Informační bezpečnost

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 19. září 2022; ověření vyžaduje 1 úpravu .

Informační bezpečnost ( anglicky  Information Security , a také - anglicky  InfoSec ) je praxe zabraňující neoprávněnému přístupu , použití, zveřejnění, zkreslení, modifikaci, výzkumu, záznamu nebo zničení informací . Tento univerzální koncept platí bez ohledu na formu, kterou mohou mít data (elektronická nebo například fyzická). Hlavním úkolem informační bezpečnosti je vyvážená ochrana důvěrnosti , integrity a dostupnosti dat [1] s přihlédnutím k vhodnosti aplikace a bez jakékoli újmy na produktivitě organizace [2] . Toho je dosaženo především prostřednictvím vícestupňového procesu řízení rizik , který identifikuje stálá a nehmotná aktiva , zdroje hrozeb , zranitelná místa , potenciální dopady a příležitosti k řízení rizik. Tento proces je doprovázen hodnocením účinnosti plánu řízení rizik [3] .

Aby byla tato činnost standardizována, vědecká a odborná komunita neustále spolupracuje s cílem vyvinout základní metodiku, zásady a průmyslové standardy v oblasti technických opatření k zabezpečení informací, právní odpovědnosti a také standardů školení uživatelů a administrátorů . Tato standardizace je z velké části řízena širokou škálou zákonů a předpisů, které upravují, jak se k datům přistupuje, jak je zpracovávají, ukládají a přenášejí. Implementace jakýchkoli standardů a metodologií v organizaci však může mít pouze povrchní účinek, pokud kultura neustálého zlepšování není správně vštěpována [4] .

Obecné informace

Základem informační bezpečnosti je činnost ochrany informací – zajištění jejich důvěrnosti, dostupnosti a integrity a také zabránění jakémukoli kompromisu v kritické situaci [5] . Takové situace zahrnují přírodní, člověkem způsobené a sociální katastrofy , selhání počítače, fyzické únosy a podobné jevy. Zatímco vedení záznamů většiny organizací na světě je stále založeno na papírových dokumentech [6] , které vyžadují vhodná opatření v oblasti informační bezpečnosti, neustále roste počet iniciativ na zavádění digitálních technologií v podnicích [7] [8] , což znamená zapojení odborníků na bezpečnost informačních technologií (IT) do ochrany informací. Tito specialisté poskytují informační bezpečnostní technologie (ve většině případů - nějaký druh počítačových systémů ). Počítač v tomto kontextu neznamená pouze domácí osobní počítač , ale digitální zařízení jakékoli složitosti a účelu, od primitivních a izolovaných, jako jsou elektronické kalkulačky a domácí spotřebiče, až po průmyslové řídicí systémy a superpočítače spojené počítačovými sítěmi . Největší podniky a organizace, vzhledem k zásadní důležitosti a hodnotě informací pro jejich podnikání, zpravidla najímají ke svým zaměstnancům specialisty na informační bezpečnost. Jejich úkolem je zabezpečit všechny technologie před škodlivými kybernetickými útoky , často zaměřenými na krádež citlivých důvěrných informací nebo převzetí kontroly nad interními systémy organizace.

Informační bezpečnost jako oblast zaměstnanosti se v posledních letech výrazně rozvinula a rozrostla. Zrodila mnoho odborných specializací, jako je bezpečnost sítí a související infrastruktury , ochrana softwaru a databází , auditování informačních systémů , plánování kontinuity podnikání , detekce elektronických záznamů a počítačová forenzní . Odborníci na informační bezpečnost mají velmi stabilní zaměstnání a vysokou poptávku na trhu práce. Rozsáhlý výzkum provedený organizací (ISC)² ukázal, že v roce 2017 66 % vedoucích pracovníků v oblasti informační bezpečnosti zaznamenalo akutní nedostatek pracovních sil ve svých odděleních a podle prognóz bude do roku 2022 nedostatek odborníků v této oblasti 1 800 000 lidí po celém světě [9] .

Hrozby a protiopatření

Hrozby informační bezpečnosti mohou mít širokou škálu podob. Pro rok 2018 jsou nejzávažnější hrozby spojené se „ zločinem jako službou “ ( angl.  Crime-as-a-Service ), internetem věcí , dodavatelskými řetězci a komplikací regulačních požadavků [10] . Zločin jako služba je modelem pro vyspělé zločinecké komunity , aby poskytovaly balíčky kriminálních služeb na trhu darknetu za dostupné ceny začínajícím kyberzločincům [K 1] . To jim umožňuje provádět hackerské útoky , které byly dříve nepřístupné kvůli vysoké technické složitosti nebo vysokým nákladům, čímž se kybernetická kriminalita stala masovým jevem [12] . Organizace aktivně implementují internet věcí, což jsou zařízení často navržená bez bezpečnostních požadavků, což otevírá další příležitosti k útoku. Rychlý rozvoj a komplexnost internetu věcí navíc snižuje jeho transparentnost, což v kombinaci s vágně definovanými právními pravidly a podmínkami umožňuje organizacím využívat osobní údaje svých zákazníků shromážděné zařízeními podle vlastního uvážení bez jejich vědomí. Pro samotné organizace je navíc problematické sledovat, která z dat shromážděných IoT zařízeními se přenášejí ven. Hrozbou pro dodavatelské řetězce je, že organizace mají tendenci sdílet různé cenné a citlivé informace se svými dodavateli , což vede ke ztrátě přímé kontroly nad nimi. Výrazně se tak zvyšuje riziko porušení důvěrnosti, integrity nebo dostupnosti těchto informací. Stále více nových požadavků regulátorů výrazně komplikuje správu životně důležitých informačních aktiv organizací. Například obecné nařízení o ochraně osobních údajů (GDPR ) , které vstoupilo v platnost v Evropské unii v roce 2018 , vyžaduje, aby každá organizace kdykoli v jakékoli části své vlastní činnosti nebo dodavatelského řetězce prokázala, jaké osobní údaje a pro jaké cíle jsou tam dostupné, jak jsou zpracovávány, skladovány a chráněny. Navíc tyto informace musí být poskytnuty nejen při kontrolách oprávněnými orgány, ale i na první žádost soukromé osoby - vlastníka těchto údajů. Dodržování tohoto souladu vyžaduje odklon významných rozpočtových prostředků a zdrojů na jiné úkoly organizace v oblasti bezpečnosti informací. A přestože zefektivnění zpracování osobních údajů znamená z dlouhodobého hlediska zlepšení informační bezpečnosti, z krátkodobého hlediska se rizika organizace výrazně zvyšují [10] .  

Většina lidí je tak či onak vystavena hrozbám informační bezpečnosti. Stávají se například obětí malwaru ( viry a červi , trojské koně , ransomware ) [13] , phishingu nebo krádeže identity . Phishing ( anglicky  Phishing ) je podvodný pokus [K 2] zmocnit se důvěrných informací (například účtu , hesla nebo informací o kreditní kartě ). Obvykle se snaží nalákat uživatele internetu na podvodný web , který je k nerozeznání od původního webu jakékoli organizace ( banky , internetového obchodu , sociální sítě atd.) [14] [15] . Takové pokusy jsou zpravidla prováděny pomocí hromadného rozesílání falešných e-mailů zdánlivě jménem samotné organizace [16] , které obsahují odkazy na podvodné stránky. Otevřením takového odkazu v prohlížeči zadá nic netušící uživatel své přihlašovací údaje, které se stanou majetkem podvodníků [17] . Termín Krádež identity z  angličtiny.  —  „Krádež identity“ se v angličtině objevila v roce 1964 [18] a označovala činnosti, při nichž jsou něčí osobní údaje (například jméno, bankovní účet nebo číslo kreditní karty, často získané prostřednictvím phishingu) používány k podvodům a páchání jiných trestných činů [19 ] [20] . Ten, na jehož účet zločinci dostávají nezákonné finanční výhody, půjčky nebo páchají jiné trestné činy, se často stává sám obžalovaným, což pro něj může mít dalekosáhlé těžké finanční a právní důsledky [21] . Informační bezpečnost má přímý dopad na soukromí [22] , jehož definice může být v různých kulturách velmi odlišná [23] .

Vlády , armáda , korporace , finanční instituce , lékařské instituce a soukromé podniky neustále shromažďují značné množství důvěrných informací o svých zaměstnancích, zákaznících, produktech, výzkumu a finančních výsledcích . Pokud se takové informace dostanou do rukou konkurentů nebo kyberzločinců, může to vést k dalekosáhlým právním důsledkům pro organizaci a její klienty a také k nenapravitelným finančním ztrátám a ztrátám na dobré pověsti . Z obchodního hlediska musí být bezpečnost informací vyvážena náklady; ekonomický model Gordon-Lob popisuje matematický aparát pro řešení tohoto problému [24] . Hlavní způsoby, jak čelit hrozbám informační bezpečnosti nebo informačním rizikům, jsou:

• zmírňování  – zavádění bezpečnosti a protiopatření k řešení zranitelných míst a předcházení hrozbám;
• transfer  - přenesení nákladů spojených s realizací hrozeb na třetí osoby: pojišťovací nebo outsourcingové společnosti;
• akceptace  - tvorba finančních rezerv pro případ, že náklady na realizaci bezpečnostních opatření převýší potenciální škody z realizace hrozby;
• odmítnutí  - odmítnutí nadměrně rizikové činnosti [25] .

