Információ biztonság

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2022. szeptember 19-én felülvizsgált verziótól ; az ellenőrzéshez 1 szerkesztés szükséges .

Az információbiztonság ( angolul  Information Security , valamint - angolul  InfoSec ) az információkhoz való jogosulatlan hozzáférés , felhasználás, nyilvánosságra hozatal, torzítás, módosítás, kutatás, rögzítés vagy megsemmisítés megakadályozásának gyakorlata . Ez az univerzális koncepció az adatok formájától függetlenül érvényes (elektronikus vagy például fizikai). Az információbiztonság fő feladata az adatok bizalmasságának , sértetlenségének és elérhetőségének kiegyensúlyozott védelme [1] , az alkalmazás megfelelőségének figyelembe vételével és károsodás nélkül.a szervezet teljesítménye [2] . Ez elsősorban egy többlépcsős kockázatkezelési folyamaton keresztül érhető el , amely azonosítja a tárgyi eszközöket és immateriális javakat , a fenyegetések forrásait , a sebezhetőséget , a lehetséges hatásokat és a kockázatkezelési lehetőségeket. Ezt a folyamatot a kockázatkezelési terv hatékonyságának értékelése kíséri [3] .

Ennek a tevékenységnek a szabványosítása érdekében a tudományos és szakmai közösségek folyamatos együttműködést folytatnak, melynek célja az alapvető módszertan, irányelvek és iparági szabványok kidolgozása a műszaki információbiztonsági intézkedések, a jogi felelősség, valamint a felhasználói és adminisztrátorképzési szabványok területén . Ezt a szabványosítást nagyrészt számos törvény és szabályozás vezérli, amelyek szabályozzák az adatok elérését, feldolgozását, tárolását és továbbítását. Bármilyen szabvány és módszertan bevezetése azonban egy szervezetben csak felületes hatást fejthet ki, ha a folyamatos fejlesztés kultúrája nincs megfelelően meghonosítva [4] .

Általános információk

Az információbiztonság alapja az információ védelmét szolgáló tevékenység - biztosítja azok titkosságát, elérhetőségét és integritását, valamint a kritikus helyzetben a kompromisszumok megelőzése [5] . Ilyen helyzetek közé tartoznak a természeti, ember okozta és társadalmi katasztrófák , számítógép-hibák, fizikai emberrablás és hasonló jelenségek. Míg a világon a legtöbb szervezet nyilvántartása még mindig papíralapú dokumentumokon [6] , amelyek megfelelő információbiztonsági intézkedéseket tesznek szükségessé, folyamatosan nőtt a digitális technológiák vállalati bevezetésére irányuló kezdeményezések száma [7] [8] , amely magában foglalja az információs technológiai (IT) biztonsági szakemberek bevonását az információk védelmére. Ezek a szakemberek információbiztonsági technológiát biztosítanak (a legtöbb esetben valamilyen számítógépes rendszert ). A számítógép ebben az összefüggésben nemcsak háztartási személyi számítógépet jelent , hanem bármilyen bonyolultságú és célú digitális eszközt, kezdve a primitív és elszigetelt eszközöktől, mint az elektronikus számológépek és háztartási készülékek, az ipari vezérlőrendszerekig és a számítógépes hálózatokkal egyesített szuperszámítógépekig . A legnagyobb vállalkozások és szervezetek az információ üzleti életük számára fontos létfontosságú és értéke miatt főszabály szerint információbiztonsági szakembereket vesznek fel munkatársaikhoz. Feladatuk, hogy minden technológiát megvédjenek a rosszindulatú kibertámadásoktól , amelyek gyakran érzékeny bizalmas információk ellopására vagy a szervezet belső rendszerei feletti irányítás átvételére irányulnak.

Az információbiztonság, mint a foglalkoztatás területe , az elmúlt években jelentősen fejlődött és növekedett. Számos szakmai specializációt szült, például hálózat- és kapcsolódó infrastruktúra - biztonságot , szoftver- és adatbázis-védelmet , információs rendszerek auditálását , üzletmenet-folytonossági tervezését , elektronikus iratfelderítését és számítógépes kriminalisztikai kutatásait . Az információbiztonsági szakembereknek nagyon stabil a foglalkoztatása és nagy a munkaerőpiaci kereslete. A szervezet (ISC)² által végzett nagyszabású kutatás kimutatta, hogy 2017-ben az információbiztonsági vezetők 66%-a akut munkaerőhiányt észlelt az osztályaiban, és az előrejelzések szerint 2022-re az e területen dolgozó szakemberek hiánya megszűnik. 1 800 000 ember világszerte [9] .

Fenyegetések és ellenintézkedések

Az információbiztonsági fenyegetések sokféle formát ölthetnek. 2018-ban a legsúlyosabbak a „ bűnözéssel mint szolgáltatással ” ( ang.  Crime-as-a-Service ), a dolgok internetével , az ellátási láncokkal és a szabályozási követelmények bonyolultságával kapcsolatos fenyegetések [10] . A Crime as a Service modell az érett bűnözői közösségek számára, hogy bűnügyi szolgáltatáscsomagokat nyújtsanak a darknet piacon megfizethető áron a feltörekvő kiberbűnözők számára [K 1] . Ez utóbbiak számára lehetővé teszi, hogy olyan hackertámadásokat tegyenek , amelyek korábban a nagy technikai bonyolultság vagy a magas költségek miatt elérhetetlenek voltak, így a kiberbűnözés tömegjelenséggé válik [12] . A szervezetek aktívan implementálják a dolgok internetét, amely eszközöket gyakran biztonsági követelmények nélkül terveznek, ami további támadási lehetőségeket nyit meg. Emellett az Internet of Things gyors fejlődése és összetettsége csökkenti annak átláthatóságát, ami a homályosan meghatározott jogi szabályokkal és feltételekkel párosulva lehetővé teszi a szervezetek számára , hogy saját belátásuk szerint, azok tudta nélkül felhasználják ügyfeleik eszközökkel gyűjtött személyes adatait . Ráadásul maguknak a szervezeteknek is problémát okoz annak nyomon követése, hogy az IoT-eszközök által gyűjtött adatok közül melyik kerül továbbításra külföldre. Az ellátási láncokat az fenyegeti, hogy a szervezetek hajlamosak számos értékes és érzékeny információt megosztani beszállítóikkal , aminek következtében elveszítik a feletti közvetlen irányítást. Így jelentősen megnő ezen információk titkosságának, integritásának vagy elérhetőségének megsértésének kockázata. A szabályozók egyre több új követelménye jelentősen megnehezíti a szervezetek létfontosságú információs eszközeinek kezelését. Például az Európai Unióban 2018-ban életbe léptetett Általános Adatvédelmi Rendelet (GDPR ) megköveteli , hogy minden szervezet saját tevékenységének vagy ellátási láncának bármely részében bármikor bemutassa, milyen személyes adatok és milyen célokra érhetők el ott, hogyan feldolgozzák, tárolják és védik. Sőt, ezeket az információkat nemcsak az arra felhatalmazott szervek által végzett ellenőrzések során kell megadni, hanem egy magánszemély - ezen adatok tulajdonosának - első kérésére is. Ennek betartása jelentős költségvetési források és források elvonását igényli a szervezet egyéb információbiztonsági feladataitól. És bár a személyes adatok kezelésének egyszerűsítése hosszú távon az információbiztonság javulását jelenti, rövid távon a szervezet kockázatai jelentősen megnőnek [10] .  

