Security

Информационная безопасность

ИБ — защита информации от утечки, искажения и потери доступности; строится вокруг триады конфиденциальность-целостность-доступность.

Что такое Информационная безопасность

ИБ расшифровывается как «информационная безопасность» — состояние защищённости информации и поддерживающей её инфраструктуры от угроз, а также совокупность мер, которые это состояние обеспечивают. В английском — information security, в разговоре — «секьюрити», в резюме — security engineer.

Определение через триаду точнее и полезнее. ИБ обеспечивает три свойства информации:

Свойство Что означает Что его ломает
КонфиденциальностьДоступна только тем, кому положено Утечка, взлом, инсайдер
ЦелостностьНе изменена незаметно и без права Подмена данных, порча резервных копий
ДоступностьДоступна, когда нужна DDoS, отказ диска, шифровальщик

По-русски это КЦД, по-английски CIA triad. Триада — рабочий инструмент, а не мнемоника: любая мера защиты усиливает одно свойство и часто ослабляет другое. Зашифровали диск и потеряли ключ — конфиденциальность идеальна, доступность равна нулю. Именно поэтому ИБ — это всегда поиск баланса, а не «сделать максимально безопасно».

Важно и то, чем ИБ не является. Это не отдел, который всё запрещает, и не покупка файрвола. Это процесс: оценка рисков → выбор мер → внедрение → контроль → пересмотр.

Что такое угроза

Угроза — потенциальная возможность нарушить одно из свойств информации. Рядом стоят ещё три термина, которые часто путают:

  • Актив — то, что защищаем: база клиентов, сервер, репутация.
  • Уязвимость — слабость, через которую угроза реализуется: непропатченный Nginx, пароль admin123.
  • Угроза — сам сценарий: «злоумышленник эксплуатирует уязвимость и выгружает базу».
  • Риск — угроза, оценённая через вероятность и ущерб. Именно риски, а не угрозы, определяют, куда тратить бюджет.

В России каталог угроз ведёт ФСТЭК — это БДУ, банк данных угроз (bdu.fstec.ru). Из него берут угрозы при моделировании для ИСПДн и государственных систем. Международный аналог по уязвимостям — база CVE.

Из чего складывается ИБ на практике

Регулирование в России

ИБ — одна из самых зарегулированных областей IT. Ключевые ориентиры: 149-ФЗ (об информации), 152-ФЗ (персональные данные), 187-ФЗ (безопасность критической информационной инфраструктуры), приказы ФСТЭК (№ 17 — государственные системы, № 21 — ИСПДн, № 239 — КИИ), Доктрина информационной безопасности РФ. Международный стандарт менеджмента ИБ — ГОСТ Р ИСО/МЭК 27001, отраслевой для платежей — PCI DSS.

Практический вывод для инфраструктуры: если ваша система попадает под 152-ФЗ или 187-ФЗ, набор мер уже определён нормативкой, а средства защиты обязаны быть сертифицированными СЗИ. Выбор «мы поставим что-нибудь опенсорсное» в этом случае недоступен.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер