризация активов.

Актив — это всё, что имеет ценность для организации и нуждается в защите. Часто под активами понимают только «железо» или софт, но это ошибка. В ИБ выделяют несколько категорий:

Информационные активы: Базы данных клиентов, исходный код, финансовые отчеты, ноу-хау, переписка топ-менеджмента.

Материальные активы (Hardware): Серверы, ноутбуки сотрудников, сетевое оборудование, токены доступа.

Программные активы (Software): Операционные системы, прикладное ПО, лицензии.

Человеческие ресурсы: Ключевые сотрудники, обладающие уникальными знаниями.

Нематериальные активы: Репутация бренда, доверие клиентов.

Проблема Shadow IT

Одной из главных проблем на этапе идентификации является Shadow IT («теневое ИТ»). Это устройства и сервисы, которые сотрудники используют без ведома IT-департамента: личные облачные хранилища для рабочих файлов, мессенджеры, несогласованные Wi-Fi роутеры. Если актив не учтен, он не защищен, а значит, является открытой дверью для злоумышленника.

Этап 2: Моделирование угроз

После того как мы составили список активов, нужно понять: что плохого может с ними случиться? Этот процесс называется моделированием угроз.

Одной из самых популярных методологий для классификации угроз является модель STRIDE, разработанная Microsoft. Она помогает не упустить из виду различные векторы атак.

Модель STRIDE

| Угроза | Расшифровка (Eng) | Описание на русском | | :--- | :--- | :--- | | S — Spoofing | Spoofing identity | Подмена личности. Злоумышленник выдает себя за другого пользователя или устройство (например, кража cookie-сессии). | | T — Tampering | Tampering with data | Подмена данных. Несанкционированное изменение информации (например, изменение суммы транзакции). | | R — Repudiation | Repudiation | Отказ от авторства. Ситуация, когда невозможно доказать, что конкретный пользователь совершил действие (отсутствие логов). | | I — Information Disclosure | Information Disclosure | Раскрытие информации. Утечка конфиденциальных данных (чтение файлов без прав доступа). | | D — Denial of Service | Denial of Service | Отказ в обслуживании. Атака, делающая ресурс недоступным для легитимных пользователей (DDoS). | | E — Elevation of Privilege | Elevation of Privilege | Повышение привилегий. Получение прав администратора обычным пользователем. |

!Визуализация категорий угроз по модели STRIDE

Этап 3: Оценка рисков

Когда мы знаем активы и угрозы, нам нужно оценить риски. Существует два основных подхода: качественный и количественный.

Качественная оценка (Qualitative Assessment)

Этот метод используется чаще всего, так как он быстрее и проще. Риски оцениваются экспертным путем с использованием шкал, например: «Низкий», «Средний», «Высокий».

Основной инструмент здесь — Матрица рисков (Risk Matrix) или Тепловая карта (Heatmap). По одной оси откладывается вероятность реализации угрозы, по другой — степень ущерба.

* Зеленая зона: Низкая вероятность и низкий ущерб (риск можно принять). * Красная зона: Высокая вероятность и критический ущерб (требует немедленных действий).

Главный минус метода — субъективность. То, что для одного эксперта «Средний риск», для другого может быть «Высоким».

Количественная оценка (Quantitative Assessment)

Этот метод пытается выразить риск в деньгах. Он сложнее, требует точных статистических данных, но именно его любят финансовые директора. Для расчетов используются следующие формулы.

Сначала вычисляется ожидаемый ущерб от одного инцидента — SLE (Single Loss Expectancy):

Где: * — ожидаемые потери от одного инцидента (в денежном выражении). * (Asset Value) — стоимость актива. * (Exposure Factor) — фактор воздействия (процент стоимости актива, который будет потерян при инциденте, от 0 до 1).

Пример: У вас есть сервер стоимостью 1 000 000 рублей (). В случае пожара в серверной он будет уничтожен полностью (). Тогда рублей.

Далее рассчитывается годовая оценка потерь — ALE (Annualized Loss Expectancy):

Где: * — ожидаемые годовые потери (сколько денег мы будем терять в год в среднем). * — ожидаемые потери от одного инцидента (рассчитано выше). * (Annualized Rate of Occurrence) — частота возникновения инцидента в год.