A legtöbb ember ilyen vagy olyan módon ki van téve információbiztonsági fenyegetéseknek. Például rosszindulatú programok ( vírusok és férgek , trójaiak , zsarolóprogramok ) [13] , adathalászat vagy személyazonosság-lopás áldozataivá válnak . Az adathalászat ( eng.  Phishing ) egy csalárd kísérlet [K 2] bizalmas információk (például fiók , jelszó vagy hitelkártyaadatok ) birtokbavételére . Általában egy olyan csaló weboldalra próbálják rávenni az internethasználót , amely nem különbözik egyetlen szervezet ( bank , online áruház , közösségi oldal stb.) eredeti weboldalától [14] [15] . Általában az ilyen kísérletek hamis e-mailek tömeges küldésével történnek, látszólag maga a szervezet nevében [16] , amelyek csalárd oldalakra mutató hivatkozásokat tartalmaznak. Egy ilyen hivatkozás böngészőben való megnyitásával egy gyanútlan felhasználó megadja a hitelesítő adatait, amelyek a csalók tulajdonába kerülnek [17] . Az Identity Theft kifejezés angolból  .  —  az „identitáslopás” 1964-ben jelent meg angolul [18] , és olyan tevékenységekre utal, amelyek során valakinek a személyes adatait (például nevét, bankszámlaszámát vagy hitelkártyaszámát, amelyet gyakran adathalászattal szereztek meg) csalásra és más bűncselekmények elkövetésére használják fel [19]. ] [20] . Az, akinek nevében a bûnözõk jogellenes anyagi elõnyben, kölcsönben részesülnek vagy egyéb bûncselekményt követnek el, gyakran maga lesz a vádlott, aminek messzemenõ súlyos anyagi és jogi következményei lehetnek számára [21] . Az információbiztonság közvetlen hatással van a magánéletre [22] , amelynek meghatározása a különböző kultúrákban nagyon eltérő lehet [23] .

A kormányok , a hadsereg , a vállalatok , a pénzintézetek , az egészségügyi intézmények és a magánvállalkozások folyamatosan jelentős mennyiségű bizalmas információt halmoznak fel alkalmazottaikról, ügyfeleikről, termékeikről, kutatásaikról és pénzügyi eredményeikről . Ha egy ilyen információ versenytársak vagy kiberbűnözők kezébe kerül, az messzemenő jogi következményekkel járhat a szervezet és ügyfelei számára, valamint helyrehozhatatlan anyagi és hírnév - veszteségeket okozhat. Üzleti szempontból az információbiztonságot egyensúlyban kell tartani a költségekkel; a Gordon-Lob közgazdasági modell leírja a probléma megoldásának matematikai apparátusát [24] . Az információbiztonsági fenyegetések vagy információs kockázatok elleni küzdelem fő módjai a következők:

• mérséklés  – biztonsági és ellenintézkedések végrehajtása a sebezhetőségek kezelésére és a fenyegetések megelőzésére;
• átruházás  - a fenyegetések megvalósításával kapcsolatos költségek harmadik felekre történő átruházása: biztosító vagy outsourcing társaságok;
• elfogadás  - pénzügyi tartalékok képzése arra az esetre, ha a biztonsági intézkedések végrehajtásának költsége meghaladja a fenyegetés megvalósításából eredő lehetséges kárt;
• megtagadás  - a túlzottan kockázatos tevékenység visszautasítása [25] .

Történelem

A legkorábbi kommunikációs eszközök megjelenésével a diplomaták és katonai vezetők felismerték, hogy olyan mechanizmusokat kell kidolgozni, amelyek megvédik a bizalmas levelezést, és módokat kell kifejleszteni a hamisítási kísérletek észlelésére . Például Julius Caesarnak tulajdonítják a találmányt Kr.e. 50 körül. e. a Caesar-rejtjel , aminek az volt a célja, hogy megakadályozza, hogy titkos üzeneteit azok is elolvassák, akiknek nem szánták [26] . Bár a védelmet többnyire a titkos levelezés kezelési eljárásának ellenőrzése biztosította. A bizalmas üzeneteket védendőnek jelölték, és csak megbízható, védelem alatt álló személyeknek továbbították, biztonságos helyiségekben vagy erős dobozokban tárolták [27] .

A levelezés fejlődésével kormányzati szervezetek kezdtek megjelenni a levelek elfogására, visszafejtésére, olvasására és újrazárására. Tehát Angliában ezekre a célokra 1653-ban volt egy Secret Office ( Eng.  Secret Office ) [28] . Oroszországban az átolvasást legalább I. Péter kora óta végezték - 1690  óta minden külföldre küldött levelet Szmolenszkben nyitottak fel. A 18. század közepén rendszerjelleget kapott az a gyakorlat, hogy szinte minden külföldi diplomata levelezését titokban lemásolták, hogy a címzettnek ne legyen gyanúja – megjelentek az úgynevezett „fekete hivatalok” [29] . A megnyitó után az üzenet kriptoanalízisét kellett elvégezni , amihez koruk ismert matematikusait vonták be a fekete kabinetek tevékenységébe. A legkiemelkedőbb eredményeket Christian Goldbach érte el , akinek hat hónapos munka alatt 61 levelet sikerült megfejteni porosz és francia miniszterektől. Egyes esetekben a levél sikeres visszafejtése után annak tartalmát kicserélték – valamiféle támadást „ ember a közepén ” [30] .

A 19. század elején Oroszországban I. Sándor hatalomra kerülésével minden kriptográfiai tevékenység a Külügyminisztérium Hivatalához került . 1803 óta a kiváló orosz tudós, Pavel Lvovich Schilling szolgált ennek az osztálynak a szolgálatában . A kancellária egyik legjelentősebb eredménye I. Napóleon parancsainak és levelezésének megfejtése az 1812-es honvédő háború során [ 31] [32] . A 19. század közepén a minősített információk besorolására kifinomultabb rendszerek jelentek meg , amelyek lehetővé tették a kormányok számára, hogy az információkat a titkosságuk fokának megfelelően kezeljék. Például a brit kormány bizonyos mértékig legitimálta ezt a minősítést 1889-ben a hivatalos titokról szóló törvény [33] közzétételével .

Az első világháború alatt az összes harcoló fél réteges osztályozási és titkosítási rendszereket használt az információk továbbítására, ami hozzájárult a titkosítási és kriptoelemző egységek megjelenéséhez és intenzív használatához. Így 1914 végére megalakult a Brit Admiralitás egyik szekciója  - a " 40-es szoba " -, amely Nagy-Britannia vezető kriptográfiai hatóságává vált. 1914. augusztus 26-án a „ Magdeburg ” könnyű német cirkáló a Finn-öböl torkolatánál fekvő Odensholm - sziget közelében ült a köveken , amely akkor még az Orosz Birodalomhoz tartozott. A németek megsemmisítették az összes dokumentumot és felrobbantották a hajót, de az orosz búvárok, miután megvizsgálták a fenekét, megtalálták a jelzőkönyv két példányát, amelyek közül az egyiket átadták a briteknek. Miután hamarosan megkapták a kódkönyveket a segédhajókhoz, valamint a külső tengerek hajói és a kísérő ellenséges hajók közötti kommunikációhoz, a britek megfejtették a német haditengerészeti kódokat. A kód feltörése lehetővé tette az elfogott ellenséges rádióüzenetek olvasását. 1914. november végétől a "40-es szoba" rendszeresen megfejtette a szinte minden parancsot és parancsot továbbító német flotta radiogramjait [34] . Ezt a visszafejtést először a német flotta 1914. december 16-i, brit partokhoz tartó berepülése során próbálták használni [35] .

