Разработка классификации инцидентов информационной безопасности
Содержание:
Введение
Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одной из характеристик информационной системы.
Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на информационную систему.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).
Злоупотребления информацией, циркулирующей в ИС или передаваемой по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них.
Поэтому актуальна современная технология — технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз информационной системы.
1.Информационная безопасность и её составляющие.
1.1. Информационная безопасность
Информационной безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Информационная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.
Застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя.
Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Основные составляющие информационной безопасности
Информационная безопасность – многогранная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории:
Доступность - это возможность за приемлемое время получить требуемую информационную услугу.
Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Конфиденциальность - это защита от несанкционированного доступа к информации.
Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации.
Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это наносит ущерб всем субъектам информационных отношений.
Особенно ярко ведущая роль доступности проявляется в разных системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
1.2. Угрозы информационной системы
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.
Основные определения и критерии классификации угроз
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.
Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.
Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:
- должно стать известно о средствах использования пробела в защите;
- должны быть выпущены соответствующие заплаты;
- заплаты должны быть установлены в защищаемой ИС.
Новые уязвимые места и средства их использования появляются постоянно. Это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.
Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.
Угрозы можно классифицировать по нескольким критериям:
- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
- по расположению источника угроз (внутри/вне рассматриваемой ИС).
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности - частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.
Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (зачастую - и не может быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных.
Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна - осуществить доступ к данным в тот момент, когда они наименее защищены.
Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Таковы основные угрозы, которые наносят наибольший ущерб субъектам информационных отношений.
1.3.Методы и средства защиты информационных систем
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ИТ.
Современные ИТ обладают следующими основными признаками:
- наличием информации различной степени конфиденциальности;
- необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;
- иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;
- организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;
- обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
- необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
- обязательным обеспечением целостности программного обеспечения и информации в ИТ;
- наличием средств восстановления системы защиты информации;
- обязательным учетом магнитных носителей;
- наличием физической охраны средств вычислительной техники и магнитных носителей.
Основными методами защиты информации являются:
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации ( посты охраны на охраняемых объектах)
Управление доступом – включает:
- идентификацию пользователей, персонала и ресурсов системы;
- опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
- регистрацию (протоколирование) обращений к защищаемым ресурсам; и т.д.
Маскировка - метод защиты информации путем ее криптографического закрытия (криптографические коды информации);
Регламентация – метод защиты информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму (организационные – использование паролей, ключей правила разграничения доступа и т.д.);
Принуждение – материальная, административная или уголовная ответственности;
Побуждение - такой метод защиты формируется за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных.)
К основным средствам защиты относят:
- Технические средства – электрические, электромеханические и электронные устройства;
- Физические средства – замки на дверях, решетки на окнах и т.д.
- Программные средства (ПО), выполняющие функции защиты информации
- Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники (строительство помещений, проектирование компьютерной информационной системы банковской или любой другой деятельности)
- Морально-этические средства – нормы и правила, которые сложились традиционно в обществе.
- Законодательные средства – законодательные акты страны (против хакеров)
Создание системы информационной безопасности
В любой вычислительной сети важна защита информации от случайной порчи, потери, несанкционированного доступа. Возможных путей потери информации существует много: перехват электронных излучений, считывание информации другого пользователя, незаконное подключение и др.
Наиболее распространенными путями несанкционированного доступа к информации являются:
- перехват электронных излучений;
- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации и документальных отходов;
- копирование носителей информации с преодолением мер защиты;
- маскировка под зарегистрированного пользователя;
- мистификация (маскировка под запросы системы);
- незаконное подключение к аппаратуре и линиям связи;
- внедрение и использование компьютерных вирусов.
Основные виды защиты:
- Защита информации от несанкционированного доступа путем: регистрации входа (выхода) субъектов доступа в систему (из системы) либо регистрацию загрузки и инициализации операционной системы и ее программного останова, регистрации и учета выдачи печатных (графических) документов на твердую копию и т.д.
- Защита информации в системах связи путем криптографии и специальных связных протоколов.
- Защита юридической значимости электронных документов путем применения "цифровых подписей" (шифрование данных криптографической контрольной суммой с использованием секретного ключа)
- Защита данных от утечки по электромагнитным излучениям путем экранирования помещений;
- Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ путем разграничения доступа, самоконтроля и самовосстановления, применения специальных программ – анализаторов или антивирусных, выслеживающих отклонения в деятельности прикладных программ и наличие вирусов, и по возможности их устранение.
- Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации путем парольной защиты, ключей, проверки рабочей ПЭВМ по ее уникальным характеристикам, шифрование файлов, содержащих исполняемый код программы и т.д.
Криптография – это наука об обеспечении секретности и/ или аутентичности (подлинности) передаваемых сообщений. Ее сущность в том, что передаваемое сообщение шифруется, преобразуется в шифрограмму (криптограмму), а при получении санкционированным пользователем дешифруется, т.е. превращается в исходный текст. Для этого используется специальный алгоритм. Действие такого алгоритма запускается уникальным числом, или битовой последовательностью,(шифрующим ключом). Шифрование может быть симметричным ( используется один и тот же ключ для шифрования и дешифрования) и ассиметричным (для шифрования используется один общедоступный ключ, а для дешифрования – другой секретный.)
Криптографические системы помогают решить проблему аутентификации принятой информации, т.к. подслушивающее лицо будет иметь дело только с зашифрованным текстом. Таким образом, истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
2. Классификация инцидентов информационной безопасности
2.1. Инциденты информационной безопасности
Инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Управление инцидентами — одна из важнейших процедур управления информационной безопасностью. Прежде всего, важно правильно и своевременно устранить последствия инцидента, а также иметь возможность проконтролировать, какие действия были выполнены для этого. Необходимо также расследовать инцидент, что включает определение причин его возникновения, виновных лиц и конкретных дисциплинарных взысканий. Далее, как правило, следует выполнить оценку необходимости действий по устранению причин инцидента, если нужно — реализовать их, а также выполнить действия по предупреждению повторного возникновения инцидента. Кроме этого, важно сохранять все данные об инцидентах информационной безопасности, так как статистика инцидентов информационной безопасности помогает осознавать их количество и характер, а также изменение во времени. С помощью информации о статистике инцидентов можно определить наиболее актуальные угрозы и, соответственно, максимально точно планировать мероприятия по повышению уровня защищенности информационной системы.
Инцидентами информационной безопасности являются:
· утрата услуг, оборудования или устройств;
· системные сбои или перегрузки;
· ошибки пользователей;
· несоблюдение политики или рекомендаций по ИБ;
· нарушение физических мер защиты;
· неконтролируемые изменения систем;
· сбои программного обеспечения и отказы технических средств;
· нарушение правил доступа.
Инциденты информационной безопасности можно классифицировать на несколько групп:
- По категории критичности:
1 категория. Инцидент может привести к значительным негативным последствиям (ущербу) для информационных активов или репутации организации.
2 категория. Инцидент может привести к негативным последствиям (ущербу) для информационных активов или репутации организации.
3 категория. Инцидент может привести к незначительным негативным последствиям (ущербу) для информационных активов или репутации Банка.
4 категория. Инцидент не может привести к негативным последствиям (ущербу) для информационных активов или репутации.
- Приоритеты реагирования на инциденты:
- очень высокий. Соответствует 1-й категории критичности. Время реагирование не более 1 часа;
- высокий. Соответствует 2-й категории критичности. Время реагирование не более 4 часов;
- средний. Соответствует 3-й категории критичности. Время реагирование не более 8 часов;
- низкий. Соответствует 4-й категории критичности. Время реагирование не определено.
- По причине возникновения:
- Случайные.
- Намеренные.
- По степени нанесенного ущерба:
- Непоправимый ущерб.
- Поправимый ущерб.
- Отсутствие ущерба.
Сокращение инцидентов информационной безопасности путём эффективного использования современных средств защиты сетей, компьютерных систем, программного обеспечения и приложений:
превентивные меры (предотвращение проблем до наступления события инцидента) являются менее дорогостоящими, чем работы по ликвидации последствий инцидентов, следовательно, превентивные меры являются неотъемлемой частью политики реагирования на инциденты информационной безопасности
процедура реагирования на инциденты и расследование по факту их происшествия будет более эффективной, если определённым видам информационных ресурсов будут поставлены в соответствие адекватные средства технической защиты информации
Инциденты информационной безопасности могут иметь различные источники происхождения. О возможных угрозах и связанных с ними возможных инцидентов хорошей практикой является использование постоянно обновляемых открытых источниках сети Internet.