Пример: Если пожар в серверной случается раз в 10 лет, то (1/10). Тогда:

Где: * — 100 000 рублей (среднегодовой ущерб). * — (ущерб от одного пожара). * — (вероятность за год).

Зачем это нужно? Чтобы обосновать бюджет на защиту. Если система пожаротушения стоит 50 000 рублей в год (обслуживание + амортизация), то её выгодно ставить, так как . Если же защита стоит 200 000 рублей в год, то экономически выгоднее... сгореть (или застраховаться).

Этап 4: Обработка рисков (Risk Treatment)

После оценки мы получаем список рисков, отсортированный по критичности. Что с ними делать? Существует четыре базовые стратегии:

Снижение (Mitigation): Применение мер защиты для уменьшения вероятности или ущерба. Пример: установка антивируса, обучение сотрудников, внедрение двухфакторной аутентификации. Это самый частый сценарий.

Перенос (Transfer / Sharing): Передача риска третьей стороне. Пример: страхование киберрисков или аутсорсинг ответственности по SLA. Важно понимать: репутационный риск перенести практически невозможно.

Уклонение (Avoidance): Полный отказ от деятельности, вызывающей риск. Пример: компания решает не хранить персональные данные клиентов, чтобы не попадать под действие жестких регуляторов, или отключает старый сервер от интернета.

Принятие (Acceptance): Осознанное решение ничего не делать. Применяется, когда стоимость защиты превышает возможный ущерб (как в примере с сервером выше, если бы защита стоила дороже потерь). Риск документируется и подписывается руководством.

> Риск нельзя устранить полностью. Его можно только снизить до приемлемого уровня (Risk Appetite).

Заключение

Управление рисками — это непрерывный цикл. Новые уязвимости появляются каждый день, стоимость активов меняется, а бизнес запускает новые процессы. Методики, которые мы разобрали (STRIDE, расчет ALE, матрица рисков), позволяют перевести разговор об ИБ с языка «страшилок» на язык бизнеса и денег.

В следующей статье мы рассмотрим «Политики безопасности и организационные меры» — документы, которые закрепляют выбранные стратегии обработки рисков на бумаге и в жизни компании.

Международные стандарты и политики безопасности: внедрение ISO/IEC 27001 и разработка внутренней документации

В предыдущих статьях мы разобрали фундамент информационной безопасности (ИБ): определили, что такое активы, научились моделировать угрозы и рассчитывать риски. Теперь перед нами встает главный управленческий вопрос: как превратить результаты оценки рисков в работающую систему?

Хаотичное «латание дыр» не работает. Нужен системный подход. В этой статье мы изучим «золотой стандарт» мировой индустрии — ISO/IEC 27001, разберем цикл непрерывного улучшения PDCA и научимся выстраивать иерархию внутренней документации так, чтобы она помогала, а не мешала бизнесу.

Что такое ISO/IEC 27001?

ISO/IEC 27001 — это международный стандарт, описывающий требования к Системе Менеджмента Информационной Безопасности (СМИБ) или, в английской аббревиатуре, ISMS (Information Security Management System).

Главная идея стандарта заключается в том, что ИБ — это не набор технических средств (файрволы, антивирусы), а процесс управления. Стандарт не говорит вам, какой длины должен быть пароль или какой антивирус купить. Он говорит, как организовать процессы, чтобы вы сами могли принять правильное решение, исходя из ваших рисков.

Почему именно ISO 27001?

Универсальность: Подходит и банку, и заводу, и IT-стартапу.

Доверие: Сертификат ISO 27001 является доказательством для клиентов и партнеров, что вы относитесь к их данным бережно.

Системность: Он заставляет рассматривать безопасность комплексно, включая обучение людей, физическую защиту и юридические аспекты.

Цикл PDCA: Двигатель безопасности

В основе ISO 27001 лежит итеративная модель управления, известная как цикл Деминга или PDCA (Plan-Do-Check-Act). Это бесконечный цикл, который гарантирует, что система безопасности не деградирует со временем.

!Цикл непрерывного улучшения процессов информационной безопасности

1. Plan (Планирование)

На этом этапе мы определяем цели и оцениваем риски. Именно здесь мы используем методики из предыдущей статьи: инвентаризируем активы, находим уязвимости и решаем, какие риски мы будем снижать.

2. Do (Внедрение)

Реализация запланированных мер. Мы пишем политики, настраиваем оборудование, обучаем персонал. Важный документ этого этапа — Заявление о применимости (Statement of Applicability, SoA). Это список всех мер контроля (из приложения к стандарту), где мы отмечаем, какие из них мы применяем, а какие — нет, и почему.

3. Check (Проверка)

Мы должны убедиться, что наши меры работают. Это делается через: * Внутренние аудиты. * Мониторинг инцидентов. * Тестирование на проникновение (Pentest). * Измерение метрик эффективности (KPI).

4. Act (Действие/Улучшение)

На основе проверок мы корректируем курс. Если аудит показал, что сотрудники продолжают открывать фишинговые письма, мы не просто «ругаем» их, а меняем процесс обучения или внедряем техническую блокировку писем.

Иерархия внутренней документации

Чтобы СМИБ работала, правила должны быть задокументированы. Но если свалить всё в один файл «Инструкция по безопасности.docx» на 500 страниц, его никто не прочитает. Документация строится по принципу пирамиды.

!Иерархическая структура нормативных документов в организации

Уровень 1: Политики (Policies)

Это стратегические документы. Они отвечают на вопрос «Что мы делаем и зачем?», но не говорят «как». * Аудитория: Все сотрудники, руководство. * Пример: «Компания обязуется защищать персональные данные клиентов в соответствии с ФЗ-152. Пароли должны быть сложными». * Объем: Небольшой, язык понятный неспециалисту.

Уровень 2: Стандарты (Standards)

Это обязательные требования, конкретизирующие политики. Они отвечают на вопрос «Какие требования мы предъявляем?». * Аудитория: IT-специалисты, администраторы, владельцы систем. * Пример: «Минимальная длина пароля — 12 символов, обязательно наличие спецсимволов, смена каждые 90 дней».

Уровень 3: Процедуры (Procedures)

Пошаговые инструкции. Они отвечают на вопрос «Как именно это сделать?». * Аудитория: Исполнители конкретных задач. * Пример: «Инструкция по смене пароля в Active Directory: 1. Открыть меню... 2. Нажать кнопку...».

Уровень 4: Руководства (Guidelines)

Рекомендации и лучшие практики. Они не обязательны к исполнению, но желательны. * Пример: «Рекомендуется использовать мнемонические фразы для запоминания паролей».

Как написать работающую Политику ИБ?

Многие компании скачивают шаблон политики из интернета, меняют название ООО и подписывают. Это «бумажная безопасность», которая не работает. Чтобы политика жила:

Отражайте реальность. Не пишите, что «доступ в интернет запрещен», если он нужен для работы. Люди просто найдут способ обойти запрет.

Определите ответственность. В документе должно быть четко сказано, кто отвечает за обновление антивирусов, а кто — за выдачу пропусков.

Утвердите у руководства. Политика без подписи Генерального директора — это просто мнение начальника ИБ. Подпись первого лица делает документ законом для всей компании.

Измерение эффективности (KPI)

Этап Check в цикле PDCA требует цифр. Нельзя управлять тем, что нельзя измерить. Стандарт ISO 27001 (раздел 9) требует оценки эффективности. Для этого вводятся метрики (KPI).

Например, чтобы оценить эффективность процесса управления уязвимостями, мы можем использовать следующую формулу для расчета процента своевременно закрытых уязвимостей:

Где: * — эффективность процесса устранения уязвимостей (в процентах). * — количество уязвимостей, устраненных в рамках установленного регламентом срока (SLA). * — общее количество критических уязвимостей, обнаруженных за отчетный период.

Если падает ниже установленного порога (например, 95%), это сигнал для этапа Act: нужно нанимать больше администраторов или автоматизировать установку обновлений.

Другой пример — оценка осведомленности персонала через результаты фишинговых учений:

Где: * — уровень восприимчивости к фишингу (Risk). * — количество пользователей, перешедших по вредоносной ссылке в учебном письме. * — общее количество пользователей, получивших учебное письмо.

Снижение со временем показывает эффективность проводимых тренингов.

Заключение

Внедрение ISO/IEC 27001 и разработка качественной документации — это переход от «героизма» одиночных администраторов к зрелому бизнес-процессу. Документы создают правила игры, а цикл PDCA гарантирует, что эти правила меняются вместе с ландшафтом угроз.

Теперь, когда у нас есть понимание рисков и выстроена система управления, нам нужно поговорить о том, как защитить самый уязвимый элемент любой системы — человека. В следующей статье мы разберем тему «Социальная инженерия и повышение осведомленности персонала».

Организационные и технические меры защиты: контроль доступа, криптография и физическая безопасность

В предыдущих статьях мы прошли путь от определения рисков до написания политик безопасности. Мы знаем, что защищать и почему. Теперь настало время ответить на вопрос: как?

Политика безопасности, лежащая в сейфе генерального директора, бесполезна, если серверная комната открыта нараспашку, а пароли передаются на стикерах. В этой статье мы переходим к реализации конкретных мер защиты (Controls), которые составляют «тело» системы информационной безопасности. Мы разберем три кита практической защиты: управление доступом, криптографию и физическую безопасность.

Эшелонированная защита (Defense in Depth)

Прежде чем углубляться в детали, важно понять концепцию эшелонированной защиты. Представьте средневековый замок. Чтобы добраться до короля (ваших данных), враг должен преодолеть ров, внешнюю стену, внутреннюю стену, стражу и, наконец, запертую дверь тронного зала.

В ИБ этот принцип означает, что ни одно средство защиты не является идеальным. Мы строим несколько слоев:

Физический уровень: Заборы, замки, охрана.

Сетевой уровень: Межсетевые экраны (Firewall), сегментация сети.

Уровень хоста: Антивирусы, патчи ОС.

Уровень приложений: Контроль доступа внутри программ.

Уровень данных: Шифрование.

Если злоумышленник обойдет охрану (физический уровень), его должен остановить пароль на компьютере. Если он украдет жесткий диск, его должно остановить шифрование.

!Модель эшелонированной защиты: каждый слой страхует предыдущий

1. Управление доступом (Access Control)

Управление доступом — это процесс, гарантирующий, что доступ к активам получают только авторизованные пользователи и системы. Это фундамент цифровой безопасности.

Логическая цепочка доступа (IAAA)

Любое взаимодействие с защищенной системой проходит через четыре этапа:

Идентификация (Identification): Субъект заявляет, кто он. Пример: ввод логина user123.

Аутентификация (Authentication): Субъект доказывает, что он тот, за кого себя выдает. Пример: ввод пароля, прикладывание пальца к сканеру.

Авторизация (Authorization): Система проверяет, какие права есть у этого субъекта. Пример: user123 может читать файл, но не может его удалять.

Учет (Accounting / Auditing): Система записывает действия субъекта в журнал (логи). Пример: запись «user123 открыл файл report.docx в 14:00».

> Аутентификация отвечает на вопрос «Кто ты?», а авторизация — «Что тебе можно делать?».

Методы аутентификации

Как можно доказать свою личность? Существует три фактора:

* То, что вы знаете (Something you know): Пароль, ПИН-код, кодовое слово. * То, что у вас есть (Something you have): Смарт-карта, USB-токен, телефон с приложением-аутентификатором. * То, кем вы являетесь (Something you are): Биометрия (отпечаток пальца, сетчатка глаза, голос).

Многофакторная аутентификация (MFA) требует использования как минимум двух разных типов факторов. Пароль + ПИН-код — это не MFA (оба фактора — знание). Пароль + СМС-код — это MFA (знание + владение).

Модели управления доступом

Как определить, кому и что можно? Существует несколько основных моделей.

#### DAC (Discretionary Access Control) — Дискреционное управление Владелец объекта сам решает, кому дать доступ. Это стандартная модель для Windows/Linux файлов. Плюс:* Гибкость. Минус:* Если пользователя обманут (социальная инженерия), он сам даст доступ злоумышленнику.

#### MAC (Mandatory Access Control) — Мандатное управление Используется в военных системах и гостайне. Каждому объекту присваивается гриф секретности (например, «Совершенно секретно»), а пользователю — уровень допуска. Пользователь не может передать свои права другому.