Historie

S příchodem nejstarších komunikačních prostředků si diplomaté a vojenští vůdci uvědomili potřebu vyvinout mechanismy na ochranu důvěrné korespondence a způsoby, jak odhalit pokusy o její falšování . Například Juliu Caesarovi je vynález připisován kolem roku 50 př.n.l. E. Caesarova šifra , která měla zabránit čtení jeho tajných zpráv těm, kterým nebyly určeny [26] . I když ochranu z větší části zajišťovala kontrola nad samotným postupem při vyřizování tajné korespondence. Důvěrné zprávy byly označeny jako chráněné a přenášeny pouze s důvěryhodnými osobami pod ochranou, uložené v zabezpečených místnostech nebo trezorech [ 27] .

S rozvojem pošty se začaly objevovat vládní organizace, které dopisy zachycovaly, dešifrovaly, četly a znovu uzavíraly. Takže v Anglii pro tyto účely v roce 1653 existoval Secret Office ( angl.  Secret Office ) [28] . V Rusku se nahlížení provádí minimálně od dob Petra I.  - od roku 1690 byly všechny dopisy zaslané do zahraničí otevřeny ve Smolensku . Praxe tajného opisování korespondence téměř všech zahraničních diplomatů, aby adresát neměl podezření, získala v polovině 18. století systémový charakter – objevily se tzv. „černé kanceláře“ [29] . Po otevření bylo požadováno provést kryptoanalýzu zprávy, pro kterou byli do činnosti černých kabinetů zapojeni svého času známí matematici. Nejvýraznějších výsledků dosáhl Christian Goldbach , kterému se za šest měsíců práce podařilo rozluštit 61 dopisů od pruských a francouzských ministrů. V některých případech byl po úspěšném dešifrování dopisu nahrazen jeho obsah – jakýsi útok „ muž uprostřed “ [30] .

Na počátku 19. století v Rusku, s nástupem Alexandra I. k moci , byla veškerá kryptografická činnost převedena na Úřad ministerstva zahraničních věcí . Od roku 1803 byl ve službách tohoto oddělení vynikající ruský vědec Pavel Lvovič Schilling . Jedním z nejvýznamnějších úspěchů kancléřství bylo rozluštění rozkazů a korespondence Napoleona I. během vlastenecké války v roce 1812 [31] [32] . V polovině 19. století se objevily sofistikovanější systémy klasifikace utajovaných informací , které vládám umožňovaly spravovat informace podle stupně jejich utajení. Například britská vláda do určité míry legitimizovala takovou klasifikaci v roce 1889 vydáním zákona o úředních tajemstvích [33] .

Během první světové války byly vrstvené klasifikační a šifrovací systémy používány k přenosu informací všemi válčícími stranami, což přispělo ke vzniku a intenzivnímu používání šifrovacích a kryptoanalytických jednotek. Koncem roku 1914 tak vznikla jedna ze sekcí britské admirality  - " místnost 40 ", která se stala přední kryptografickou autoritou ve Velké Británii. 26. srpna 1914 seděl lehký německý křižník „ Magdeburg “ na kamenech poblíž ostrova Odensholm u ústí Finského zálivu , který tehdy patřil Ruské říši. Němci zničili všechny dokumenty a vyhodili loď do povětří, ale ruští potápěči po prozkoumání dna našli dvě kopie signální knihy, z nichž jedna byla předána Britům. Poté, co Britové brzy obdrželi kódové knihy pro pomocné lodě, jakož i pro komunikaci mezi loděmi vnějších moří a doprovodnými nepřátelskými loděmi, byli Britové schopni dešifrovat německé námořní kódy. Prolomení kódu umožnilo číst zachycené nepřátelské rádiové zprávy. Od konce listopadu 1914 začala „místnost 40“ pravidelně dešifrovat radiogramy německé flotily, která přenášela téměř všechny rozkazy a rozkazy [34] . Poprvé se pokusili použít toto dešifrování během výpadu německé flotily k britskému pobřeží 16. prosince 1914 [35] .

V meziválečném období se šifrovací systémy stále více komplikovaly, takže se k šifrování a dešifrování tajných zpráv začaly používat speciální stroje , z nichž nejznámější je Enigma , vytvořená německými inženýry ve 20. letech 20. století. Již v roce 1932 se Polish Intelligence Cipher Bureau podařilo rozluštit šifru Enigma pomocí reverzního inženýrství [36] .

Množství informací vyměňovaných mezi zeměmi protihitlerovské koalice za druhé světové války vyžadovalo formální harmonizaci národních klasifikačních systémů a kontrolních a řídících postupů. Byla vytvořena sada štítků utajení, přístupných pouze zasvěceným, definujících, kdo může s dokumenty manipulovat (obvykle důstojníci spíše než poddůstojníci) a kde by měly být uloženy, vzhledem ke vzniku stále složitějších trezorů a trezorů. Bojující strany vyvinuly postupy pro zaručené zničení utajovaných dokumentů. Některá porušení takových postupů měla za následek nejvýznamnější zpravodajské zisky celé války. Například posádce německé ponorky U-570 se nepodařilo řádně zničit mnoho tajných dokumentů, které ji Britové zajali [37] . Pozoruhodným příkladem použití nástrojů informační bezpečnosti je výše zmíněná Enigma, jejíž komplikovaná verze se objevila v roce 1938 a byla široce používána Wehrmachtem a dalšími službami nacistického Německa . Ve Spojeném království byla úspěšně provedena dešifrování zpráv protivníka zašifrovaných pomocí Enigmy skupinou vedenou Alanem Turingem . Jimi vyvinutý dešifrovací stroj „  Turing Bombe “   poskytl významnou pomoc protihitlerovské koalici a někdy je mu připisována rozhodující role ve vítězství Spojenců [38] . Ve Spojených státech byli pro šifrování rádiových komunikací v pacifickém dějišti operací rekrutováni signalisté z indiánského kmene Navajo , jehož jazyk nikdo mimo Spojené státy neznal [39] . Japoncům se nikdy nepodařilo najít klíč k této exotické metodě ochrany informací [40] . V SSSR se od 30. let 20. století k ochraně telefonních hovorů nejvyšších představitelů země před odposlechy (včetně velitelství Nejvyššího vrchního velení ) používala tzv. vysokofrekvenční komunikace , založená na hlasové modulaci vysokofrekvenčních signálů. a jejich následného zašifrování . Nedostatečná kryptografická ochrana však umožnila pomocí spektrometru obnovit zprávy v zachyceném signálu [41] .

Druhá polovina 20. a začátek 21. století byly ve znamení prudkého rozvoje telekomunikací, počítačového hardwaru a softwaru a šifrování dat. Nástup kompaktního, výkonného a levného výpočetního vybavení zpřístupnil elektronické zpracování dat malým podnikům a domácím uživatelům. Velmi rychle byly počítače připojeny k internetu , což vedlo k explozivnímu růstu elektronického obchodu . To vše v kombinaci s nárůstem kybernetické kriminality a mnoha případy mezinárodního terorismu vytvořilo potřebu lepších metod ochrany počítačů a informací, které uchovávají, zpracovávají a přenášejí. Vznikly vědecké disciplíny jako " Computer Security " a " Information Security Techniques " [K 3] a mnoho profesních organizací se společným cílem zajistit bezpečnost a spolehlivost informačních systémů [43] .

Základní definice

Chráněné informace  - informace podléhající ochraně v souladu s požadavky regulačních právních aktů nebo požadavky stanovených vlastníkem informace [44] .

Vlastníkem informace  je osoba, která samostatně vytvořila informace nebo získalaprávo umožnit nebo omezit přístup k informacím určeným jakýmikoli znaky na základě zákona nebo dohody . Vlastníky informací mohou být: stát , právnická osoba , skupina fyzických osob, samostatná fyzická osoba [44] .

Informační bezpečnost  je takový stav informační bezpečnosti, ve kterém je zajištěna její důvěrnost , integrita a dostupnost [44] .

Organizace informační bezpečnosti  - soubor akcí zaměřených na identifikaci ohrožení informační bezpečnosti, plánování, provádění opatření k ochraně informací a sledování stavu ochrany informací [44] .

Systém informační bezpečnosti  - soubor orgánů a (nebo) výkonných osob, technologie informační bezpečnosti, kterou používají, a také objekty informační bezpečnosti, organizované a fungující v souladu s požadavky na informační bezpečnost [44] .

Politika zabezpečení informací organizace je soubor dokumentovaných zásad, postupů, postupů nebo směrnic v oblasti bezpečnosti informací, kterými se organizace při svých operacích řídí [44] .

