Сертификация систем менеджмента ISO 9001, ISO 14001, ISO 45001, ISO 27001
Качество – правило. Цена – исключение!
Главная \ Новости и статьи \ Абсолютная безопасность – утопия?

Новости и статьи

« Назад

Абсолютная безопасность – утопия? 20.12.2024 06:36

Абсолютная безопасность – утопия?

Как построить систему информационной безопасности, чтобы она обеспечивала защиту на уровне, превосходящем тех, кто наименее подготовлен к угрозам.

Углубимся немного в теоретический основы информационной безопасности и подходов к определению оптимального уровня инвестиций в нее.

Согласно документу NIST SP 800-12 R1 «An introduction to Information Security» («Введение в информационную безопасность») – Информационная безопасность определяется как защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, изменения или уничтожения с целью обеспечения конфиденциальности, целостности и доступности. Другими словами, выстраивание системы информационной безопасности не должно противоречить трем основным принципам – сохранению конфиденциальности, целостности и доступности информации. Тут можно привести аналогию с мероприятиями по обеспечению физической безопасности жилья от проникновения злоумышленников – наверняка, желая обеспечить физически невозможное проникновение злоумышленников в квартиру мы можем заложить все двери и окна кирпичами и создать своего рода сейф, но даже в этом случае 100% безопасность не будет обеспечена (сейфы тоже вскрываются). С другой стороны, пользоваться таким жильем, скорее всего, будет невозможно.

Возвращаясь к защите информации – можно полностью изолировать информационную систему от окружающего мира, что, конечно, повысит степень защищенности информации (но не обеспечит абсолютную защиту) от злоумышленников, однако в этом случае мы рискуем нарушить как минимум принцип доступности информации. В реальной жизни подход к полной изоляции информационных систем не работает даже для узких сегментов АСУ ТП, не говоря уже про корпоративные сегменты сети организации. 100-процентная кибербезопасность в действующих компаниях недостижима.

Таким образом, в действующих компаниях и организациях абсолютная кибербезопасность не только недостижима, но и не может являться целью при проектировании и внедрении средств и методов информационной безопасности. Понимание мотивации злоумышленников, стоимости компрометации собственных информационных систем, грамотный подход к инвестированию в ИБ и в план по восстановлению в случае наступления негативного события, позволяют минимизировать вероятность киберинцидента как такового.

                                                                                                                      Автор Никита Черняков


Контакты
г. Нур-Султан
Написать нам
новости Казахстан