#### RBAC (Role-Based Access Control) — Ролевое управление Самая популярная модель в корпоративном секторе. Права назначаются не конкретному Васе, а «Роли» (например, «Бухгалтер»). Вася получает доступ, потому что он назначен на роль «Бухгалтер». Плюс:* Легко администрировать при увольнении или найме сотрудников.

2. Криптография: Математический щит

Криптография — это наука о защите информации путем её преобразования (шифрования) так, чтобы её невозможно было прочитать без специального ключа.

Симметричное шифрование

Это классический метод. Один и тот же ключ используется и для зашифровки, и для расшифровки. Представьте сундук, к которому подходит только один ключ. Вы закрываете сундук, передаете его другу, а потом должны как-то тайно передать ему ключ.

Математически это можно записать так:

Где: * (Ciphertext) — зашифрованный текст. * (Encryption) — функция шифрования. * (Key) — секретный ключ. * (Message) — исходное сообщение.

Обратная операция:

Где: * — исходное сообщение. * (Decryption) — функция расшифрования. * — тот же самый секретный ключ. * — зашифрованный текст.

* Плюсы: Очень быстро работает. Подходит для шифрования больших объемов данных (жесткие диски, видеопотоки). * Минусы: Проблема передачи ключа. Если вы передадите ключ по незащищенному каналу, его перехватят.

Асимметричное шифрование

Революция в криптографии. Здесь используется пара ключей: публичный (открытый) и приватный (закрытый).

Публичный ключ: Раздается всем. Им можно только зашифровать* сообщение. Приватный ключ: Хранится в тайне у владельца. Им можно расшифровать* то, что зашифровано публичным ключом.

Аналогия: Вы раздаете всем открытые навесные замки. Любой может положить послание в коробку и защелкнуть ваш замок. Но открыть этот замок может только тот, у кого есть ключ (вы).

!Принцип работы асимметричного шифрования: два разных ключа для разных операций

Хеширование (Контроль целостности)

Хеширование — это не шифрование, так как этот процесс необратим. Это создание уникального «цифрового отпечатка» данных.

Где: * — хеш-сумма (строка фиксированной длины). * — хеш-функция (например, SHA-256). * — исходные данные любого объема.

Если в файле изменить хотя бы одну запятую, хеш изменится до неузнаваемости. Это позволяет гарантировать целостность (Integrity) данных. Пароли в базах данных обычно хранятся именно в виде хешей, чтобы даже администратор не знал реальный пароль пользователя.

Электронная подпись (ЭП)

ЭП объединяет хеширование и асимметричную криптографию. Она гарантирует:

Целостность: Документ не меняли.

Аутентичность: Подписал именно владелец ключа.

Неотказуемость: Владелец не сможет сказать «это не я».

3. Физическая безопасность

В мире киберугроз мы часто забываем, что серверы — это физические коробки, стоящие в конкретных комнатах. Если злоумышленник получит физический доступ к серверу, никакое программное обеспечение его не остановит. Он просто вытащит жесткий диск или загрузится со своей флешки.

Зонирование территории

Офис должен быть разделен на зоны безопасности:

Общественная зона: Ресепшн, зона ожидания для курьеров.

Рабочая зона: Офисы сотрудников. Доступ по пропускам.

Зона ограниченного доступа: Серверные, архивы, кроссовые узлы. Доступ только у IT-персонала и охраны, строгий журнал посещений, видеонаблюдение.

Защита оборудования и среды

Физическая безопасность — это не только защита от воров, но и от стихий:

* Электропитание: ИБП (источники бесперебойного питания) и дизель-генераторы. Внезапное отключение света может повредить базы данных. * Климат-контроль: Серверы выделяют много тепла. Отказ кондиционера приведет к перегреву и остановке бизнеса за считанные часы. * Пожаротушение: В серверных нельзя использовать воду (она уничтожит электронику). Используются газовые системы пожаротушения, которые вытесняют кислород, не повреждая оборудование.

Политика чистого стола и чистого экрана

Это организационная мера, тесно связанная с физической безопасностью.