"Informační bezpečnost" v různých zdrojích

Níže jsou uvedeny definice pojmu „bezpečnost informací“ z různých zdrojů:

• Zachování důvěrnosti , integrity a dostupnosti informací. Poznámka : Sem lze také zahrnout další vlastnosti, jako je autenticita , odpovědnost , nepopiratelnost a důvěryhodnost [ 45] . 
• Ochrana informací a informačních systémů před neoprávněným přístupem, použitím, zveřejněním, zkreslením, úpravou nebo zničením s cílem zajistit důvěrnost, integritu a dostupnost [1] .
• Zajištění ochrany informací v podniku před prozrazením neoprávněným uživatelům (důvěrnost), nelegální změnou (integrita) a nedostupností v případě potřeby (dostupnost) [46] .
• Proces ochrany duševního vlastnictví organizace [47] .
• Jedna z disciplín řízení rizik, jejímž úkolem je řídit náklady informačního rizika pro podnikání [48] .
• Přiměřená důvěra, že informační rizika jsou vyvážena vhodnými kontrolními a řídícími opatřeními [49] .
• Ochrana informací, minimalizující riziko prozrazení informací neoprávněným osobám [50] .
• Multidisciplinární oblast výzkumu a odborné činnosti, která se zaměřuje na vývoj a implementaci různých bezpečnostních mechanismů (technických, organizačních, lidsky orientovaných, právních) za účelem ochrany informací před hrozbami, ať se nacházejí kdekoli (uvnitř i vně organizace). perimetr) a v souladu s tím informační systémy, ve kterých jsou informace vytvářeny, zpracovávány, ukládány, přenášeny a ničeny. Seznam bezpečnostních cílů může zahrnovat důvěrnost, integritu, dostupnost, soukromí, pravost a platnost, nepopiratelnost, odpovědnost a ověřitelnost [51] .
• Proces rovnováhy mezi vznikajícími, dopadajícími hrozbami a úspěšností čelit těmto hrozbám ze strany státních orgánů odpovědných za bezpečnost státu [52] .

Klíčové principy

V roce 1975 Jerry Salzer a Michael Schroeder v článku „Information Security in Computer Systems“ [53] poprvé navrhli rozdělit narušení bezpečnosti do tří hlavních kategorií: neoprávněné uvolnění informací , neoprávněná změna informací ( eng  . Unauthorized information treatment ) a neoprávněné odepření přístupu ( angl. Unauthorized denial of use ) k informacím. Později tyto kategorie dostaly krátké názvy a standardizované definice:   

C důvěrnost z  angličtiny.  - "důvěrnost" - vlastnost informací, které mají být nepřístupné nebo uzavřené neoprávněným osobám, subjektům nebo procesům [54] ; Integrita z angličtiny  .  - "integrita" - vlastnost zachování správnosti a úplnosti aktiv [55] ; Dostupnost z angličtiny  .  - "dostupnost" - vlastnost informace, která má být k dispozici a připravena k použití na žádost oprávněného subjektu, který k tomu má právo [54] .

Souhrnně se tyto tři klíčové principy informační bezpečnosti označují jako triáda CIA [56] .

V roce 1992 zveřejnila OECD svůj vlastní model informační bezpečnosti, který se skládá z devíti principů: povědomí , odpovědnost , odpor , etika , demokracie , hodnocení rizik , vývoj a implementace bezpečnosti , řízení bezpečnosti , revize [57] [K 4] . V roce 1996 na základě publikace OECD z roku 1992 formuloval Americký národní institut pro standardy a technologie (NIST) osm základních principů, které uvádějí, že počítačová bezpečnost „podporuje poslání organizace“, „je nedílnou součástí řádného řízení“, „měla by být nákladově efektivní“, „vyžaduje komplexní a integrovaný přístup“, „je omezeno sociálními faktory“, „měl by být pravidelně revidován“, „povinnosti a odpovědnost za počítačovou bezpečnost by měly být jasně formulovány“ a „vlastníci systému mají odpovědnost za bezpečnost mimo jejich organizaci“ [59] . Na základě tohoto modelu NIST v roce 2004 publikoval 33 konstrukčních principů inženýrství informační bezpečnosti, pro každý z nich byly vypracovány praktické pokyny a doporučení, které jsou neustále vyvíjeny a aktualizovány [60] .

V roce 1998 přidal Donn Parker ke klasické triádě CIA další tři aspekty : Possession or Control , Authenticity , and Utility 61 ] . Přednosti tohoto modelu, nazývaného Parker hexad (z anglického  hexad -  "  skupina šesti položek"), jsou předmětem diskuse mezi specialisty na informační bezpečnost [62] .    

V roce 2009 vydalo americké ministerstvo obrany „Tři základní principy počítačové bezpečnosti“: Systémová náchylnost , přístup k chybě a schopnost využít chybu [ 63 ] [ 64] [65] .    

V roce 2011 vydalo mezinárodní konsorcium The Open Group standard řízení bezpečnosti informací O-ISM3 , který opustil koncepční definici složek klasické triády CIA ve prospěch jejich operativní definice . Podle O-ISM3 je možné pro každou organizaci identifikovat individuální sadu bezpečnostních cílů vztahujících se k jedné z pěti kategorií, které odpovídají té či oné složce triády: prioritní bezpečnostní cíle (důvěrnost), dlouhodobé bezpečnostní cíle ( integrita), cíle kvality informací (integrita), cíle řízení přístupu (dostupnost) a cíle technické bezpečnosti . [66] .

Ze všech výše zmíněných modelů bezpečnosti informací je v mezinárodní odborné komunitě stále nejuznávanější a nejrozšířenější klasická triáda CIA [56] . Je stanovena v národních [1] a mezinárodních normách [45] a je zahrnuta do hlavních vzdělávacích a certifikačních programů pro informační bezpečnost, jako jsou CISSP [67] a CISM [68] . Někteří ruští autoři z něj používají pauzovací papír – „ triádu CCD “ [56] . V literatuře jsou všechny tři jeho složky: důvěrnost, integrita a dostupnost synonymně označovány jako principy , atributy zabezpečení , vlastnosti , základní aspekty , informační kritéria , kritické charakteristiky nebo základní strukturální prvky [5] .

Mezitím v odborné komunitě probíhá neustálá debata o tom, jak triáda CIA vyhovuje rychle se vyvíjejícím technologiím a obchodním požadavkům. Výsledkem těchto diskusí jsou doporučení ohledně nutnosti vytvořit vztah mezi bezpečností a soukromím a také schválení dalších zásad [5] . Některé z nich jsou již zahrnuty do standardů Mezinárodní organizace pro normalizaci (ISO):

• autenticita - vlastnost , která  zaručuje , že předmět nebo zdroj je shodný s deklarovaným;
• accountability (anglicky accountability) - odpovědnost subjektu za jeho činy a rozhodnutí;
• nemožnost odmítnutí (angl. non-repudiation [K 5] ) - schopnost potvrdit událost nebo akci, která se stala, a jejich subjekty tak, aby tato událost nebo jednání a subjekty s ní související nemohly být zpochybněny;
• spolehlivost ( anglicky  reliability ) - vlastnost souladu se zamýšleným chováním a výsledky [45] .

Ochrana osobních údajů

Důvěrnosti informací je dosaženo poskytnutím přístupu k nim s nejmenšími privilegii na základě principu minimálního nutného povědomí ( anglicky  need-to-know ). Jinými slovy, oprávněná osoba by měla mít přístup pouze k těm informacím, které potřebuje k plnění svých služebních povinností. Výše uvedené zločiny proti soukromí, jako je krádež identity, jsou porušením soukromí. Jedním z nejdůležitějších opatření k zajištění důvěrnosti je klasifikace informací, která umožňuje, aby byly klasifikovány jako přísně důvěrné nebo určené pro veřejné či interní použití. Šifrování informací je typickým příkladem jednoho z prostředků zajištění důvěrnosti [69] .

Integrita

Přesné provádění operací nebo přijímání správných rozhodnutí v organizaci je možné pouze na základě spolehlivých dat uložených v souborech, databázích nebo systémech nebo vysílaných přes počítačové sítě. Jinými slovy, informace musí být chráněny před úmyslnými, neoprávněnými nebo náhodnými změnami oproti původnímu stavu, jakož i před jakýmkoli zkreslením během ukládání, přenosu nebo zpracování. Jeho integritu však ohrožují počítačové viry a logické bomby , programovací chyby a změny škodlivého kódu, falšování dat, neoprávněný přístup, zadní vrátka a podobně. Kromě úmyslného jednání jsou v mnoha případech neoprávněné změny citlivých informací důsledkem technických poruch nebo lidských chyb v důsledku nedopatření nebo nedostatku odborného školení. Například narušení integrity vede k: náhodnému smazání souborů, zadávání chybných hodnot, změně nastavení, provádění nesprávných příkazů, a to jak ze strany běžných uživatelů, tak systémových administrátorů [69] [70] .

