Информационная безопасность

Кто владеет информацией, тот владеет миром ¹⁾

Информационная безопасность это обеспечение конфиденциальности, целостности и доступности защищаемой информации. Все просто, но «дьявол кроется в деталях» и под этой простотой скрывается много математики, техники и юриспруденции.

Сложность системы зависит от количества составляющих и связей между ними. Защищенность системы равна защищенности самого слабого её компонента. С ростом сложности системы растет вероятность появления - и обнаружения! - в ней слабых мест.

Исследование на уязвимости – это выявление способов, которыми информацию можно скомпрометировать, нарушить или сделать недоступной. От компьютерных преступлений это отличается лишь мотивами. В конце концов, замки ломают не только преступники, но и спасатели. Так и здесь – есть «белые» хакеры ²⁾ и «черные».

Этичный взлом подразумевает, что операции по выявлению уязвимости проводятся с согласия владельцев информационных систем, полученная информация будет передана им же и в других целях использована не будет.

Технические средства защиты информации закрывают лазейки для хакеров. Правильным, конечно, является создание изначально защищенных и надежных систем, но это утопия. Особенно, когда разнородные подсистемы являются частью другой, более глобальной. Так что системы защиты информации все равно нужны - разграничение доступа, обнаружение_атак и мониторинг_аномалий.

А еще - управление_уязвимостями для создания эшелонированной_защиты.

В реальном мире нет идеальных систем и абсолютной защиты. Зато в нем есть законы, предписания, требования и их необходимо соблюдать. Но не только. «Политический» уровень информационной безопасности это еще и организационные_меры, страхование_рисков и в целом управление_рисками.

Кроме того, помимо вопроса «что делать?» всегда есть вопрос «кто виноват?». Все изменения в системах и предоставление доступов должно иметь документальное, юридически значимое обоснование. Для этого используется та или иная система_электронного_документооборота с заявками, согласованиями и ответственными. В качестве бонуса такая система может дополнять - или даже полностью подменять - специализированные системы_контроля_изменений.