A két világháború közötti időszakban a titkosítási rendszerek egyre bonyolultabbá váltak, így a titkos üzenetek titkosítására és visszafejtésére speciális gépeket kezdtek használni , amelyek közül a leghíresebb a német mérnökök által az 1920-as években megalkotott Enigma . Már 1932-ben a lengyel hírszerzési titkosító hivatalnak sikerült visszafejtéssel feltörnie az Enigma titkosítást [36] .

A második világháború idején a Hitler-ellenes koalíció országai között kicserélt információmennyiség megkövetelte a nemzeti osztályozási rendszerek, valamint az ellenőrzési és irányítási eljárások formális harmonizációját. Kialakult a csak a beavatottak számára hozzáférhető titkossági címkék halmaza, amely meghatározza, hogy ki kezelheti az iratokat (általában tisztek, nem pedig besorozottak), és hol kell azokat tárolni, tekintettel az egyre bonyolultabb széfek és páncélszekrények megjelenésére. A hadviselő felek eljárásokat dolgoztak ki a minősített dokumentumok garantált megsemmisítésére. Az ilyen eljárások néhány megsértése az egész háború legjelentősebb hírszerzési eredményét eredményezte. Például az U-570 német tengeralattjáró legénysége nem semmisített meg megfelelően sok olyan titkos dokumentumot, amelyet a britek elfogtak [37] . Az információbiztonsági eszközök használatának szembetűnő példája a fent említett Enigma, amelynek bonyolult változata 1938-ban jelent meg, és széles körben használta a Wehrmacht és a náci Németország egyéb szolgálatai . Az Egyesült Királyságban az Enigmával titkosított ellenséges üzenetek kriptoanalízisét sikeresen elvégezte egy Alan Turing vezette csoport . Az általuk kifejlesztett  „ Turing Bombe ”  visszafejtő gép  jelentős segítséget nyújtott a Hitler-ellenes koalíciónak, és néha meghatározó szerepet tulajdonítanak neki a szövetségesek győzelmében [38] . Az Egyesült Államokban a csendes- óceáni hadműveleti terület rádiókommunikációjának titkosítására a navahó indián törzsből toboroztak jeladókat , akiknek nyelvét az Egyesült Államokon kívül senki sem tudta [39] . A japánoknak soha nem sikerült megtalálniuk a kulcsot az információvédelem ezen egzotikus módszeréhez [40] . A Szovjetunióban az 1930-as évektől az ország legfelsőbb hatóságainak telefonbeszélgetéseinek a lehallgatástól való megvédésére (beleértve a Legfelsőbb Főparancsnokság főhadiszállását is ) az úgynevezett HF kommunikációt alkalmazták , amely a nagyfrekvenciás jelek hangmodulációján alapult. és az azt követő kódolásuk . A kriptográfiai védelem hiánya azonban lehetővé tette az elfogott jelben lévő üzenetek visszaállítását egy spektrométer segítségével [41] .

A 20. század második felét és a 21. század elejét a távközlés, a számítógépes hardver és szoftver, valamint az adattitkosítás rohamos fejlődése jellemezte. A kompakt, nagy teljesítményű és olcsó számítástechnikai berendezések megjelenése elérhetővé tette az elektronikus adatfeldolgozást a kisvállalkozások és az otthoni felhasználók számára. Nagyon gyorsan csatlakoztak a számítógépek az internethez , ami az elektronikus üzletág robbanásszerű növekedéséhez vezetett . Mindez, a kiberbűnözés térnyerésével és a nemzetközi terrorizmus számos esetével együtt , szükségessé tette a számítógépek és az általuk tárolt, feldolgozott és továbbított információk jobb védelmét szolgáló módszereket. Tudományos tudományágak, mint például a " Számítógép-biztonság " és az "Információs biztonsági technikák" [K 3] és számos szakmai szervezet jött létre, amelyek közös célja az információs rendszerek biztonságának és megbízhatóságának biztosítása [43] .

Alapdefiníciók

Védett információ  - a szabályozási jogi aktusok követelményeivel vagy az információ tulajdonosa által meghatározott követelményekkel összhangban védelem alá eső információ [44] .

Az információ tulajdonosa az  a személy, aki önállóan létrehozta az információt , vagy jogszabály vagy megállapodás alapján jogosult az információhoz való hozzáférés engedélyezésére vagy korlátozására, amelyet bármilyen jellel meghatározottInformációtulajdonosok lehetnek: állam , jogi személy , magánszemélyek csoportja, különálló magánszemély [44] .

Az információbiztonság  az információbiztonság olyan állapota, amelyben biztosított a titkossága , integritása és elérhetősége [44] .

Az információbiztonság szervezése  - az információbiztonságot fenyegető veszélyek azonosítását, az információvédelmi intézkedések tervezését, végrehajtását és az információvédelem állapotának nyomon követését célzó intézkedések összessége [44] .

Információbiztonsági rendszer  - az információbiztonság követelményeinek megfelelően szervezett és működő szervek és (vagy) végrehajtók, az általuk használt információbiztonsági technológia, valamint információbiztonsági objektumok összessége [44] .

A szervezet információbiztonsági szabályzata dokumentált információbiztonsági szabályzatok, eljárások, gyakorlatok vagy irányelvek összessége, amelyeket a szervezet követ a működése során [44] .

"Információbiztonság" különböző forrásokban

Az „információs biztonság” kifejezés különböző forrásokból származó definíciói a következők:

• Az információk titkosságának , integritásának és elérhetőségének megőrzése . Megjegyzés : más tulajdonságok , például hitelesség , elszámoltathatóság , letagadhatatlanság és hitelesség [ 45] is bekerülhetnek ide . 
• Az információk és az információs rendszerek védelme a jogosulatlan hozzáférés, felhasználás, nyilvánosságra hozatal, torzítás, módosítás vagy megsemmisítés ellen a titkosság, az integritás és a rendelkezésre állás biztosítása érdekében [1] .
• Az információk védelmének biztosítása a vállalkozásban a jogosulatlan felhasználókhoz való eljutástól (titoktartás), a jogellenes megváltoztatástól (integritás) és a szükség esetén elérhetetlenségtől (rendelkezésre állás) [46] .
• A szervezet szellemi tulajdonának védelmének folyamata [47] .
• A kockázatkezelés egyik tudományága, amelynek feladata az üzleti információs kockázatok költségeinek kezelése [48] .
• Megfelelő bizalom abban, hogy az információs kockázatokat megfelelő ellenőrzési és kezelési intézkedések egyensúlyozzák [49] .
• Információvédelem, minimálisra csökkentve az információk illetéktelen személyekhez való eljuttatásának kockázatát [50] .
• A kutatás és a szakmai tevékenység multidiszciplináris területe, amely különféle biztonsági mechanizmusok (műszaki, szervezeti, emberközpontú, jogi) fejlesztésére és megvalósítására összpontosít annak érdekében, hogy megvédje az információkat a fenyegetésektől, bárhol is legyenek (a szervezeten belül és kívül egyaránt). kerület) és ennek megfelelően olyan információs rendszerek, amelyekben információkat hoznak létre, dolgoznak fel, tárolnak, továbbítanak és megsemmisítenek. A biztonsági célok listája tartalmazhatja a bizalmasságot, az integritást, a rendelkezésre állást, a magánélet védelmét, a hitelességet és az érvényességet, a letagadhatatlanságot, az elszámoltathatóságot és az ellenőrizhetőséget [51] .
• A kialakuló, hatást gyakorló fenyegetések és az e fenyegetések elleni küzdelem sikere közötti egyensúlyi folyamat az állam biztonságáért felelős állami hatóságok részéről [52] .