* Чистый стол: Уходя с рабочего места, сотрудник должен убрать все документы с конфиденциальной информацией в ящик или сейф. Никаких стикеров с паролями на мониторе! * Чистый экран: Компьютер должен автоматически блокироваться (Win+L) при отсутствии пользователя более 5 минут.

Заключение

Технические и организационные меры защиты работают только в комплексе. Криптография защищает данные при передаче, контроль доступа — при использовании, а физическая безопасность гарантирует сохранность самого «железа».

Однако даже самая совершенная система с биометрическими замками и квантовым шифрованием может пасть жертвой простой человеческой ошибки или манипуляции. В следующей статье мы разберем самую непредсказуемую угрозу — «Социальная инженерия и повышение осведомленности персонала».

Мониторинг, управление инцидентами ИБ, аудит и обеспечение непрерывности бизнеса

Мы подошли к финальной части нашего курса. В предыдущих статьях мы построили мощную систему защиты: оценили риски, написали политики, внедрили контроль доступа и шифрование. Мы построили «крепость». Но даже самые высокие стены бесполезны, если на них нет стражи, а ворота никто не проверяет.

В этой статье мы разберем процессы, которые делают безопасность живой: мониторинг событий, реакцию на взломы (инциденты), проверку надежности защиты (аудит) и планы спасения бизнеса, если всё рухнет (BCP/DRP).

Мониторинг и SIEM: Глаза и уши безопасности

Представьте, что в вашей компании 1000 компьютеров, 50 серверов и 10 межсетевых экранов. Каждое устройство ежесекундно генерирует записи о событиях (логи): «пользователь вошел», «файл открыт», «пакет заблокирован». Это миллионы строк в день. Человек физически не может это прочитать.

Для решения этой проблемы используются системы класса SIEM (Security Information and Event Management).

Как работает SIEM?

Сбор данных (Collection): Система собирает логи со всех источников (антивирусы, роутеры, ОС).

Нормализация: Приводит разнородные данные к единому формату.

Корреляция (Correlation): Самый важный этап. Система ищет взаимосвязи между событиями.

Пример корреляции: Если пользователь Иванов три раза неправильно ввел пароль — это не страшно (забыл). Но если Иванов 100 раз за секунду ввел неправильный пароль на 5 разных серверах одновременно — это атака Brute Force (подбор пароля). SIEM увидит эту закономерность и поднимет тревогу.

SOC (Security Operations Center)

SIEM — это инструмент, а люди, которые с ним работают, образуют SOC (Центр мониторинга и реагирования). Это команда аналитиков, работающая (часто 24/7), чтобы отсеивать ложные срабатывания и реагировать на реальные угрозы.

!Принцип работы SIEM: от сбора сырых данных до оповещения аналитика

Управление инцидентами ИБ

Рано или поздно защита будет пробита. Это аксиома. Вопрос не в том, взломают ли вас, а в том, как быстро вы это заметите и что будете делать.

Инцидент ИБ — это любое событие, которое нарушает или угрожает нарушить конфиденциальность, целостность или доступность информации.

Жизненный цикл реагирования на инциденты (Incident Response) обычно строится по стандарту NIST или SANS и включает 6 этапов:

1. Подготовка (Preparation)

Самый важный этап. Вы готовитесь до атаки: настраиваете бэкапы, обучаете команду реагирования (CERT/CSIRT), готовите шаблоны уведомлений для клиентов и регуляторов.

2. Обнаружение и анализ (Identification)

Момент, когда SIEM прислал алерт или сотрудник сообщил о странном поведении компьютера. Задача: понять, ложная это тревога или реальный взлом, и определить масштаб.

3. Сдерживание (Containment)

«Остановить кровотечение». Если сервер заражен вирусом-шифровальщиком, его нужно немедленно изолировать от сети, чтобы вирус не перекинулся на другие машины. Важно: Не всегда нужно сразу выключать сервер, так как из оперативной памяти могут пропасть улики для расследования.

4. Устранение (Eradication)

Удаление причины инцидента: очистка от вирусов, удаление учетных записей хакеров, закрытие уязвимости, через которую они проникли.

5. Восстановление (Recovery)

Возвращение систем в нормальный режим работы. Восстановление данных из резервных копий, смена всех скомпрометированных паролей.