Признаки инцидента информационной безопасности
Предположение о том, что в организации произошёл инцидент информационной безопасности, должно базироваться на трёх основных факторах:
- сообщение об инциденте информационной безопасности поступают одновременно из нескольких источников (пользователи, IDS, журнальные файлы)
- IDS сигнализируют о множественном повторяющемся событии
- Анализ журнальных файлов автоматизированной системы даёт основание для вывода системным администраторам о возможности наступления события инцидента
В общем случае, признаки инцидента делятся на две основные категории, сообщения о том инцидент происходит в настоящий момент и сообщения о том, что инцидент, возможно, произойдёт в скором будущем. Признаки совершающегося события:
- IDS фиксирует переполнение буфера
- уведомление антивирусной программы
- крах WEB – интерфейса
- пользователи сообщают о крайне низкой скорости при попытке выхода в Internet
- системный администратор фиксирует наличие файлов с нечитабельными названиями
- пользователи сообщают о наличие в своих почтовых ящиках множества повторяющихся сообщений
- хост производит запись в журнал аудита об изменении конфигурации
- приложение фиксирует в журнальном файле множественные неудачные попытки авторизации
- администратор сети фиксирует резкое увеличение сетевого трафика, и.т.д.
Анализ инцидентов информационной безопасности
Инцидент не является очевидным свершившимся фактом, напротив, злоумышленники стараются сделать всё чтобы не оставить в системе следов своей деятельности. Признаки инцидента содержит незначительное изменение в файле конфигурации сервера.
Составление диагностических матриц служит для визуализации результатов анализа событий, происходящих в информационной системе. Матрица формируется из строк потенциальных признаков инцидента и столбцов – типов инцидентов. В пересечении даётся оценка событию по шкале приоритетов “высокий”, “средний”, ”низкий”. Диагностическая матрица призвана документировать ход логических заключений экспертов в процессе принятия решения, и служит свидетельством расследования инцидента.
Документирование событий инцидента информационной безопасности необходимо для сбора и последующей консолидации свидетельств расследования. Документированию подлежат все факты и доказательства злонамеренного воздействия. Различают технологические свидетельства и операционные свидетельства воздействия. К технологическим свидетельствам относят информацию, полученную от технических средств сбора и анализа данных (сниферы, IDS), к операционным – данные или улики, собранные в процессе опроса персонала, свидетельства обращений на service desk, звонки в call center.
Сбор свидетельств инцидента и их обработка
Формирование пакета для анализа уязвимости и ликвидации последствий инцидента информационной безопасности. Регистрационные данные инцидента должны содержать следующие основные позиции:
- идентификация источника (местоположение, ID, имя хоста, MAC – address, IP – address, и.т.д.)
- персональные данные пользователя
- дата и время каждого свидетельства
- местоположение ресурса хранения свидетельства
Идентификация нарушителя
Попытка идентификации нарушителя в процессе расследования инцидента не всегда может завершиться удачей. Не смотря на успех процедуры противодействия распространению инцидента, для определения “личности” злоумышленника может потребоваться расследование нескольких инцидентов, сопоставление фактов, анализ “почерка” атакующего.
На практике, не существует универсальной методики, которая бы однозначно определяла набор эффективных действий при ликвидации последствий инцидентов. Масштабы восстановления могут быть различны, от лечения заражённых вирусом файлов и до полного восстановления операционной среды с резервных копий.
Хранение материалов расследования инцидентов информационной безопасности
Типичными метриками для хранения данных инцидента являются:
- количество обработанных инцидентов информационной безопасности
- среднее время, затрачиваемое на обработку одного инцидента
- описание расследования инцидента, включая рассмотренные источники данных инцидента, свидетельства инцидента, качественная или количественная оценка ущерба, причина возникновения события инцидента, события, которые могли бы предотвратить инцидент
- субъективная оценка инцидента – качественная оценка действий команды реагирования, включая практическое применение политики расследования инцидентов, использование инструментария и ресурсов, использование внутренней документации, качество обучения на этапе подготовки
В процессе расследования инцидента, хорошей практикой является ведение контрольных листов наблюдений (check lists), с целью управления процессом расследования. Данная практика хорошо применима в средних и крупных организациях, где количество одновременно расследуемых инцидентов может превышать десяток единиц. Структура контрольного листа может быть произвольной и разрабатываться экспертами команды реагирования с учётом особенности проводимых в организации мероприятий по расследованию инцидентов.
2.2. Анализ существующих DLP-систем
DLP (Data Loss Prevention) - это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети.
Выбор любой корпоративной системы информационной безопасности зачастую является настолько же трудоёмким, насколько внедрение и последующая эксплуатация. DLP-системы лишь подтверждают это: на рынке сейчас существует несколько десятков различных продуктов с более чем сотней различных параметров, усложняющих выбор.