K ochraně integrity informací je nutné uplatňovat řadu opatření pro kontrolu a řízení změn informací a systémů, které je zpracovávají. Typickým příkladem takových opatření je omezení okruhu osob s právem na změnu pouze těch, kteří takový přístup potřebují k plnění svých služebních povinností. Zároveň by měla být dodržena zásada dělby moci , podle níž změny v datovém nebo informačním systému provádí jedna osoba a druhá osoba je potvrzuje nebo odmítá. Kromě toho musí být jakékoli změny během životního cyklu informačních systémů konzistentní, testované pro zajištění integrity informací a zaváděné do systému pouze správně vytvořenými transakcemi . Aktualizace softwaru musí být prováděny bezpečným způsobem. Všechny akce, které zahrnují změny, musí být protokolovány [69] [70] .

Dostupnost

Podle této zásady by informace měly být v případě potřeby k dispozici oprávněným osobám. Hlavními faktory ovlivňujícími dostupnost informačních systémů jsou DoS útoky ( zkratka pro Denial of Service z  angličtiny  –  „denial of service“), ransomwarové útoky, sabotáže . Zdrojem ohrožení přístupnosti jsou navíc neúmyslné lidské chyby způsobené nedopatřením nebo nedostatečným odborným školením: náhodné vymazání souborů nebo záznamů v databázích, chybné nastavení systému; odmítnutí služby v důsledku překročení přípustného výkonu nebo nedostatku prostředků zařízení nebo selhání komunikačních sítí; neúspěšná aktualizace hardwaru nebo softwaru; odstavení systémů z důvodu výpadku napájení. Významnou roli v narušení dostupnosti hrají také přírodní katastrofy: zemětřesení, tornáda, hurikány, požáry, povodně a podobně. Ve všech případech koncový uživatel ztrácí přístup k informacím nezbytným pro jeho činnost, dochází k nucené prostoji. Kritičnost systému pro uživatele a jeho důležitost pro přežití organizace jako celku určuje dopad prostojů. Neadekvátní bezpečnostní opatření zvyšují riziko malwaru, zničení dat, narušení nebo DoS útoků. Takové incidenty mohou způsobit nedostupnost systémů pro běžné uživatele [71] .

Nemožnost odmítnutí

Termín „neodmítnutí“ ( anglicky  Non-Repudiation , někdy používaný společně – Nonrepudiation ) se poprvé objevil v roce 1988 v mezinárodní normě „Security of the interconnection of open systems“ (ISO 7498-2). Obvykle je chápán jako protiklad k anglosaskému právnímu termínu Repudiation z  angličtiny.  -  "odmítnutí, popření", které má dva hlavní výklady. Na jedné straně to znamená základní právo strany odmítnout plnit povinnosti vyplývající z transakce z právních důvodů [72] , pokud byl například podpis na listinném dokumentu zfalšován nebo byl originál podpisu získán nezákonně (např. v důsledku podvodu). V tomto případě spočívá důkazní břemeno o pravosti podpisu na straně, která se na něj spoléhá [73] . Jiným výkladem je neoprávněné vzdání se povinností. V rámci počítačové bezpečnosti se může jednat např. o popření skutečnosti odeslání, přijetí, autorství nebo obsahu elektronické zprávy některou ze stran. V rámci informační bezpečnosti se „neodmítnutím“ rozumí potvrzení integrity a původního původu dat s vyloučením možnosti padělání, které může být kdykoli ověřeno třetími osobami, nebo jako identifikace (totožnost, dokument, předmět), které lze s vysokou mírou jistoty považovat za autentické a nelze je vyvrátit [73] .

Rozsah (implementace) konceptu "informační bezpečnosti"

Systematický přístup k popisu informační bezpečnosti navrhuje vyčlenit tyto složky informační bezpečnosti [74] :

1. Legislativní, regulační a vědecká základna.
2. Struktura a úkoly orgánů (divizí), které zajišťují IT bezpečnost.
3. Organizační, technická a režimová opatření a metody (Politika bezpečnosti informací).
4. Softwarové a hardwarové metody a prostředky zajištění informační bezpečnosti.

Níže v této části bude podrobně probrána každá ze složek informační bezpečnosti.

Účelem implementace informační bezpečnosti jakéhokoli objektu je vybudování systému informační bezpečnosti pro tento objekt (ISIS). Pro vybudování a efektivní provoz systému údržby IS je nutné:

• identifikovat požadavky na bezpečnost informací specifické pro daný objekt ochrany;
• brát v úvahu požadavky národní a mezinárodní legislativy;
• používat zavedené postupy (standardy, metodiky) pro budování podobného Systému údržby IS;
• určit jednotky odpovědné za implementaci a podporu systému údržby IS;
• rozdělit oblasti odpovědnosti při implementaci požadavků systému údržby IS mezi oddělení;
• na základě řízení rizik informační bezpečnosti stanovit obecná ustanovení, technické a organizační požadavky, které tvoří Politiku bezpečnosti informací chráněného objektu;
• implementovat požadavky Politiky bezpečnosti informací zavedením vhodného softwaru, hardwaru, inženýrství a dalších metod a prostředků ochrany informací;
• implementovat systém řízení bezpečnosti informací (ISMS);
• pomocí ISMS organizovat pravidelné sledování účinnosti Systému údržby IS a v případě potřeby přezkoumat a upravit Systém údržby IS a ISMS.

Jak je patrné z poslední etapy prací, proces implementace Systému údržby IS je kontinuální a cyklicky (po každé revizi) se vrací do první etapy, přičemž se postupně opakují všechny ostatní. Takto je systém údržby IS nastaven tak, aby efektivně plnil úkoly ochrany informací a naplňoval nové požadavky neustále aktualizovaného informačního systému.

Normativní dokumenty v oblasti informační bezpečnosti

V Ruské federaci regulační právní akty v oblasti informační bezpečnosti zahrnují [75] :

Zákony federální legislativy:

• Mezinárodní smlouvy Ruské federace;
• Ústava Ruské federace;
• Zákony na federální úrovni (včetně federálních ústavních zákonů, kodexů);
• Dekrety prezidenta Ruské federace;
• vyhlášky vlády Ruské federace;
• Normativní právní akty federálních ministerstev a resortů;
• Regulační právní akty ustavujících subjektů Ruské federace, místních samospráv atd.

Seznamy a obsah specifikovaných regulačních dokumentů v oblasti informační bezpečnosti jsou podrobněji rozebrány v části Informační právo .

Regulační a metodické dokumenty zahrnují

• Metodické dokumenty státních orgánů Ruska:
  • Doktrína informační bezpečnosti Ruské federace;
  • Řídící dokumenty FSTEC (Státní technická komise Ruska);
  • příkazy FSB;
• Standardy bezpečnosti informací , z nichž existují:
  • Mezinárodní normy;
  • Státní (národní) normy Ruské federace;
  • Doporučení pro standardizaci;
  • Metodické pokyny.

Orgány (oddělení) zajišťující bezpečnost informací

Vlastní činnost je v závislosti na uplatnění činností v oblasti ochrany informací (v rámci státních orgánů nebo obchodních organizací) organizována zvláštními státními orgány (útvary) nebo útvary (službami) podniku.

Státní orgány Ruské federace, které kontrolují činnost v oblasti informační bezpečnosti:

• Výbor Státní dumy pro bezpečnost ;
• Rada bezpečnosti Ruské ;
• Federální služba pro technickou a exportní kontrolu (FSTEC Ruska);
• Federální bezpečnostní služba Ruské federace (FSB Ruska);
• Federální bezpečnostní služba Ruské federace (FSO of Russia);
• Zahraniční zpravodajská služba Ruské federace (SVR of Russia);
• Ministerstvo obrany Ruské federace (ministerstvo obrany Ruska);
• Ministerstvo vnitra Ruské federace (MVD Ruska);
• Federální služba pro dohled nad komunikacemi, informačními technologiemi a hromadnými komunikacemi (Roskomnadzor);
• Centrální banka Ruské federace (Bank of Russia).

Služby, které organizují ochranu informací na podnikové úrovni

• Hospodářská bezpečnostní služba ;
• Personální bezpečnostní služba (odbor bezpečnosti);
• personální služby ;
• Služba informační bezpečnosti .

Organizačně-technická a režimová opatření a metody

Pro popis technologie informační bezpečnosti konkrétního informačního systému se obvykle buduje tzv. Politika bezpečnosti informací nebo Bezpečnostní politika daného informačního systému .

Bezpečnostní politika (informace v organizaci) ( angl.  Organizační bezpečnostní politika ) - soubor zdokumentovaných pravidel, postupů, praktik či směrnic v oblasti informační bezpečnosti, které organizaci řídí v její činnosti.

Bezpečnostní politika informačních a telekomunikačních technologií ( angl.  ІТ security policy ) - pravidla, směrnice, zavedené postupy, které určují, jak v rámci organizace a jejích informačních a telekomunikačních technologií řídit, chránit a distribuovat majetek, včetně kritických informací.

Pro vytvoření politiky bezpečnosti informací se doporučuje samostatně zvážit následující oblasti ochrany informačního systému [74] :

• Ochrana objektů informačního systému ;
• Ochrana procesů, postupů a programů pro zpracování informací ;
• Ochrana komunikačních kanálů ( akustické , infračervené, drátové, rádiové kanály atd.), včetně ochrany informací v místních sítích ;
• Potlačení bočního elektromagnetického záření;
• Správa systému ochrany.

