Что такое информационная безопасность?

Информационная безопасность – это процесс защиты всей корпоративной информации в цифровой или физической форме. Организации защищают информацию, связанную с деятельностью и клиентами, чтобы поддерживать репутацию бренда, доверие клиентов и соответствовать нормативным требованиям. Информационная безопасность описывает процессы, инструменты и технологии, которые позволяют просматривать, копировать, изменять или уничтожать всю информацию только после соответствующей авторизации.

Информационная безопасность помогает организациям обеспечивать целостность, доступность и конфиденциальность закрытых данных и бизнес-систем. Существует несколько причин, по которым информационная безопасность важна.

Обеспечение устойчивости бизнеса

Эффективные информационные системы позволяют компаниям обеспечивать бесперебойный доступ к данным и системам даже во время непредвиденных событий в сфере безопасности. Планирование устойчивости бизнеса включает использование целого ряда программ по безопасности, создание политик, которым необходимо следовать во время событий, и внедрение технических средств защиты, помогающих обезопасить организацию.

Завоевание доверия клиентов

Информационная безопасность снижает вероятность непредвиденных событий в сфере безопасности, позволяя компаниям бесперебойно обслуживать своих клиентов. Если организации уже давно и неизменно соблюдают требования управления, следуют передовым практикам и внедряют безопасные методы разработки, они демонстрируют своим клиентам, что серьезно относятся к данным пользователей и будут защищать их.

Снижение рисков безопасности

В зависимости от отрасли существует ряд потенциальных рисков, которые компания должна учитывать. Информационная безопасность позволяет внедрить технические и процедурные средства контроля для управления рисками и их снижения.

Организации могут интегрировать новую технологию управления безопасностью, которая снижает вероятность непредвиденных событий в сфере безопасности и повышает способность компании управлять рисками.

Защита репутации бренда

Информационная безопасность защищает репутацию бренда, расширяя его возможности надежно предоставлять услуги, защищать конфиденциальность клиентов и соответствовать операционным требованиям. Случайные события в сфере безопасности могут нанести ущерб репутации бренда, но эффективные практики информационной безопасности снижают вероятность их возникновения.  

Существует несколько ключевых принципов информационной безопасности, которых следует придерживаться каждой компании.

Конфиденциальность

Конфиденциальность помогает гарантировать, что доступ к любым частным бизнес-данным получат только авторизованные лица. Этот принцип носит как технический, так и физический характер, поскольку компания может как реализовать контроль доступа к цифровым файлам, так и предотвратить несанкционированный доступ персонала в офис. Конфиденциальность также распространяется на использование шифрования, защиту данных в движении и в местах хранения, а также на обеспечение защиты всех данных компании.

Целостность

Под целостностью понимаются точность, надежность и согласованность данных компании на протяжении всего их жизненного цикла. Этот принцип направлен на защиту данных путем обеспечения их точности и невозможности изменения без ведома их владельцев. Меры по гарантированию целостности данных в информационных системах включают использование цифровых подписей данных, криптографическое хэширование, хранение данных в неизменяемых реестрах и проверку данных на протяжении всего их жизненного цикла.

Доступность

Доступность помогает обеспечить авторизованным пользователям доступ к любым необходимым данным без задержек и сбоев. Этот принцип направлен на реализацию стратегий резервного копирования и восстановления, обеспечивающих постоянный доступ к данным. Кроме того, доступность включает защиту от сбоев продуктов сторонних производителей, мониторинг состояния хранилища в центрах обработки данных и обеспечение отказоустойчивости архитектуры данных.

Невозможность отказа

Невозможность отказа позволяет отслеживать, контролировать и журналировать все действия, предпринятые в отношении данных. Встраивая принцип невозможности отказа в системы информационной безопасности, компании создают журналы аудита для каждого фрагмента данных. Каждый раз, когда пользователь взаимодействует с информацией, изменяет ее, получает к ней доступ или одобряет ее перемещение или изменения, все связанные с информацией факторы регистрируются в неизменяемом реестре.

Надежное хранение информации

Надежное хранение информации – это практика защиты информационных систем путем обеспечения поддержки критически важных операций. Этот принцип является весьма широким, включая оценку и соблюдение требований таких платформ безопасности, как ISO 27001, активное управление любыми возникающими рисками, регулярное тестирование систем безопасности и постоянный мониторинг потенциальных угроз. 

Система управления информационной безопасностью (ISMS) определяет, как организация управляет информационной безопасностью на протяжении всего жизненного цикла данных. Эта система обычно определяет то, как персонал, процессы и технологии должны работать, чтобы обеспечить комплексные средства управления безопасностью для всех информационных систем в рамках компании.