6 популярных DLP-систем:
InfoWatch Traffic Monitor Enterprise
Система защиты от утечек, основанная на анализе исходящего трафика, мониторинге содержимого, передаваемого на сменные носители, и принтеры. Собственная технология лингвистического анализа, позволяет осуществлять категоризацию перехваченной информации и обнаруживать в ней конфиденциальные данные. Система рассчитана на средний и крупный бизнес, госсектор с численностью от 500 до 5 тыс. пользователей и более. Поддержка филиальной разветвленной структуры. Возможность хранения всех событий компании до 3-х и более лет.
Дозор Джет
Шлюзовая система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных. Подходит для использования в среднем и крупном бизнесе, госсекторе.
SecurIT Zgate и Zlock
Система защиты от утечек информации, основанная на контроле входящего, исходящего и внутреннего сетевого трафика, поиска хранимых данных, агентского контроля, мониторинга содержимого, передаваемого на сменные носители и принтеры. Первая российская DLP-система с возможностью гибридного анализа. Система рассчитана на предприятия от SMB (до 500 пользователей) до крупного бизнеса и государственных организаций (внедрения до 250 тыс. пользователей). Поддержка любой ИТ-инфраструктуры. Бессрочное хранение событий и данных в архиве.
Symantec DLP
Универсальное решение для поиска, отслеживания и защиты конфиденциальных данных, где бы они ни находились. Обеспечивает комплексную защиту конфиденциальных данных в конечных системах, сети и системах хранения данных. Используется в малом бизнесе ( версия Symantec DLP Standard), среднем и крупном бизнес от 50 до более 100 тыс. рабочих мест (Symantec DLP).
Websense DSS
Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных. Система работает как на уровне шлюза, так и на уровне конечных точек сети. Используется в среднем и крупном бизнесе.
Trend Micro DLP
Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, мониторинга содержимого, передаваемого на сменные носители. Система работает как на уровне шлюза, так и на уровне конечных точек сети. Используется в среднем бизнесе.
В силу широкого спектра решаемых DLP-системами задач невозможно сделать однозначный вывод о превосходстве того или иного продукта.
Заключение
Во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты. Одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.
Обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.
Использование высокоэффективных информационных систем является обязательным условием успешной деятельности современных организаций и предприятий. Безопасность информации — это один из основных показателей качества информационной системы. Наиболее успешными методами реализации угроз безопасности информации в автоматизированных системах являются вирусные атаки.
Рассмотрены общие аспекты инцидентов информационной безопасности, обнаружения их и реагировании при помощи DLP-систем.
Данные системы необходимо всем ведущим компаниям, т.к. они имеют столь важные решения:
- способны классифицировать и выделять наиболее важные для защиты данные (развитые механизмы анализа содержимого);
- приспособлены для тотального охвата информационных потоков организации (множество отслеживаемых каналов, развитая система обработки инцидентов, гибкое распределение ролей);
- подстраиваются под существующие бизнес-процессы (эффект от использования DLP достижим без организационных преобразований и увеличения штата)
Список используемой литературы
- Информационная безопасность и её угрозы https://studfiles.net
- Информационная безопасность http://bezopasnik.org/article/1.htm
- Инцидент ИБ https://normative_reference_dictionary.academic.ru
- Классификация инцидентов ИБ http://pravo.bobrodobro.ru/99959
- Безопасность ИС https://stud-baza.ru
- Управление инцидентами ИБ http://www.iso27000.ru/chitalnyi-zai/upravlenie-incidentami-informacionnoi-bezopasnosti/obrabotka-incidentov-informacionnoi-bezopasnosti
- DLP-системы http://studbooks.net
- Система защиты информации в банковских системах (Описание информационных потоков организации)
- Эволюция развития спортивного менеджмента в России(История развития спортивного менеджмента в России)
- Теория государства и права: Теории происхождения государства
- Государственное социальное страхование (Понятие страховых взносов)
- Сущность социального прогнозирования (Выявить основные принципы и критерии методологии социального прогнозирования))
- Основы развития воображения у старших дошкольников в дошкольной образовательной организации
- Применение объектно-ориентированного подхода при проектировании информационной системы (на примере оптовой базы)
- «История развития средств вычислительной техники»
- Роль информационного права и информационной безопасности в современном обществе (Информационные войны и информационный терроризм)
- Современная законодательно-нормативная база защиты государственной тайны (
- Роль семьи в процессе обучения младших школьников (Функции семьи в процессе формирования и развития личности)
- Влияние мультфильмов на развитие личности ребенка дошкольного возраста(Специфика содержания отечественных и зарубежных мультфильмов)