Zároveň by pro každou z výše uvedených oblastí měla Politika bezpečnosti informací popisovat následující fáze vytváření nástrojů ochrany informací:

1. Definice informací a technických zdrojů, které mají být chráněny;
2. Identifikace úplného souboru potenciálních hrozeb a kanálů úniku informací ;
3. Provádění hodnocení zranitelnosti a rizik informací v přítomnosti různých hrozeb a únikových kanálů;
4. Stanovení požadavků na ochranný systém;
5. Implementace výběru nástrojů informační bezpečnosti a jejich charakteristik;
6. Provádění a organizace využívání vybraných opatření, způsobů a prostředků ochrany;
7. Implementace systému řízení integrity a ochrany.

Politika bezpečnosti informací je formalizována ve formě dokumentovaných požadavků na informační systém . Dokumenty se obvykle dělí podle úrovní popisu (detailu) procesu ochrany.

Vrcholné dokumenty Politiky informační bezpečnosti odrážejí postoj organizace k aktivitám v oblasti informační bezpečnosti, její snahu vyhovět státním, mezinárodním požadavkům a standardům v této oblasti. Takové dokumenty mohou být nazývány „Koncepce IS“, „Nařízení o řízení IS“, „Politika IS“, „Technická norma IS“ atd. externí a interní použití.

Podle GOST R ISO / IEC 17799-2005 by měly být na nejvyšší úrovni Politiky informační bezpečnosti vypracovány následující dokumenty: „Koncepce bezpečnosti IS“, „Pravidla pro přijatelné využití zdrojů informačního systému“, „Plán kontinuity podnikání“ ".

Střední úroveň zahrnuje dokumenty týkající se určitých aspektů informační bezpečnosti. Jedná se o požadavky na tvorbu a provoz nástrojů informační bezpečnosti, organizaci informací a obchodních procesů organizace v konkrétní oblasti informační bezpečnosti. Například: Zabezpečení dat, Zabezpečení komunikací, Použití nástrojů kryptografické ochrany, Filtrování obsahu atd. Takové dokumenty jsou obvykle zveřejňovány ve formě vnitřních technických a organizačních zásad (standardů) organizace. Všechny dokumenty se zásadami zabezpečení informací střední úrovně jsou důvěrné.

Politika zabezpečení informací nižší úrovně zahrnuje pracovní předpisy, administrační manuály a provozní pokyny pro jednotlivé služby zabezpečení informací.

Software a hardware systému informační bezpečnosti

Literatura navrhuje následující klasifikaci nástrojů informační bezpečnosti [74] .

• Prostředky ochrany proti neoprávněnému přístupu :
  • Autorizační nástroje ;
  • Povinná kontrola přístupu [76] ;
  • Selektivní kontrola přístupu ;
  • Řízení přístupu na základě rolí ;
  • Protokolování (také nazývané Auditování ).
• Systémy analýzy a modelování informačních toků ( CASE -systémy).
• Monitorovací systémy sítě:
  • Systémy detekce a prevence narušení (IDS/IPS).
  • Systémy prevence úniku důvěrných informací (DLP-systémy).
• Analyzátory protokolů .
• Antivirové nástroje .
• Firewally .
• Kryptografické prostředky :
  • šifrování ;
  • Digitální podpis .
• Zálohovací systémy .
• Systémy nepřerušitelného napájení:
  • Zdroje nepřerušitelného napájení ;
  • Redundance zátěže;
  • Generátory napětí .
• Autentizační systémy :
  • Heslo ;
  • Přístupový klíč (fyzický nebo elektronický) ;
  • certifikát ;
  • Biometrie .
• Prostředky prevence hackování pouzder a krádeží zařízení.
• Prostředky kontroly přístupu do prostor .
• Nástroje pro analýzu ochranných systémů:
  • Antivirus .

Organizační ochrana objektů informatizace

Organizační ochrana je úprava produkční činnosti a vztahu výkonných umělců na právním základě, který vylučuje nebo významně ztěžuje neoprávněné držení důvěrných informací a projevy vnitřních a vnějších hrozeb. Organizační ochrana zajišťuje:

• organizace bezpečnosti, režimu, práce s personálem, s dokumenty;
• využití technického bezpečnostního vybavení a informačních a analytických činností k identifikaci vnitřních a vnějších hrozeb pro obchodní činnost [77] .

Mezi hlavní organizační činnosti patří:

• organizace režimu a ochrany. Jejich cílem je vyloučit možnost tajného vstupu na území a areály neoprávněných osob;
• organizace práce se zaměstnanci, která zajišťuje výběr a zařazování personálu včetně seznamování se zaměstnanci, jejich studium, školení o pravidlech pro práci s důvěrnými informacemi, seznámení s opatřeními odpovědnosti za porušení pravidel ochrany informací apod.;
• organizace práce s dokumenty a dokumentovanými informacemi, včetně organizace vypracování a používání dokumentů a nosičů důvěrných informací, jejich účtování, provádění, vracení, uchovávání a ničení;
• organizování používání technických prostředků pro shromažďování, zpracování, shromažďování a ukládání důvěrných informací;
• organizace práce na analýze vnitřních a vnějších ohrožení důvěrných informací a vypracování opatření k zajištění jejich ochrany;
• organizace práce na provádění systematické kontroly práce personálu s důvěrnými informacemi, postup při účtování, uchovávání a ničení dokumentů a technických nosičů.

V každém případě mají organizační opatření pro tuto organizaci specifickou formu a obsah, směřující k zajištění bezpečnosti informací v konkrétních podmínkách.

Informační bezpečnost podniku

Podniková informační bezpečnost je stav zabezpečení podnikových dat, který zajišťuje jejich důvěrnost, integritu, autenticitu a dostupnost.

Úkoly podnikových informačních bezpečnostních systémů jsou různé:

• zajištění bezpečného ukládání informací na médiích;
• ochrana dat přenášených komunikačními kanály;
• zálohování, zotavení po havárii atd.

Zajištění informační bezpečnosti podniku je možné pouze se systematickým a integrovaným přístupem k ochraně. Plnohodnotná UPS znamená nepřetržité monitorování všech důležitých událostí a podmínek, které ovlivňují bezpečnost dat a je prováděno celoročně [78] .

Informační bezpečnost podniku je dosahována celou řadou organizačních a technických opatření zaměřených na ochranu podnikových dat. Organizační opatření zahrnují zdokumentované postupy a pravidla pro práci s různými druhy informací, IT službami, bezpečnostními nástroji atd. Technická opatření zahrnují použití hardwarové a softwarové kontroly přístupu, sledování úniků, antivirovou ochranu, firewally, ochranu před elektromagnetickým zářením a jiné [79] .

Zajištění bezpečnosti informací je nepřetržitý proces, který zahrnuje pět klíčových kroků:

1. odhad nákladů;
2. rozvoj bezpečnostní politiky;
3. provádění politiky;
4. kvalifikované školení specialistů;
5. audit.

Proces zajištění bezpečnosti informací začíná posouzením majetku, určením informačních aktiv organizace, faktorů, které tyto informace ohrožují, a jejich zranitelnosti, významnosti celkového rizika pro organizaci. V závislosti na majetku bude vypracován program ochrany tohoto majetku. Jakmile je riziko identifikováno a kvantifikováno, lze zvolit nákladově efektivní protiopatření ke zmírnění tohoto rizika.

Cíle hodnocení bezpečnosti informací:

• určit hodnotu informačních aktiv;
• identifikovat hrozby pro důvěrnost, integritu, dostupnost a/nebo identifikovatelnost těchto aktiv;
• identifikovat existující zranitelnosti v praktických činnostech organizace;
• identifikovat rizika organizace ve vztahu k informačním aktivům;
• navrhnout změny stávajících pracovních postupů, které sníží velikost rizik na přijatelnou úroveň;
• poskytnout základ pro vytvoření bezpečnostního projektu.

Pět hlavních typů hodnocení:

• Posouzení zranitelností na systémové úrovni. Počítačové systémy jsou zkoumány z hlediska známých zranitelností a jednoduchých zásad dodržování předpisů.
• Hodnocení na úrovni sítě. Bylo provedeno posouzení stávající počítačové sítě a informační infrastruktury, byly identifikovány rizikové zóny.
• Celkové hodnocení rizik v rámci organizace. Byla provedena analýza celé organizace s cílem identifikovat hrozby pro její informační aktiva.
• Audit. Prověřuje se stávající politika a soulad organizace s touto politikou.
• Penetrační test. Byla zkoumána schopnost organizace reagovat na simulovaný průnik.

Při provádění hodnocení je třeba vzít v úvahu dokumenty, jako jsou:

• Pravidla bezpečnosti;
• informační politika;
• zásady a postupy zálohování;
• pracovní referenční příručka nebo pokyny;
• postupy pro přijímání a propouštění zaměstnanců;
• metodika vývoje softwaru;
• metodika změny softwaru;
• telekomunikační politiky;
• síťová schémata.

Po obdržení výše uvedených zásad a postupů je každá z nich zkoumána z hlediska relevance, legitimity, úplnosti a relevance, protože zásady a postupy musí být v souladu s účelem definovaným v dokumentu.