Международные стандарты и системы содержат описательные и предписывающие рекомендации, которые помогают организациям обеспечивать информационную безопасность и безопасность данных в рамках программы обеспечения соответствия требованиям. Ниже приведены несколько примеров стандартов и систем, которым может следовать ваша организация.

ISO-27001

Стандарт ISO-27001 посвящен четырем основным темам: организационным, кадровым, физическим и технологическим улучшениям безопасности. Каждая из этих категорий решает задачи по повышению безопасности своим уникальным способом. Примеры приведены ниже.

• Кадровые улучшения безопасности: проведение тренингов по вопросам безопасности для сотрудников.
• Физические улучшения безопасности: внедрение в офисы строгих политик контроля доступа.
• Технологические улучшения безопасности: внедрение шифрования данных в движении и в местах хранения.

Каждая из них способствует повышению уровня информационной безопасности.

• AWS имеет сертификат соответствия требованиям ISO/IEC 27001:2022. Это означает, что мы систематически оцениваем риски информационной безопасности с учетом влияния угроз и уязвимостей.
• Мы проектируем и внедряем комплексный пакет средств управления информационной безопасностью и других форм управления рисками для устранения рисков безопасности, связанных с клиентами и архитектурой.
• У нас есть всеобъемлющий процесс управления, который помогает обеспечивать постоянное соответствие средств управления информационной безопасностью предъявляемым требованиям.

PCI-DSS

PCI-DSS – это еще один широко используемый стандарт, который помогает обезопасить любые платежи по картам, в том числе хранение, передачу и обработку финансовых данных. Любые юридические лица, которые занимаются хранением, обработкой или передачей данных владельцев карт (CHD) либо конфиденциальных данных аутентификации (SAD), в том числе торговые компании, процессинговые центры, эквайреры, эмитенты карт и поставщики услуг, должны проходить сертификацию на соответствие требованиям стандарта PCI-DSS.

Вы можете ознакомиться со списком сервисов AWS, соответствующих требованиям стандарта PCI DSS.

HIPAA/HITECH

HIPAA (Акт о передаче и защите данных учреждений здравоохранения) – это федеральный закон США, который помогает обеспечить защиту персональных данных о состоянии здоровья (PHI), их конфиденциальность и предотвратить несанкционированное раскрытие. Закон HIPAA распространяется на поставщиков услуг здравоохранения, подпадающих под его действие (планы медицинского страхования, медицинские расчетные центры и поставщики медицинских услуг, передающие информацию о состоянии здоровья в электронном виде), и их деловых партнеров.

Вы можете ознакомиться со списком сервисов AWS, соответствующих требованиям закона HIPAA.

FedRAMP

FedRAMP (Федеральная программа управления рисками и авторизацией) – это программа правительства США, призванная стандартизировать оценку безопасности, выдачу разрешений и непрерывный мониторинг облачных продуктов и сервисов, используемых федеральными агентствами.

Вы можете ознакомиться со списком сервисов AWS, соответствующих требованиям программы FedRAMP.

GDPR

GDPR (Общий регламент по защите данных) – это правовая система ЕС, защищающая данные жителей ЕС. Это глобальный стандарт, поскольку любая компания, которая хочет каким-либо образом взаимодействовать с клиентами из ЕС, должна соблюдать GDPR. GDPR направлен на соблюдение принципа минимизации данных, установление законных оснований для их сбора и обеспечение права пользователей подавать запросы на удаление своих данных.

Клиенты AWS могут пользоваться всеми сервисами AWS для обработки персональных данных (согласно определению, данному в GDPR), которые они передают в сервисы AWS из своих аккаунтов AWS (данные клиентов) в соответствии с GDPR.

FIPS 140-3

FIPS 140-3 – это стандарт по криптографическим модулям, которого должны придерживаться все федеральные агентства США. Этот стандарт входит в программу FedRAMP и требует от компаний применения широкого спектра мер по обеспечению безопасности и предотвращению угроз.

AWS предоставляет широкий спектр адресов FIPS в зависимости от сервиса.

Существует несколько основных категорий программ информационной безопасности, которые совместно защищают рабочие нагрузки и приложения.

Защита данных

Под защитой данных понимаются любые сервисы, которые помогают защитить конфиденциальную информацию, аккаунты и рабочие нагрузки от несанкционированного доступа. Основные сервисы по защите данных включают сервисы шифрования данных в движении и в местах хранения, управления ключами и восстановления конфиденциальных данных.

Защита сети и приложений

Технологии защиты сети и приложений относятся к любым стратегиям и политикам, которые компания применяет в точках управления сетевой безопасностью. Эти технологии помогают идентифицировать входящий трафик, фильтровать его и предотвращать несанкционированный доступ к сети. Основные технологии включают брандмауэры, VPN, обнаружение адресов и другие границы на уровне приложений, повышающие безопасность сети.

Управление идентификацией и доступом

Инструменты безопасности для управления идентификацией и доступом (IAM) позволяют компании управлять средствами контроля доступа, назначать уровни разрешений и определять, какие аккаунты могут получать доступ к конфиденциальным данным. Средства управления идентификацией помогают определять уровень доступа конкретных аккаунтов и то, что они могут просматривать и с чем могут взаимодействовать в рамках этого уровня. Это относится к средствам управления на уровне данных и к системам привилегий аккаунтов.

Соответствие требованиям и аудит

Соответствие требованиям и аудит – это способность следовать передовым практикам, контролировать свою среду и обеспечивать соблюдение стандартов соответствия в организации. Конкретные стандарты, которые необходимо соблюдать и соответствие которым подлежит аудиту зависит от отрасли, в которой работает компания.

Средства управления физической безопасностью

Средства управления физической безопасностью – это еще одна форма контроля доступа, которая относится к физическим офисам, серверам и рабочим помещениям. Эти средства охватывают проектирование защищенного сайта, планирование доступности и внедрение политик физического доступа. Физическая безопасность и безопасность среды также распространяются на мониторинг доступа, регистрацию перемещений и обеспечение ведения журнала данных для проведения компаниями аудита. 

Если компания использует облачные сервисы, то она и поставщик облачных услуг несут общую ответственность за обеспечение безопасности и соответствие требованиям. Эта двойная ответственность называется моделью общей ответственности и относится к соответствующим задачам, которые каждая сторона должна выполнить для обеспечения безопасности облака.

Клиент берет на себя ответственность за управление своими данными, платформой, приложениями, идентификацией и доступом, шифрование данных клиента и настройку сети, а также за другие задачи. Поставщик облачных услуг отвечает за любую инфраструктуру, на которой работают любые сервисы в облаке, например управляемые поставщиком облачных услуг аппаратное, программное обеспечение или сеть.

Конкретный характер общей ответственности будет зависеть от поставщика облачных услуг, с которым компания решит сотрудничать. Данная модель разделяет ответственность за безопасность самого облака и безопасность данных внутри облака.

Безопасность – главный приоритет AWS. AWS спроектирована как самая безопасная глобальная облачная инфраструктура для разработки, миграции приложений и рабочих нагрузок, а также управления ими. Нам доверяют миллионы клиентов, среди которых есть наиболее чувствительные к безопасности организации, такие как государственные и медицинские учреждения, а также финансовые службы.

Безопасность – общая ответственность AWS и клиентов. Эта модель общей ответственности помогает уменьшить операционную нагрузку на клиента, поскольку AWS берет на себя вопросы эксплуатации, контроля компонентов, а также управления ими на уровнях от виртуализации и операционной системы хоста до физической безопасности объектов, где работает сервис. Мы поддерживаем широкий спектр стандартов безопасности и сертификатов соответствия, включая PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR и FIPS 140-3, что помогает клиентам соответствовать требованиям в любой части мира. Мы также предоставляем вам полный контроль над вашими собственными данными, позволяя определять, как данные используются, кто имеет к ним доступ и как они шифруются.

Сервисы безопасности AWS могут дополнительно поддержать ваши усилия по информационной безопасности в облаке. Ниже приведены примеры.

• Сервисы аудита и настройки AWS предоставляют исчерпывающее представление о состоянии соответствия требованиям и выполняют непрерывный мониторинг вашей среды.
• Сервисы защиты данных AWS, такие как Управление идентификацией и доступом (IAM) AWS, предоставляют возможности безопасного управления доступом к сервисам и ресурсам AWS. AWS CloudTrail и Amazon Macie предназначены для обеспечения соответствия требованиям, обнаружения и аудита, а AWS CloudHSM и Сервис управления ключами AWS (KMS) позволяют безопасно создавать ключи шифрования и управлять ими. AWS Control Tower предоставляет средства управления и контроля локализации данных.
• Сервисы обнаружения и реагирования AWS помогают повысить уровень безопасности и оптимизировать операции по обеспечению безопасности во всей среде AWS.
• Сервисы идентификации AWS позволяют безопасно управлять удостоверениями, ресурсами и разрешениями в любом масштабе.
• Сервисы AWS для защиты сети и приложений дают возможность применять подробные политики безопасности в точках контроля сети в пределах организации.

Начните работу по обеспечению информационной безопасности в AWS, создав бесплатный аккаунт уже сегодня.