Alapelvek

1975-ben Jerry Salzer és Michael Schroeder az "Information Security in Computer Systems" [53] című cikkében először javasolta a biztonsági incidensek három fő kategóriába való felosztását: jogosulatlan információ kiadás , információ jogosulatlan megváltoztatása ( eng  . Jogosulatlan információmódosítás ) és az információkhoz való hozzáférés jogosulatlan megtagadása ( eng. Jogosulatlan használat megtagadása ). Később ezek a kategóriák rövid neveket és szabványosított meghatározásokat kaptak:   

C titkosítás angolból  .  - „bizalmasság” – az információ azon tulajdonsága, hogy illetéktelen személyek, entitások vagy folyamatok előtt hozzáférhetetlen vagy zárva van [54] ; Integritás angolból . _  - "integritás" - az eszközök helyességét és teljességét fenntartó tulajdonság [55] ; Elérhetőség angolból . _  - "rendelkezésre állás" - az információ azon tulajdonsága, hogy az erre jogosult, erre jogosult alany kérésére elérhető és használatra kész [54] .

Ezt a három kulcsfontosságú információbiztonsági elvet együttesen CIA-triádnak nevezik [56] .

1992-ben az OECD közzétette saját információbiztonsági modelljét, amely kilenc alapelvből áll: tudatosság , felelősség , ellenállás , etika , demokrácia , kockázatértékelés , biztonságfejlesztés és végrehajtás , biztonságmenedzsment , felülvizsgálat [57] [K 4] . 1996-ban egy 1992-es OECD-kiadvány alapján az Amerikai Nemzeti Szabványügyi és Technológiai Intézet (NIST) nyolc alapelvet fogalmazott meg, amelyek kimondják, hogy a számítógépes biztonság "támogatja a szervezet küldetését", "a megbízható menedzsment szerves része", költséghatékony", "átfogó és integrált megközelítést igényel", "társadalmi tényezők korlátozzák", "időnként felül kell vizsgálni", "a számítógép-biztonsággal kapcsolatos feladatokat és felelősségeket egyértelműen meg kell határozni", és "a rendszertulajdonosok felelősséggel tartoznak a biztonságért" szervezetükön kívül” [59] . E modell alapján 2004-ben a NIST 33 információbiztonsági mérnöki tervezési elvet publikált, amelyek mindegyikéhez gyakorlati irányelveket és ajánlásokat dolgoztak ki, amelyeket folyamatosan fejlesztenek és naprakészen tartanak [60] .

1998-ban Donn Parker további három szempontot adott a klasszikus CIA triászhoz : birtoklás vagy ellenőrzés , hitelesség és hasznosság 61 ] . Ennek a Parker-hexadnak nevezett modellnek ( az  angol hexad szóból  -  "hat elemből álló csoport") érdemei az információbiztonsági szakemberek vita tárgyát képezik [62] .    

2009-ben az Egyesült Államok Védelmi Minisztériuma kiadta a "Számítógép - biztonság három alapelvét": Rendszerérzékenység , Hozzáférés a hibához  és Képesség a hiba kihasználására [ 63 ] [64] [ 65 ] .   

2011-ben a The Open Group nemzetközi konzorcium kiadta az O-ISM3 információbiztonsági menedzsment szabványt , amely felhagyott a klasszikus CIA triász összetevőinek fogalmi meghatározásával, és azok működési meghatározására helyezte a hangsúlyt . Az O-ISM3 szerint minden szervezet számára lehetőség van az öt kategória egyikéhez kapcsolódó biztonsági célok egyedi halmazának azonosítására , amelyek megfelelnek a triád egyik vagy másik összetevőjének: kiemelt biztonsági célok (bizalmasság), hosszú távú biztonsági célok ( integritás), információminőségi célok (integritás), hozzáférés-szabályozási célok (hozzáférhetőség) és műszaki biztonsági célok . [66] .

A fent említett információbiztonsági modellek közül még mindig a klasszikus CIA triász a legelismertebb és legelterjedtebb a nemzetközi szakmai közösségben [56] . A nemzeti [1] és a nemzetközi szabványokban [45] rögzítve van, és szerepel a fő információbiztonsági oktatási és tanúsítási programokban, mint például a CISSP [67] és a CISM [68] . Egyes orosz szerzők egy nyomkövető papírt használnak belőle - "a CCD triádot " [56] . A szakirodalomban mindhárom összetevőjét: a titkosságot, az integritást és a rendelkezésre állást szinonimaként nevezik elveknek , biztonsági attribútumoknak , tulajdonságoknak , alapvető szempontoknak , információs kritériumoknak , kritikus jellemzőknek vagy alapvető szerkezeti elemeknek [5] .

Eközben a szakmai közösségben folyamatos vita folyik arról, hogy a CIA-triász hogyan illeszkedik a gyorsan fejlődő technológiákhoz és üzleti követelményekhez. E megbeszélések eredményeként ajánlások születtek a biztonság és a magánélet közötti kapcsolat megteremtésének szükségességéről, valamint további elvek jóváhagyásáról [5] . Némelyikük már szerepel a Nemzetközi Szabványügyi Szervezet (ISO) szabványaiban:

• hitelesség - olyan  tulajdonság , amely garantálja, hogy a tárgy vagy az erőforrás azonos a bejelentettel;
• accountability (angolul accountability) - az alany felelőssége tetteiért és döntéseiért;
• elutasítás lehetetlensége (eng. non-repudiation [K 5] ) - a megtörtént esemény vagy cselekvés és azok alanyai igazolásának képessége, hogy ez az esemény vagy cselekvés és a hozzá kapcsolódó alanyok ne legyenek megkérdőjelezhetők;
• megbízhatóság ( angolul  reliability ) - a tervezett viselkedésnek és eredményeknek való megfelelés tulajdonsága [45] .

Adatvédelem

Az információk bizalmas jellege úgy érhető el, hogy azokhoz a legkevesebb jogosultsággal biztosítunk hozzáférést a minimálisan szükséges tudatosság elve alapján [ ( angolul  need-to-know ). Más szóval, a felhatalmazott személy csak ahhoz az információhoz férhet hozzá, amelyre hivatalos feladatai ellátásához szüksége van. A fent említett magánélet elleni bűncselekmények, mint például a személyazonosság-lopás, a magánélet megsértésének minősülnek. A titoktartás biztosításának egyik legfontosabb intézkedése az információk minősítése, amely lehetővé teszi, hogy szigorúan bizalmasnak minősítsék , vagy nyilvános vagy belső használatra szánják. Az információk titkosítása a titkosság biztosításának egyik eszközének tipikus példája [69] .

Integritás

A műveletek pontos végrehajtása vagy a helyes döntések meghozatala egy szervezetben csak fájlokban, adatbázisokban vagy rendszerekben tárolt, vagy számítógépes hálózatokon sugárzott megbízható adatok alapján lehetséges. Vagyis az információt védeni kell az eredeti állapothoz képest szándékos, jogosulatlan vagy véletlenszerű változtatásoktól, valamint a tárolás, továbbítás vagy feldolgozás során bekövetkező torzulásoktól. Integritását azonban számítógépes vírusok és logikai bombák , programozási hibák és rosszindulatú kódmódosítások, adathamisítás, jogosulatlan hozzáférés, hátsó ajtók és hasonlók veszélyeztetik. A szándékos cselekményeken túl az érzékeny információk jogosulatlan megváltoztatása sok esetben technikai hibákból vagy felügyeletből vagy szakmai képzettség hiányából eredő emberi mulasztásból adódik. Például az integritás megsértése: fájlok véletlen törléséhez, hibás értékek beviteléhez, beállítások megváltoztatásához, helytelen parancsok végrehajtásához vezethet mind a hétköznapi felhasználók, mind a rendszergazdák részéről [69] [70] .

Az információk integritásának védelme érdekében különféle intézkedéseket kell alkalmazni az információk és az azokat feldolgozó rendszerek változásainak ellenőrzésére és kezelésére. Az ilyen intézkedések tipikus példája a változtatási joggal rendelkező személyek körének korlátozása, akiknek hivatali feladataik ellátásához ilyen hozzáférésre van szükségük. Ugyanakkor be kell tartani a hatalmi ágak szétválasztásának elvét , amely szerint az adatokon vagy az információs rendszeren egy személy módosítja, egy másik személy pedig megerősíti vagy elutasítja azokat. Ezen túlmenően, az információs rendszerek életciklusa során bekövetkező bármilyen változásnak konzisztensnek kell lennie, az információ integritásának biztosítása érdekében teszteltnek kell lennie, és csak helyesen kialakított tranzakciókkal kell bevezetni a rendszerbe . A szoftverfrissítéseket biztonságos módon kell végrehajtani. Minden változtatást jelentő műveletet naplózni kell [69] [70] .

Elérhetőség

Ezen elv szerint az információknak szükség esetén a felhatalmazott személyek rendelkezésére kell állniuk. Az információs rendszerek elérhetőségét befolyásoló fő tényezők a DoS támadások ( a Denial of  Service angol rövidítése  -  „szolgáltatásmegtagadás”), ransomware támadások, szabotázs . Emellett a felügyeletből vagy az elégtelen szakmai felkészültségből adódó nem szándékos emberi hibák is a hozzáférhetőség veszélyeinek forrásai: fájlok vagy rekordok véletlen törlése az adatbázisokban, hibás rendszerbeállítások; a szolgáltatás megtagadása a megengedett teljesítmény túllépése vagy a berendezés erőforrásainak hiánya vagy a kommunikációs hálózatok meghibásodása miatt; sikertelen hardver- vagy szoftverfrissítés; a rendszerek áramkimaradás miatti leállítása. A természeti katasztrófák is jelentős szerepet játszanak a megközelíthetőség megzavarásában: földrengések, tornádók, hurrikánok, tüzek, árvizek és hasonlók. A végfelhasználó minden esetben elveszíti hozzáférését a tevékenységéhez szükséges információkhoz, kényszerleállás következik be. A rendszer kritikussága a felhasználó számára és a szervezet egészének túlélése szempontjából fontos szerepe határozza meg az állásidő hatását. A nem megfelelő biztonsági intézkedések növelik a rosszindulatú programok, az adatmegsemmisítés, a behatolás vagy a DoS-támadások kockázatát. Az ilyen események elérhetetlenné tehetik a rendszereket a normál felhasználók számára [71] .

Az elutasítás lehetetlensége

A "non-repudiation" ( angolul  Non- Repudiation , néha együtt - Nonrepudiation ) kifejezés először 1988-ban jelent meg a "Security of the interconnection of open systems" (ISO 7498-2) nemzetközi szabványban. Általában ellentétes az angolszász jogi kifejezéssel, az  angol Repudiation kifejezéssel .  -  "megtagadás, tagadás", amelynek két fő értelmezése van. Ez egyrészt a fél alapvető jogát jelenti, hogy az ügyletből eredő kötelezettségek teljesítését törvényes indokkal [72] megtagadja , ha például a papíralapú okiraton az aláírást hamisították, vagy az eredeti aláírást jogellenesen szerezték be (pl. csalás eredménye). Ebben az esetben az aláírás valódiságának bizonyítása az arra támaszkodó felet terheli [73] . Egy másik értelmezés a kötelezettségek jogellenes lemondása. A számítógépes biztonsággal összefüggésben ez lehet például az, ha valamelyik fél megtagadja az elektronikus üzenet küldésének, fogadásának, szerzőjének tényét vagy tartalmát. Az információbiztonsággal összefüggésben a letagadhatatlanság alatt az adatok sértetlenségének és eredeti eredetének megerősítését értjük, kizárva a hamisítás lehetőségét, amely harmadik fél által bármikor ellenőrizhető, vagy azonosításként (azonosság, dokumentum, tárgy), amely nagy biztonsággal hitelesnek tekinthető és nem cáfolható [73] .

Az "információbiztonság" fogalmának hatálya (megvalósítása)

Az információbiztonság leírásának szisztematikus megközelítése az információbiztonság következő összetevőit javasolja kiemelni [74] :

1. Jogalkotási, szabályozási és tudományos alap.
2. Az informatikai biztonságot biztosító szervek (divíziók) felépítése, feladatai.
3. Szervezeti, technikai és rezsim intézkedések és módszerek (Információbiztonsági politika).
4. Az információbiztonság biztosításának szoftveres és hardveres módszerei, eszközei.

Az alábbiakban ebben a részben az információbiztonság egyes összetevőit részletesen tárgyaljuk.

Bármely objektum információbiztonságának megvalósításának célja az objektum információbiztonsági rendszerének (ISIS) felépítése. Az IS karbantartási rendszer felépítéséhez és hatékony működéséhez szükséges:

• azonosítani egy adott védelmi objektumra jellemző információbiztonsági követelményeket;
• figyelembe veszi a nemzeti és nemzetközi jogszabályok előírásait;
• bevett gyakorlatok (szabványok, módszertanok) alkalmazása a hasonló IS Karbantartó Rendszer kiépítéséhez;
• meghatározza az IS karbantartási rendszer megvalósításáért és támogatásáért felelős egységeket;
• az IS Karbantartási Rendszer követelményeinek megvalósításában a felelősségi területek felosztása az osztályok között;
• információbiztonsági kockázatkezelés alapján meghatározza a védett objektum Információbiztonsági Szabályzatát alkotó általános rendelkezéseket, műszaki és szervezési követelményeket;
• az Információbiztonsági Szabályzat követelményeinek megvalósítása megfelelő szoftver, hardver, mérnöki és egyéb információvédelmi módszerek és eszközök bevezetésével;
• az információbiztonsági irányítási rendszer (ISMS) végrehajtása;
• az ISMS használatával megszervezi az IS Karbantartó Rendszer hatékonyságának rendszeres nyomon követését, és szükség esetén az IS Karbantartó Rendszert és az ISMS-t felülvizsgálja, módosítja.

Amint az a munka utolsó szakaszából látható, az IS Karbantartási Rendszer megvalósítási folyamata folyamatos, és ciklikusan (minden átdolgozás után) visszatér az első szakaszba, sorban megismétli az összes többit. Így igazodik az IS Karbantartó Rendszer ahhoz, hogy hatékonyan teljesítse az információvédelmi feladatokat és megfeleljen a folyamatosan frissülő információs rendszer új követelményeinek.

Normatív dokumentumok az információbiztonság területén

Az Orosz Föderációban az információbiztonság területére vonatkozó szabályozási jogi aktusok a következők: [75] :

Szövetségi törvények:

• az Orosz Föderáció nemzetközi szerződései;
• az Orosz Föderáció alkotmánya;
• Szövetségi szintű törvények (beleértve a szövetségi alkotmányos törvényeket, kódexeket);
• az Orosz Föderáció elnökének rendeletei;
• az Orosz Föderáció kormányának rendeletei;
• A szövetségi minisztériumok és osztályok normatív jogi aktusai;
• Az Orosz Föderációt alkotó szervezetek, a helyi önkormányzatok stb. szabályozási jogi aktusai.

Az információbiztonság területén meghatározott szabályozó dokumentumok felsorolását és tartalmát részletesebben az Információjog fejezetben tárgyaljuk .

A szabályozási és módszertani dokumentumok közé tartozik

• Oroszország állami szerveinek módszertani dokumentumai:
  • Az Orosz Föderáció információbiztonsági doktrínája;
  • Az FSTEC (Oroszországi Állami Műszaki Bizottság) útmutató dokumentumai;
  • FSB-megrendelések;
• Információbiztonsági szabványok , amelyek a következők:
  • Nemzetközi szabványok;
  • az Orosz Föderáció állami (nemzeti) szabványai;
  • Szabványosítási ajánlások;
  • Módszertani utasítások.

Információbiztonságot ellátó szervek (divíziók)

Az információvédelem területén végzett tevékenységek alkalmazásától függően (állami hatóságokon vagy kereskedelmi szervezeteken belül) magát a tevékenységet a vállalkozás speciális állami szervei (részlegei) vagy osztályai (szolgálatai) szervezik.

Az Orosz Föderáció állami szervei, amelyek ellenőrzik az információbiztonság területén végzett tevékenységeket:

• Állami Duma Biztonsági Bizottság ;
• Orosz Biztonsági Tanács ;
• Szövetségi Műszaki és Exportellenőrzési Szolgálat (Oroszország FSTEC);
• Az Orosz Föderáció Szövetségi Biztonsági Szolgálata (Oroszország FSZB);
• Az Orosz Föderáció Szövetségi Biztonsági Szolgálata (Oroszország FSO);
• Az Orosz Föderáció Külföldi Hírszerző Szolgálata (Oroszország SVR);
• az Orosz Föderáció Védelmi Minisztériuma (Oroszország Védelmi Minisztériuma);
• az Orosz Föderáció Belügyminisztériuma (Oroszország MVD);
• Szövetségi Kommunikációs, Információtechnológiai és Tömegkommunikációs Felügyeleti Szolgálat (Roskomnadzor);
• Az Orosz Föderáció Központi Bankja (Oroszországi Bank).

Az információvédelmet vállalati szinten szervező szolgáltatások

• Gazdaságbiztonsági Szolgálat ;
• Személyzeti Biztonsági Szolgálat (Biztonsági Osztály);
• Személyzeti szolgáltatás ;
• Információbiztonsági Szolgálat .

Szervezeti-technikai és rezsim intézkedések és módszerek

Egy adott információs rendszer információbiztonsági technológiájának leírására általában a szóban forgó információs rendszer úgynevezett információbiztonsági szabályzatát vagy biztonsági szabályzatát építik fel .

Biztonsági politika (információ a szervezetben) ( eng.  Organizational security policy ) - az információbiztonság területén dokumentált szabályok, eljárások, gyakorlatok vagy iránymutatások összessége, amelyek irányítják a szervezetet tevékenységei során.

Információs és távközlési technológiák biztonsági politika ( eng.  ІТ security policy ) – szabályok, irányelvek, bevett gyakorlatok, amelyek meghatározzák, hogy a szervezeten belül és annak információs és telekommunikációs technológiáin belül hogyan kell kezelni, védeni és elosztani az eszközöket, beleértve a kritikus információkat.

Az Információbiztonsági Szabályzat felépítéséhez az információs rendszer védelmének következő területeit javasolt külön figyelembe venni [74] :

• Információs rendszer objektumok védelme ;
• Folyamatok, eljárások és információfeldolgozó programok védelme ;
• Kommunikációs csatornák védelme ( akusztikus , infravörös, vezetékes, rádiócsatornák stb.), beleértve az információvédelmet a helyi hálózatokban ;
• oldalsó elektromágneses sugárzás elnyomása;
• Védelmi rendszer kezelése.

Ugyanakkor az információbiztonsági szabályzatnak a fenti területek mindegyikére le kell írnia az információvédelmi eszközök létrehozásának következő szakaszait:

1. A védendő információk és technikai erőforrások meghatározása;
2. A lehetséges fenyegetések és információszivárgási csatornák teljes készletének azonosítása ;
3. Az információk sérülékenységének és kockázatainak felmérése számos fenyegetés és szivárgási csatorna jelenlétében;
4. A védelmi rendszer követelményeinek meghatározása;
5. Az információbiztonsági eszközök kiválasztásának és jellemzőinek megvalósítása;
6. A kiválasztott védelmi intézkedések, módszerek és eszközök végrehajtása és alkalmazásának megszervezése;
7. Integritásellenőrzés és védelmi rendszer menedzsment megvalósítása.

Az információbiztonsági politikát az információs rendszerre vonatkozó dokumentált követelmények formájában formálják . A dokumentumokat általában a védelmi folyamat leírási (részletezési) szintjei szerint osztják fel.

Az Információbiztonsági Szabályzat legfelső szintű dokumentumai tükrözik a szervezet álláspontját az információbiztonság területén végzett tevékenységekkel szemben, az e területen fennálló állami, nemzetközi követelményeknek és szabványoknak való megfelelést. Az ilyen dokumentumokat nevezhetjük „IS-koncepciónak”, „IS-kezelési szabályzatnak”, „IS-irányelvnek”, „IS műszaki szabványnak” stb. külső és belső használatra.

A GOST R ISO / IEC 17799-2005 szerint az információbiztonsági politika legfelső szintjén a következő dokumentumokat kell elkészíteni: "IS biztonsági koncepció", "Az információs rendszer erőforrásainak elfogadható használatának szabályai", "Üzletfolytonossági terv". ".

A középső szintbe az információbiztonság bizonyos vonatkozásaival kapcsolatos dokumentumok tartoznak. Ezek az információbiztonsági eszközök létrehozásának és működtetésének követelményei, a szervezet információs és üzleti folyamatainak megszervezése egy adott információbiztonsági területen. Például: Adatbiztonság, Kommunikációs biztonság, Titkosító védelmi eszközök használata, Tartalomszűrés stb. Az ilyen dokumentumokat általában a szervezet belső technikai és szervezeti szabályzatai (szabványai) formájában teszik közzé. Minden középszintű információbiztonsági szabályzatot tartalmazó dokumentum bizalmas.

Az alsóbb szintű információbiztonsági szabályzat munkaszabályzatot, adminisztrációs kézikönyvet, valamint az egyes információbiztonsági szolgáltatások üzemeltetési utasításait tartalmazza.

Az információbiztonsági rendszer szoftvere és hardvere

A szakirodalom az információbiztonsági eszközök következő osztályozását javasolja [74] .

• A jogosulatlan hozzáférés elleni védelmi eszközök :
  • Engedélyezési eszközök ;
  • Kötelező hozzáférés-szabályozás [76] ;
  • Szelektív hozzáférés-szabályozás ;
  • Szerep alapú hozzáférés-szabályozás ;
  • Naplózás ( auditálásnak is nevezik ).
• Információáramlás elemzési és modellezési rendszerei ( CASE -rendszerek).
• Hálózatfigyelő rendszerek:
  • Behatolásjelző és -megelőzési rendszerek (IDS/IPS).
  • Bizalmas információszivárgás- megelőzési rendszerek (DLP-rendszerek).
• Protokollelemzők .
• Víruskereső eszközök .
• Tűzfalak .
• A kriptográfia jelentése :
  • Titkosítás ;
  • Digitális aláírás .
• Biztonsági mentési rendszerek .
• Szünetmentes áramellátó rendszerek:
  • Szünetmentes tápegységek ;
  • Terhelési redundancia;
  • Feszültséggenerátorok .
• Hitelesítési rendszerek :
  • Jelszó ;
  • Hozzáférési kulcs (fizikai vagy elektronikus) ;
  • bizonyítvány ;
  • Biometrikus adatok .
• Eszközök a tokok feltörésének és a berendezések ellopásának megelőzésére.
• A helyiségekbe való bejutás ellenőrzésének eszközei .
• Eszközök a védelmi rendszerek elemzéséhez:
  • Vírusirtó .

