Есть общее понятие безопасности. В него входит множество сфер деятельности современных людей, подверженных определённому риску. Пожары, выбросы химических веществ и так далее.
Со сравнительно недавних пор появилось понятие (системы) информационной безопасности, отмечают специалисты компании “Atestor”. Это касается преимущественно хранения, использования и обеспечения доступа к информации, находящейся на электронных носителях. Своеобразный стереотип, он обычно присущ людям, «недавно заставшим» появление компьютеров и сети Интернет.
На самом деле
Вспоминаем азы предмета Информатика. Два понятия: источник и носитель информации. К нашему случаю относится последнее. Носители информации – это необязательно сервер, компьютер со своей памятью, диск, флэш-накопитель или старая дискета. Книги, журналы учёта, бумажные архивы и отдельные документы, заверенные подписями, печатями, также представляют собой носители информации, причём в части случаев речь идёт об особой важности и повышенной секретности. Всё вышеперечисленное равносильно нуждается в обеспечении информационной безопасности из-за аналогичных рисков (в документе ISO 27001 они именуются инцидентами).
Примеры:
- утрата (электронных) документов или оборудования вследствие халатности сотрудника предприятия;
- утечка информации в ходе промышленного шпионажа;
- получение доступа к важным документам нежелательным лицом с целью продажи личных данных мошенникам;
- намеренная или произвольная загрузка компьютерного вируса в результате использования пиратских антивирусных программ или необеспечения программами для защиты ПК.
ИСО разработала требования, их полное название звучит так: международный стандарт по информационной безопасности, ISO/IEC 27001:2017 (редакция). Три основных понятия – база соответствующего документа:
- Доступность. Информация должна быть доступной всем пользователям или (в случае необходимости) ограниченному кругу лиц. Тот же самый принцип «администратор-пользователь»;
- Целостность. Точность и полнота, как методов обработки, так и самой информации;
- Конфиденциальность. Принцип «авторизованный пользователь» – человек, имеющий право на получение доступа при наличии в системе лиц, которые соответствующих полномочий не получали.
Также основу ISO 27001 допустимо называть системой управления рисками в информационной безопасности.
Возникают вопросы:
- На каком направлении IT-безопасности стоит уделить особое внимание?
- И сколько же понадобится времени, средств для достижения результатов (обеспечение целостности, конфиденциальности, доступности)?
- И по сей день этот документ дорабатывается, упрощается, совершенствуется. Первая версия ISO 27001 была принята в 2000 году.