Po posouzení je nutné vypracovat zásady a postupy, které definují očekávaný stav bezpečnosti a seznam nezbytných prací. Neexistuje žádná politika – neexistuje žádný plán, na jehož základě bude organizace vyvíjet a provádět efektivní program UPS.

Měly by být vytvořeny následující zásady a postupy:

• Informační politika . Odhaluje tajné informace a způsoby jejich zpracování, ukládání, přenosu a ničení.
• Pravidla bezpečnosti. Definuje technické ovládací prvky pro různé počítačové systémy.
• Zásady použití. Poskytuje firemní politiku o používání počítačových systémů.
• Zásady zálohování. Určuje požadavky na zálohování počítačových systémů.
• Postupy správy účtu. Definuje akce, které se mají provést při přidání nebo odebrání uživatelů.
• Náhradní plán. Poskytuje akce pro obnovu vybavení společnosti po přírodních katastrofách nebo incidentech způsobených lidmi.

Realizace bezpečnostní politiky spočívá v realizaci technických prostředků a prostředků přímého řízení a také ve výběru bezpečnostních pracovníků. Mohou být vyžadovány změny konfigurace systémů mimo oblast působnosti bezpečnostního oddělení, proto by se do implementace bezpečnostního programu měli zapojit správci systému a sítě.

Při použití jakýchkoli nových bezpečnostních systémů musí být k dispozici kvalifikovaný personál. Organizace nemůže zajistit ochranu utajovaných informací bez zapojení svých zaměstnanců. Kompetentní profesní rekvalifikace je mechanismus, jak zaměstnancům poskytnout potřebné informace.

Zaměstnanci si musí být vědomi toho, proč jsou bezpečnostní záležitosti tak důležité, a musí být vyškoleni k identifikaci a ochraně citlivých informací.

Audit  je posledním krokem v procesu implementace informační bezpečnosti. Určuje stav informační bezpečnosti v rámci organizace, tvorbu vhodných politik a postupů, aktivaci technických kontrol a školení personálu [80] .

Viz také

• GOST ISO / IEC 27000 - řada norem pro řízení bezpečnosti informací
• Ochrana a kontrola informací
• společná kritéria
• Kritéria pro stanovení bezpečnosti počítačových systémů
• Prevence úniku informací
• Standard Bank of Russia pro zajištění informační bezpečnosti organizací bankovního systému Ruské federace (STO BR IBBS)
• Přestupky na úseku technického zabezpečení systémů
• standard SCAP
• Modely pro hodnocení hodnoty informace
• Státní informační politika
• Doktrína informační bezpečnosti Ruské federace
• Počítačová bezpečnost
• (ISC)²
• Jednotný registr ruského softwaru

Poznámky

Komentáře

1. ↑ V odborném žargonu informační bezpečnosti se kyberzločincům často říká Black hat z  angličtiny.  -  "černý klobouk" [11] .
2. ↑ Ruský trestní zákoník definuje „podvod v oblasti počítačových informací“ jako:

   ... odcizení cizího majetku nebo nabytí práva k cizímu majetku zadáním, vymazáním, zablokováním, úpravou počítačových informací nebo jiným zásahem do fungování prostředků k ukládání, zpracování nebo přenosu počítačových informací nebo informačních a telekomunikačních sítí ...

   - část 6 čl. 159 trestního zákoníku  Ruské federace
3. ↑ V Rusku jsou sdruženy ve vědecké specializaci "05.13.19 Metody a systémy ochrany informací, informační bezpečnost", která však nezahrnuje výzkum v oblasti kryptografie , algoritmů a metod kryptografické ochrany informací [42] .
4. ↑ V roce 2015 je nahradilo osm nových: povědomí, dovednosti a autorita ; odpovědnost ; lidská práva a základní hodnoty ; spolupráce ; cyklus hodnocení a řízení rizik ; bezpečnostní opatření ; inovace ; zajištění připravenosti a kontinuity [58] .
5. ↑ V GOST R ISO / IEC 27000-2012 je termín non-repudiation překládán z angličtiny občasným non-repudiation [55] .

Prameny

1. ↑ 1 2 3 NIST IR 7298 r2, 2013 , str. 94-95.
2. ↑ Ondřej, 2014 .
3. ↑ NIST IR 7298 r2, 2013 , str. 164.
4. ↑ Schlienger, 2003 , s. 46-52.
5. ↑ 1 2 3 Samonas, 2014 , str. 21–45.
6. ↑ Jacques, 2016 .
7. ↑ Petty, 2017 .
8. ↑ Fornie, 2017 .
9. ↑ Frost & Sullivan, 2017 , str. 2.
10. ↑ 12. Olavsrud , 2017 .
11. ↑ Moore, 2011 .
12. ↑ Europol, 2017 .
13. ↑ Stewart, 2015 , str. 882–883.
14. ↑ Ramzan, 2010 , str. 433.
15. ↑ Van der Merwe, 2005 , pp. 249-254.
16. ↑ Dawes, 2012 .
17. ↑ Provos, 2012 .
18. ↑ Krádež identity .
19. ↑ Dubal .
20. ↑ Hoofnagle, 2007 .
21. ↑ Armstrong, 2017 .
22. ↑ Gorodyanský, 2013 .
23. ↑ Zemskaya, 2005 .
24. ↑ Gordon & Loeb, 2002 .
25. ↑ Stewart, 2015 , str. 72.
26. ↑ Suetonius Tranquill, 1964 .
27. ↑ Singh, 2009 .
28. ↑ Johnson, 1998 .
29. ↑ Izmozik, 2015 .
30. ↑ Soboleva, 2002 .
31. ↑ Tokareva, 2012 , str. 82-107.
32. ↑ Nosov, 2002 .
33. ↑ Hastedt, 2011 , str. 589-590.
34. ↑ Zaměstnanci. Bitva na sedmi mořích. — str. 86
35. ↑ Yezhov, 2007 .
36. ↑ Singh, 2009 , str. třicet.
37. ↑ Sebag–Montefiore, 2011 , s. 162.
38. ↑ Singh, 2009 , str. 35.
39. ↑ Zhelnikov, 1996 .
40. ↑ Singh, 2009 , str. 191-201.
41. ↑ Anin, 2000 , str. 67-70.
42. ↑ VAK .
43. ↑ De Nardis, 2007 , s. 681–704.
44. ↑ 1 2 3 4 5 6 Khorev A. A. Organizace ochrany důvěrných informací v obchodní struktuře  // Ochrana informací. Uvnitř  : časopis. - 2015. - č. 1 . - S. 14-17 . — ISSN 2413-3582 . (Ruština)
45. ↑ 1 2 3 GOST R ISO/IEC 27000-2012 , str. 1-3.
46. ↑ ISACA .
47. ↑ Pipkin, 2000 .
48. ↑ Blakley, McDermott & Geer, 2001 .
49. ↑ Anderson, 2003 .
50. ↑ Venter & Eloff, 2003 .
51. ↑ Cherdantseva, 2013 .
52. ↑ Shushkov a Sergeev, 2016 , str. 69-76.
53. ↑ Saltzer & Schroeder, 1975 .
54. ↑ 1 2 GOST R ISO/IEC 27000-2012 , str. 2.
55. ↑ 1 2 GOST R ISO/IEC 27000-2012 , str. 3.
56. ↑ 1 2 3 Lukatsky, 2012 .
57. ↑ OECD, 2002 , s. 9-12.
58. ↑ OECD, 2015 , pp. 9-11.
59. ↑ NIST SP 800-14, 1996 , pp. 4-10.
60. ↑ NIST SP 800-160v1, 2016 , str. 205.
61. ↑ Parker, 1998 .
62. ↑ Slade .
63. ↑ Hughes & Cybenko, 2013 .
64. ↑ DESÍTKY .
65. ↑ Teplow .
66. ↑ O-ISM3v2, 2017 .
67. ↑ Gordon, 2015 , str. osm.
68. ↑ Krutz & Vines, 2003 , kapitola 1, s. jeden.
69. ↑ 1 2 3 Gordon, 2015 , str. 7.
70. ↑ 12 Stewart , 2015 , str. 5.
71. ↑ Gordon, 2015 , str. 7-8.
72. ↑ McCarthy, 2006 , s. 65.
73. ↑ 12 McCullagh & Caelli , 2000 .
74. ↑ 1 2 3 Domarev V.V. Bezpečnost informačních technologií. Systémový přístup (nedostupný odkaz) . www.security.ukrnet.net _ Získáno 10. 5. 2013. Archivováno z originálu 10. 5. 2013.  (Ruština)   - K .: OOO TID Dia Soft, 2004. - 992 s.
75. ↑ Lapina M. A., Revin A. G., Lapin V. I. Informační právo. M.: UNITY-DANA, Právo a právo, 2004.
76. ↑ Informační bezpečnost v moderních systémech správy databází . www.compress.ru _ Staženo 13. ledna 2019. Archivováno z originálu 7. května 2019. (Ruština)
77. ↑ Organizační zabezpečení v podniku: papírové a praktické zabezpečení . infosec.ru . Získáno 13. ledna 2019. Archivováno z originálu dne 25. dubna 2014. (Ruština)
78. ↑ Rusinov S. Zajištění informační bezpečnosti obchodních podniků, obchodních sítí a jejich infrastruktury: http://www.itsec.ru/articles2/Inf_security/infosec-torg Archivní kopie ze 4. dubna 2016 na Wayback Machine
79. ↑ Melnikov V.P., Kleymenov S.A., Petrakov A.M. Informační bezpečnost a ochrana informací 3. vyd. Proč. Příspěvek pro studenty. vyšší učebnice provozovny/V. P. Melnikov, S. A. Kleymenov, A. M. Petrakov.-M.: 2008. — 336 s.
80. ↑ Zajištění bezpečnosti informací: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html Archivováno 7. dubna 2016 na Wayback Machine .

Literatura

• Gaius Suetonius klidný . Kniha první // Život dvanácti císařů  = De vita XII caesarvm: [přel. z  lat. ] / překlad Gasparov M .. - M .  : Nakladatelství "Nauka", 1964. - 374 s. - (Literární památky).
• Singh, Simone. Šifrovací kniha  : Tajná historie šifer a jejich rozluštění. - M .  : Nakladatelství "AST", 2009. - 448 s. — ISBN 5-17-038477-7 .
• Izmozik, V. S. "Černé skříně": historie ruského nahlédnutí. XVIII - začátek XX století. - M .  : Nová literární revue, 2015. - ISBN 978-5-4448-0392-9 .
• Zhelnikov V. Jazyk komunikace // Kryptografie od papyru k počítači . - M. : ABF, 1996. - 335 s. - ISBN 5-87484-054-0 .
• Anin, B. Yu . "Marfinskaya Sharazka" // Elektronická špionáž. -M .: Tsentrpoligraf, 2000. - 491, [2] s., [8] l. ill., port. - (Tajná složka). —10 000 výtisků.  —ISBN 5-227-00659-8.
• Nosov V. A. Stručný historický nástin vývoje kryptografie // Moskevská univerzita a vývoj kryptografie v Rusku, Moskevská státní univerzita, 17.-18. října 2002: konferenční materiály. - 2002. - S. 20-32.
• Tokareva N. N. O historii kryptografie v Rusku  // Aplikovaná diskrétní matematika. - 2012. - prosinec ( č. 4 (18) ).
• Alexey Lukatsky. Triáda \"důvěrnost, integrita, dostupnost\": odkud pochází? // SecurityLab.ru . - 2012. - 20. září.
• Koncepční základy informační bezpečnosti Ruské federace / Shushkov G. M., Sergeev I. V. // Aktuální otázky vědecké a vědecké a pedagogické činnosti mladých vědců: sborník vědeckých příspěvků III. Všeruská korespondenční vědecká a praktická konference (23. 11. /2015 - 30.12.2015 ., Moskva) / ed. vyd. E.A. Pevtsová; redakce: E.A. Kurenková a další.- M .  : IIU MGOU, 2016. - ISBN 978-5-7017-2532-2 .
• Yezhov, M. Yu. Jeden z mýtů o křižníku "Magdeburg" // Otázky historie . - 2007. - Vydání. 2. - S. 152-156. — ISSN 0042-8779 .
• 05.13.19 Metody a systémy informační bezpečnosti, informační bezpečnost  : [DOC] // Vyšší atestační komise (HAC). — Datum přístupu: 19.07.2018.
• GOST R ISO/IEC 27000-2012: Informační technologie (IT). Metody a prostředky zajištění bezpečnosti. Systémy řízení bezpečnosti informací. Obecný přehled a terminologie  : [PDF] // Rosstandart . — Datum přístupu: 20.07.2018.