6. Извлечение уроков (Lessons Learned)

Работа над ошибками. Пишется отчет (Post-Mortem): почему это случилось? Как мы отреагировали? Что нужно улучшить, чтобы это не повторилось?

Аудит информационной безопасности

Как узнать, работает ли ваша система защиты, не дожидаясь взлома? Провести аудит.

Аудит — это систематическая, независимая проверка того, соответствует ли ваша система ИБ определенным критериям (стандартам, законам, политикам).

Виды аудита

Внутренний аудит: Проводится собственными сотрудниками. Помогает подготовиться к внешним проверкам и найти очевидные дыры.

Внешний аудит: Проводится независимой компанией. Необходим для получения сертификатов (например, ISO 27001) или выполнения требований регуляторов (ЦБ РФ, ФСТЭК).

Тестирование на проникновение (Pentest)

Это техническая форма аудита, «этичный взлом». Вы нанимаете «белых хакеров», которые пытаются взломать вашу систему по договору. Результат пентеста — отчет с найденными уязвимостями и способами их закрытия.

Обеспечение непрерывности бизнеса (BCP и DRP)

Иногда случаются катастрофы, которые нельзя предотвратить средствами ИБ: пожар в дата-центре, наводнение, отключение электричества во всем районе или тотальная атака шифровальщика.

Для таких случаев разрабатываются два ключевых документа:

BCP (Business Continuity Plan) — План непрерывности бизнеса. Описывает, как компания продолжит зарабатывать деньги во время кризиса. Пример: если офис сгорел, сотрудники переезжают работать домой или в резервный офис.

DRP (Disaster Recovery Plan) — План аварийного восстановления. Техническая инструкция для IT-отдела: как поднять серверы, как развернуть бэкапы, как переключить трафик.

Ключевые метрики: RTO и RPO

При разработке DRP бизнес должен определить два критически важных параметра. Без них IT-отдел не сможет построить правильную систему резервного копирования.

!Визуализация метрик RPO и RTO на временной шкале

#### 1. RPO (Recovery Point Objective) — Целевая точка восстановления Это ответ на вопрос: «Данные за какой период мы готовы потерять безвозвратно?».

Если мы делаем бэкап раз в сутки в 00:00, а авария случилась в 23:00, мы потеряем данные за 23 часа. Если для бизнеса это недопустимо, нужно делать бэкапы чаще или использовать репликацию в реальном времени.

#### 2. RTO (Recovery Time Objective) — Целевое время восстановления Это ответ на вопрос: «Сколько времени мы можем не работать?».

Если интернет-магазин не работает час, он теряет миллионы. Его RTO должно быть 5-10 минут. Если не работает сайт библиотеки, он может «лежать» два дня, и никто не заметит. Чем меньше RTO, тем дороже система восстановления.

Расчет стоимости простоя

Чтобы обосновать бюджет на резервный дата-центр, нужно посчитать стоимость простоя. Используем следующую формулу:

Где: * — общая стоимость убытков от простоя системы. * — время простоя (фактическое время восстановления). * — средняя стоимость одного часа простоя бизнеса (упущенная прибыль + зарплаты простаивающих сотрудников). * — стоимость безвозвратно потерянных данных (зависит от RPO).

Пример: Ваш интернет-магазин зарабатывает 100 000 рублей в час. Авария остановила продажи на 4 часа (). Из-за сбоя потерялись заказы за последние 30 минут, которые оценили в 50 000 рублей ().

Где: * — итоговый убыток в рублях. * — часы простоя. * — стоимость часа. * — стоимость потерянных данных.

Если создание системы мгновенного восстановления стоит 200 000 рублей, то она окупится уже при первой такой аварии.

Заключение курса

Мы завершаем курс «Управление информационной безопасностью». Мы прошли путь от понимания того, что информация — это актив, до построения сложных систем защиты и восстановления.

Главное, что вы должны вынести из этого курса:

Безопасность — это процесс, а не результат. Нельзя настроить всё один раз и уйти.

Безопасность должна помогать бизнесу, а не мешать. Все меры защиты должны быть экономически обоснованы.

Человек — самое слабое звено. Технические меры должны подкрепляться обучением и организационными правилами.

Удачи в построении безопасных систем!