v cizích jazycích

• Andress, J. Základy informační bezpečnosti: Pochopení základů InfoSec v teorii a praxi . - Syngress, 2014. - 240 s. — ISBN 9780128008126 .
• Stewart, James Michael. CISSP® : Certifikovaná odborná příručka pro bezpečnost informačních systémů : [ eng. ]  / James Michael Stewart, Mike Chapple, Darril Gibson. — Sedmé vydání. — Kanada : John Wiley & Sons, Inc., 2015. — 1023 s. - ISBN 978-1-119-04271-6 .
• Moore, Roberte. Kyberzločin: Vyšetřování počítačového zločinu využívajícího špičkové technologie: [ eng. ] . — 2. vyd. - Boston : Anderson Publ., 2011. - 318 s. — ISBN 9781437755824 .
• Phishingové útoky a protiopatření  / Ramzan, Zulfikar // Příručka informační a komunikační bezpečnosti : [ eng. ]  / Peter Stavroulakis, Mark Stamp. - L.  : Springer Science & Business Media, 2010. - 867 s. - ISBN 978-3-642-04117-4 .
• Johnson, John. Evoluce britského sigintu  : 1653–1939: [ angl. ] . - Stacionární kancelář Jejího Veličenstva, 1998. - 58 s.
• Soboleva, T. A. Úvod // Historie šifrovacího podnikání v Rusku . - M.  : OLMA-Press, 2002. - 510 s. — ISBN 5224036348 .
• Personál, Gary. Bitva na sedmi mořích: bitvy německých křižníků, 1914-1918. - Barnsley: Pen & Sword Books, 2011. - 224 s. — ISBN 978-1848841826 .
• Oficiální tajný zákon (1889; nový 1911; novelizován 1920, 1939, 1989) // Špioni, odposlechy a tajné operace: Encyklopedie americké špionáže / editor Hastedt, GP. - Santa Barbara, CA, USA : ABC-CLIO, LLC, 2011. - Sv. 2. - ISBN 978-1-85109-807-1 .
• Sebag Montefiore, Hugh. Enigma: Bitva o kód. — Orion, 2011. — 576 s. — ISBN 9781780221236 .
• Pipkin, Donald L. Informační bezpečnost  : Ochrana globálního podniku: [ eng. ] . - N. Y.  : Prentice Hall PTR, 2000. - 364 s. — ISBN 9780130173232 .
• Oficiální (ISC)²® Průvodce po CISSP® CBK®: Čtvrté vydání: [ eng. ]  / Adam Gordon, redaktor. - Boca Raton, FL, USA: CRC Press, 2015. - 1278 s. - ISBN 978-1-4822-6275-9 .
• Parker, Donn B. Boj s počítačovým zločinem  : Nový rámec pro ochranu informací: [ eng. ] . - N. Y  .: John Wiley & Sons , 1998. - 528 s. - ISBN 0-471-16378-3 .
• Krutz, Ronald L. Průvodce přípravou CISM  : Zvládnutí pěti domén managementu informační bezpečnosti: [ eng. ]  / Ronald L. Krutz, Russell Dean Vines. - N. Y  .: John Wiley & Sons , 2003. - 433 s. - ISBN 0-471-45598-9 .
• McCarthy, C. Digitální knihovny: Úvahy o bezpečnosti a uchovávání // Příručka informační bezpečnosti, hrozeb, zranitelnosti, prevence, detekce a řízení  : [ eng. ]  / Bidgoli, H.. - John Wiley & Sons, 2006. - Sv. 3. - ISBN 9780470051214 .
• Schlienger, Thomas. Kultura informační bezpečnosti  : Od analýzy ke změně : [ eng. ]  / Thomas Schlienger, Stephanie Teufel // South African Computer Journal. - Pretoria, Jižní Afrika, 2003. - Sv. 31.
• Samonas, S. CIA vrací úder  : Nové definování důvěrnosti, integrity a dostupnosti v bezpečnosti: [ eng. ]  / Samonas, S., Coss, D. // Journal of Information System Security. - Washington DC, USA : Information Institute Publishing, 2014. - Sv. 10, č. 3.
• Jacques, RJ The True Costs of Paper-Based Business  : [ eng. ]  // Fulcrum Blog. - Spatial Networks, Inc., 2016. - 13. ledna. — Datum přístupu: 27.06.2018.
• Petty, Christy. Gartner říká, že digitální disruptory mají dopad na všechna odvětví; Digitální KPI jsou zásadní  pro měření úspěchu ] . - Gartner, Inc., 2017. - 2. října. — Datum přístupu: 27.06.2018.
• Forni, Amy Ann, van der Meulen, Rob. Průzkum společnosti Gartner ukazuje, že 42 procent generálních ředitelů zahájilo transformaci  digitálního podnikání ] . - Gartner, Inc., 2017. - 24. dubna. — Datum přístupu: 27.06.2018.
• 2017 Global Information Security Workforce Study: Benchmarking Workforce Capacity and Response to Cyber ​​​​Risk - EMEA  : [PDF] : [ eng. ]  // (ISC)² . - Frost & Sullivan, 2017. - Datum přístupu: 27.06.2018.
• Zločin ve věku technologií: Hodnocení hrozeb závažného a organizovaného zločinu Europolem 2017  : [ eng. ]  : tisková zpráva. - Europol , 2017. - 9. března. — Datum přístupu: 27.06.2018.
• Olavsrud, Thor. 5 hrozeb informační bezpečnosti, které budou dominovat roku 2018  : [ eng. ]  // CIO.com . Staženo: 13. ledna 2019. (neurčitý) . - IDG Communications, Inc., 2017. - 20. listopadu. — Datum přístupu: 27.06.2018.
• Zemskaya, E. A. Rysy ruské řeči emigrantů čtvrté vlny . - Gramota.ru , 2005. - 9. dubna. — Datum přístupu: 27.06.2018.
• Gordon, Lawrence. Ekonomika investic do informační bezpečnosti: [ eng. ]  / Lawrence Gordon, Martin Loeb // ACM Transactions on Information and System Security. - 2002. - Sv. 5, č. 4 (listopad). - doi : 10.1145/581271.581274 .
• Van der Merwe, Alta. Charakteristiky a odpovědnosti zapojené do phishingového útoku  : [ eng. ]  / Loock, Marianne, Dabrowski, Marek // WISICT '05 Sborník příspěvků ze 4. mezinárodního sympozia o informačních a komunikačních technologiích. - Kapské Město, Jižní Afrika, 2005. - 3. ledna. - S. 249-254. — ISBN 1-59593-169-4 .
• Hoofnagle, Chris Jay. Krádež identity: Učinit známé neznámé známými  : [ eng. ]  // Social Science Research Network. - Berkeley, CA, USA: University of California, 2007. - 13. března. — Datum přístupu: 07.04.2018.
• Armstrong, Drew. Moje tři roky v pekle krádeže identity  : [ arch. 19.09.2017 ] : [ angl. ] . — Bloomberg, 2017. — 17. září. — Datum přístupu: 07.04.2018.
• Gorodyanský, David. Soukromí a bezpečnost na internetu : Sdílená odpovědnost  : [ eng. ]  // wired.com . - 2013. - 10. - Datum přístupu: 07.04.2018.
• Informační bezpečnost je řízení informačních rizik  / Bob Blakley, Ellen McDermott, Dan Geer // Sborník z workshopu z roku 2001 o nových bezpečnostních paradigmatech. - N. Y  .: ACM, 2001. - S. 97-104. - ISBN 1-58113-457-6 .
• Anderson, JM Proč potřebujeme novou definici informační bezpečnosti // Computers & Security. - 2003. - Sv. 22, č. 4. - S. 308-313. - doi : 10.1016/S0167-4048(03)00407-3 .
• Venter, HS Taxonomie pro technologie informační bezpečnosti / HS Venter, JHP Eloff // Počítače a bezpečnost. - 2003. - Sv. 22, č. 4. - S. 299-307. - doi : 10.1016/S0167-4048(03)00406-1 .
• Kapitola 24: Historie internetové bezpečnosti / De Nardis, L. // Historie informační bezpečnosti: Komplexní příručka / editovali de Leeuw, KMM a Bergstra, J.. - Elsevier, 2007. - ISBN 9780080550589 .
• Cherdantseva, Y. Bezpečnost informací a zajišťování informací. Diskuze o smyslu, rozsahu a cílech // Organizační, právní a technologické dimenze správce informačního systému / Y. Cherdantseva, J. Hilton. — IGI Global Publishing, 2013.
• Saltzer, H. Saltzer. Ochrana informací v počítačových systémech  : [ eng. ]  / H. Saltzer Saltzer, Michael D. Schroeder // Proceedings of the IEEE. - USA: IEEE , 1975. - Sv. 63, č.p. 09 (září). - S. 1278-1308. — ISSN 1558-2256 .
• Hughes, J. Kvantitativní metriky a hodnocení rizik  : Model tří principů kybernetické bezpečnosti: [ eng. ]  / J. Hughes, G. Cybenko // Technology Innovation Management Review. - Ottawa, Kanada: Talent First Network (Carleton University), 2013. - Srpen. - S. 15-24. — ISSN 1927-0321 .
• McCullagh, Adrian. Neodmítnutí v digitálním prostředí  : [ eng. ]  / Adrian McCullagh, William Caelli // Technology Innovation Management Review. - Chicago, USA: První pondělí, 2000. - Sv. 8, č. 8 (srpen). — ISSN 1396-0466 .
• NIST Interagency or Internal Report 7298  : Glosář klíčových pojmů zabezpečení informací : [ eng. ]  / Richard L. Kissel, redaktor, Divize počítačové bezpečnosti, Laboratoř informačních technologií. - Revize 2. - Gaithersburg, MD, USA: National Institute of Standards and Technology , 2013. - 222 s.
• Speciální publikace NIST 800-14  : Obecně uznávané principy a postupy pro zabezpečení systémů informačních technologií: [ eng. ] . - Gaithersburg, MD, USA : National Institute of Standards and Technology, 1996. - 61 s.
• Speciální publikace NIST 800-160  : Systémové bezpečnostní inženýrství: Úvahy o multidisciplinárním přístupu při konstrukci důvěryhodných bezpečných systémů : ] . - Gaithersburg, MD, USA : National Institute of Standards and Technology, 2016. - Sv. 1. - 260 str.
• Směrnice OECD pro bezpečnost informačních systémů a sítí  : Směrem ke kultuře bezpečnosti : [ eng. ] . - P.  : Publikace OECD, 2002. - 30 s.
• Řízení rizik digitální bezpečnosti pro ekonomickou a sociální prosperitu  : Doporučení a doprovodný dokument OECD : [ eng. ] . - P.  : OECD Publishing, 2015. - 74 s.
• Open Group Standard  : Open Information Security Management Maturity Model (O-ISM3), verze 2.0: [ eng. ] . - Reading, Berkshire, Spojené království: The Open Group , 2017. - 130 s. — ISBN 1-937218-98-0 .

Odkazy

• Posouzení. Prostředky ochrany informací a podnikání 2006 . www.cnews.ru _ Načteno: 13. ledna 2019. (Ruština) CNews
• Slovník pojmů zabezpečení a kryptografie (odkaz není k dispozici) . www.profinfo.ru _ Získáno 13. ledna 2019. Archivováno z originálu 9. ledna 2006.  (Ruština)  Evropský institut pro telekomunikační standardy
• Doktrína informační bezpečnosti Ruské federace . web.archive.org . Datum přístupu: 13. ledna 2019. (neurčitý)
• Návrh koncepce zlepšení právní podpory informační bezpečnosti Ruské federace . web.archive.org . Datum přístupu: 13. ledna 2019. (neurčitý)
• Federální zákon Ruské federace ze dne 27. července 2006 N 149-FZ o informacích, informačních technologiích a ochraně informací . www.e-nigma.ru _ Datum přístupu: 13. ledna 2019. (Ruština)
• Provos, Niels. Bezpečné prohlížení - Ochrana uživatelů webu na 5 let a počítání  : [ eng. ]  // Blog zabezpečení Google. - 2012. - 19. června. — Datum přístupu: 07.04.2018.
• Dawes, Adame. Další úder proti e-mailovému phishingu  : [ eng. ]  // Blog zabezpečení Google. - 2012. - 29. ledna. — Datum přístupu: 07.04.2018.
• Dubal, Uttam, Rigot, Stu. Krádež syntetického ID  (nedostupný odkaz)  : [ arch. 10/09/2015 ] : [ angl. ]  // Cyber ​​​​Space Times. — Datum přístupu: 07.04.2018.
• Krádež identity  : [ anglicky ] ]  // Merriam-Webster.com. — Merriam-Webster . — Datum přístupu: 07.04.2018.
• Slovník : Bezpečnost informací  : [ ang. ]  // www.isaca.org. — ISACA . — Datum přístupu: 21.08.2018.
• Slade, Robe. CIA TRIAD VERSUS PARKERIAN  HEXAD ]  // Blog (ICS)2. - 2008. - 15. prosince. — Datum přístupu: 09.07.2018.
• Tři principy  : [ angl. ]  // Zabezpečení důvěryhodného koncového uzlu. — D.O.D. _ — Datum přístupu: 08.09.2018.
• Teplow, Lily. Propadají vaši klienti těmto mýtům o bezpečnosti IT? [TABULKA ]: [ angličtina ] ]  // Blog Continuum. - Boston, MA, USA: Continuum Managed Services, 2016. - 18. listopadu. — Datum přístupu: 08.09.2018.

Slovníky a encyklopedie	velká čínština Velký Rus
V bibliografických katalozích	NKC : ph136652

Informační bezpečnost
Prostředky ochrany proti neoprávněnému přístupu	Přístupová práva Povinná kontrola přístupu Selektivní řízení přístupu Řízení přístupu založené na rolích
Informace	Informační bezpečnost Internetová bezpečnost Zabezpečení sítě Kanály úniku informací Ochrana informací v lokálních sítích Zabezpečení Wi-Fi Zabezpečení v sítích WiMAX Zabezpečení internetu věcí Kanály úniku informací přenášené přes optické komunikační linky Analýza zabezpečení databáze
Ochrana	Antivirový program Firewall Systém detekce narušení Prevence úniku
Zranitelnosti	Bezpečné programování bezpečnostní chyba Softwarová chyba Zranitelnost Využívat Zranitelnost nultého dne Bezpečnostní testování Bugtraq OWASP Bug bounty program