Informatizálási objektumok szervezeti védelme

A szervezetvédelem a produkciós tevékenység és az előadóművészek kapcsolatának olyan jogi alapon történő szabályozása, amely kizárja vagy jelentősen akadályozza a bizalmas információk jogosulatlan birtoklását, valamint a belső és külső fenyegetések megnyilvánulását. A szervezeti védelem biztosítja:

• a biztonság megszervezése, rezsim, munkavégzés a személyzettel, dokumentumokkal;
• műszaki biztonsági berendezések és információs és elemző tevékenységek használata az üzleti tevékenységeket fenyegető belső és külső fenyegetések azonosítására [77] .

A fő szervezési tevékenységek a következők:

• rezsim és védelem szervezése. Céljuk, hogy kizárják az illetéktelen személyek területére és telephelyére történő titkos belépés lehetőségét;
• az alkalmazottakkal való munka megszervezése, amely előírja a személyzet kiválasztását és elhelyezését, beleértve az alkalmazottak megismertetését, tanulmányozását, a bizalmas információkkal való munkavégzés szabályainak oktatását, az információvédelmi szabályok megsértéséért felelős intézkedések megismerését stb.;
• dokumentumokkal és dokumentált információkkal végzett munka megszervezése, ideértve a dokumentumok és a bizalmas információk hordozóinak kidolgozásának és felhasználásának megszervezését, azok elszámolását, végrehajtását, visszaküldését, tárolását és megsemmisítését;
• a bizalmas információk gyűjtésére, feldolgozására, felhalmozására és tárolására szolgáló technikai eszközök használatának megszervezése;
• a bizalmas információkat fenyegető belső és külső fenyegetések elemzésével és védelmét biztosító intézkedések kidolgozásával kapcsolatos munka megszervezése;
• a bizalmas információkkal rendelkező személyzet munkájának szisztematikus ellenőrzésére irányuló munka megszervezése, a dokumentumok és technikai adathordozók elszámolásának, tárolásának és megsemmisítésének eljárása.

A szervezeti intézkedéseknek minden esetben sajátos formája és tartalma van a szervezet számára, amelyek célja az információbiztonság meghatározott körülmények között történő biztosítása.

A vállalkozás információbiztonsága

A vállalati információbiztonság a vállalati adatok biztonságának állapota, amely biztosítja azok titkosságát, integritását, hitelességét és elérhetőségét.

A vállalati információbiztonsági rendszerek feladatai eltérőek:

• információk biztonságos tárolásának biztosítása médián;
• kommunikációs csatornákon továbbított adatok védelme;
• biztonsági mentések, katasztrófa utáni helyreállítás stb.

Egy vállalkozás információbiztonságának biztosítása csak a védelem szisztematikus és integrált megközelítésével lehetséges. A teljes értékű UPS magában foglalja az adatbiztonságot befolyásoló összes fontos esemény és körülmény folyamatos monitorozását, és ezt egész évben végzik [78] .

A vállalat információbiztonságát a vállalati adatok védelmét célzó szervezési és technikai intézkedések egész sora biztosítja. A szervezési intézkedések közé tartoznak a különféle típusú információkkal való munkavégzés dokumentált eljárásai és szabályai, IT szolgáltatások, biztonsági eszközök stb. A technikai intézkedések közé tartozik a hardver és szoftver hozzáférés-ellenőrzés, szivárgásfigyelés, vírusvédelem, tűzfalak, elektromágneses sugárzás elleni védelem, ill. egyéb [79] .

Az információbiztonság biztosítása egy folyamatos folyamat, amely öt kulcsfontosságú lépésből áll:

1. költségbecslés;
2. biztonsági politika kialakítása ;
3. politika végrehajtása;
4. szakképzett szakemberek képzése;
5. könyvvizsgálat.

Az információbiztonság biztosításának folyamata a tulajdon felmérésével kezdődik, meghatározva a szervezet információs vagyonát, az ezen információkat veszélyeztető tényezőket, valamint sérülékenységét, a teljes kockázat jelentőségét a szervezet számára. Az ingatlantól függően ezeknek az eszközöknek a védelmére program készül. A kockázat azonosítása és számszerűsítése után költséghatékony ellenintézkedés választható a kockázat csökkentésére.

Az információbiztonsági felmérés céljai:

• meghatározza az információs eszközök értékét;
• azonosítani az ezen eszközök bizalmasságát, integritását, elérhetőségét és/vagy azonosíthatóságát fenyegető veszélyeket;
• azonosítani a meglévő sebezhetőségeket a szervezet gyakorlati tevékenységében;
• azonosítani a szervezet kockázatait az információs eszközökkel kapcsolatban;
• olyan változtatásokat javasol a meglévő munkagyakorlatokban, amelyek a kockázatok nagyságát elfogadható szintre csökkentik;
• alapot adnak egy biztonsági projekt létrehozásához.

Az értékelés öt fő típusa:

• A sérülékenységek értékelése rendszerszinten. A számítógépes rendszereket az ismert sebezhetőségek és az egyszerű megfelelőségi szabályzatok szempontjából vizsgálják.
• Értékelés hálózati szinten. Megtörtént a meglévő számítógépes hálózat és információs infrastruktúra felmérése, a kockázati zónák meghatározása.
• Átfogó kockázatértékelés a szervezeten belül. A teljes szervezet elemzését végezték el annak érdekében, hogy azonosítsák az információs eszközeit fenyegető veszélyeket.
• Könyvvizsgálat. Megvizsgálják a meglévő szabályzatot és a szervezet e szabályzatnak való megfelelését.
• Behatolási teszt. Megvizsgálták, hogy a szervezet képes-e reagálni egy szimulált penetrációra.

Az értékelés során olyan dokumentumokat kell használni, mint:

• Biztonsági politika;
• információs politika;
• biztonsági mentési szabályzatok és eljárások;
• munkavállalói referencia kézikönyv vagy utasítások;
• alkalmazottak felvételére és elbocsátására vonatkozó eljárások;
• szoftverfejlesztési módszertan;
• szoftverváltoztatási módszertan;
• távközlési politikák;
• hálózati diagramok.

A fenti irányelvek és eljárások kézhezvétele után mindegyiket megvizsgáljuk relevanciája, legitimitása, teljessége és relevanciája szempontjából, mivel az irányelveknek és eljárásoknak összhangban kell lenniük a dokumentumban meghatározott céllal.

Az értékelést követően olyan szabályzatok és eljárások kidolgozása szükséges, amelyek meghatározzák a várható biztonsági állapotot és a szükséges munkák listáját. Nincs szabályzat – nincs terv, amely alapján a szervezet hatékony UPS-programot fejleszt ki és hajt végre.

A következő irányelveket és eljárásokat kell kidolgozni:

• Információs politika . Felfedi a titkos információkat és azok feldolgozásának, tárolásának, továbbításának és megsemmisítésének módjait.
• Biztonsági politika. Meghatározza a különféle számítógépes rendszerek műszaki vezérlését.
• Használati szabályzat. Biztosítja a vállalati szabályzatot a számítógépes rendszerek használatára vonatkozóan.
• Biztonsági mentési szabályzat. Meghatározza a számítógépes rendszerek biztonsági mentésének követelményeit.
• Számlakezelési eljárások. Meghatározza a felhasználók hozzáadásakor vagy eltávolításakor végrehajtandó műveleteket.
• Készenléti terv. Műveleteket biztosít a vállalati berendezések helyreállítására természeti katasztrófák vagy ember által okozott események után.

A biztonsági politika megvalósítása a technikai eszközök és a közvetlen irányítás eszközeinek megvalósításából, valamint a biztonsági személyzet kiválasztásából áll. A biztonsági részlegen kívüli rendszerek konfigurációjában változtatásokra lehet szükség, ezért a rendszer- és hálózati rendszergazdákat be kell vonni a biztonsági program megvalósításába.

Bármilyen új biztonsági rendszer használatakor szakképzett személyzetnek kell rendelkezésre állnia. Egy szervezet nem tudja biztosítani a minősített adatok védelmét alkalmazottai bevonása nélkül. A hozzáértő szakmai átképzés egy olyan mechanizmus, amely biztosítja a munkavállalók számára a szükséges információkat.

Az alkalmazottaknak tisztában kell lenniük azzal, hogy a biztonsági kérdések miért olyan fontosak, és ki kell képezniük őket az érzékeny információk azonosítására és védelmére.

Az auditálás  az információbiztonság megvalósítási folyamatának utolsó lépése. Meghatározza a szervezeten belüli információbiztonság állapotát, a megfelelő szabályzatok és eljárások kialakítását, a technikai kontrollok aktiválását és a személyzet képzését [80] .

Lásd még

• GOST ISO / IEC 27000 - egy sor információbiztonsági menedzsment szabvány
• Információvédelem és ellenőrzés
• közös kritériumok
• Számítógépes rendszerek biztonságának meghatározásának kritériumai
• Információszivárgás megelőzése
• Az Oroszországi Bank szabványa az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítására (STO BR IBBS)
• A rendszerek műszaki biztonsága területén elkövetett bűncselekmények
• SCAP szabvány
• Az információ értékének felmérésére szolgáló modellek
• Állami információs politika
• Az Orosz Föderáció információbiztonsági doktrínája
• Számítógép biztonság
• (ISC)²
• Az orosz szoftverek egységes nyilvántartása

Jegyzetek

Hozzászólások

1. ↑ Az információbiztonság szakmai zsargonjában a kiberbűnözőket gyakran nevezik angolul  Black hatnak .  -  "fekete kalap" [11] .
2. ↑ Az orosz büntető törvénykönyv a "számítógépes információval kapcsolatos csalást" a következőképpen határozza meg:

   ... más tulajdonának eltulajdonítása vagy más tulajdonához való jog megszerzése számítógépes információk bevitelével, törlésével, blokkolásával, módosításával vagy a számítógépes információk tárolására, feldolgozására vagy továbbítására szolgáló eszközök vagy információs és távközlési hálózatok működésének más módon történő megzavarásával...

   - cikk 6. része  Az Orosz Föderáció Büntető Törvénykönyvének 159. cikke
3. ↑ Oroszországban a "05.13.19 Az információvédelem módszerei és rendszerei, információbiztonság" tudományos szakterületen egyesülnek, amely azonban nem foglalja magában a kriptográfia , a kriptográfiai információvédelem algoritmusai és módszerei területén végzett kutatásokat [42] .
4. ↑ 2015-ben nyolc új váltotta fel őket: tudatosság, készségek és tekintély ; felelősség ; emberi jogok és alapvető értékek ; együttműködés ; kockázatértékelési és -kezelési ciklus ; biztonsági intézkedések ; innováció ; a készenlét és a folyamatosság biztosítása [58] .
5. ↑ A GOST R ISO / IEC 27000-2012 szabványban a non - repudiation kifejezést angolból alkalmi megtagadás nélkül fordítják [55] .

Források

1. ↑ 1 2 3 NIST IR 7298 r2, 2013 , pp. 94-95.
2. ↑ András, 2014 .
3. ↑ NIST IR 7298 r2, 2013 , p. 164.
4. ↑ Schlienger, 2003 , pp. 46-52.
5. ↑ 1 2 3 Samonas, 2014 , pp. 21–45.
6. ↑ Jacques, 2016 .
7. ↑ Petty, 2017 .
8. ↑ Fornie, 2017 .
9. ↑ Frost & Sullivan, 2017 , p. 2.
10. ↑ Olavsrud 12. , 2017 .
11. ↑ Moore, 2011 .
12. ↑ Europol, 2017 .
13. ↑ Stewart, 2015 , pp. 882–883.
14. ↑ Ramzan, 2010 , p. 433.
15. ↑ Van der Merwe, 2005 , pp. 249-254.
16. ↑ Dawes, 2012 .
17. ↑ Provos, 2012 .
18. ↑ Identitáslopás .
19. ↑ Dubal .
20. ↑ Hoofnagle, 2007 .
21. ↑ Armstrong, 2017 .
22. ↑ Gorodjanszkij, 2013 .
23. ↑ Zemszkaja, 2005 .
24. ↑ Gordon és Loeb, 2002 .
25. ↑ Stewart, 2015 , pp. 72.
26. ↑ Suetonius Tranquill, 1964 .
27. ↑ Singh, 2009 .
28. ↑ Johnson, 1998 .
29. ↑ Izmozik, 2015 .
30. ↑ Soboleva, 2002 .
31. ↑ Tokareva, 2012 , p. 82-107.
32. ↑ Nosov, 2002 .
33. ↑ Hastedt, 2011 , p. 589-590.
34. ↑ Személyzet. Csata a hét tengeren. — 86. o
35. ↑ Jezsov, 2007 .
36. ↑ Singh, 2009 , p. harminc.
37. ↑ Sebag–Montefiore, 2011 , p. 162.
38. ↑ Singh, 2009 , p. 35.
39. ↑ Zselnyikov, 1996 .
40. ↑ Singh, 2009 , p. 191-201.
41. ↑ Anin, 2000 , p. 67-70.
42. ↑ VAK .
43. ↑ De Nardis, 2007 , pp. 681–704.
44. ↑ 1 2 3 4 5 6 Khorev A. A. A bizalmas információk védelmének megszervezése kereskedelmi struktúrában  // Információvédelem. Belül  : magazin. - 2015. - 1. sz . - S. 14-17 . — ISSN 2413-3582 . (Orosz)
45. ↑ 1 2 3 GOST R ISO/IEC 27000-2012 , p. 1-3.
46. ↑ ISACA .
47. ↑ Pipkin, 2000 .
48. ↑ Blakley, McDermott és Geer, 2001 .
49. ↑ Anderson, 2003 .
50. ↑ Venter és Eloff, 2003 .
51. ↑ Cserdantseva, 2013 .
52. ↑ Shushkov és Szergejev, 2016 , p. 69-76.
53. ↑ Saltzer és Schroeder, 1975 .
54. ↑ 1 2 GOST R ISO/IEC 27000-2012 , p. 2.
55. ↑ 1 2 GOST R ISO/IEC 27000-2012 , p. 3.
56. ↑ 1 2 3 Lukatsky, 2012 .
57. ↑ OECD, 2002 , pp. 9-12.
58. ↑ OECD, 2015 , pp. 9-11.
59. ↑ NIST SP 800-14, 1996 , pp. 4-10.
60. ↑ NIST SP 800-160v1, 2016 , p. 205.
61. ↑ Parker, 1998 .
62. ↑ Slade .
63. ↑ Hughes & Cybenko, 2013 .
64. ↑ TENS .
65. ↑ Teplow .
66. ↑ O-ISM3v2, 2017 .
67. ↑ Gordon, 2015 , p. nyolc.
68. ↑ Krutz & Vines, 2003 , 1. fejezet, p. egy.
69. ↑ 1 2 3 Gordon, 2015 , p. 7.
70. ↑ 12. Stewart , 2015 , p. 5.
71. ↑ Gordon, 2015 , p. 7-8.
72. ↑ McCarthy, 2006 , p. 65.
73. ↑ 12. McCullagh és Caelli , 2000 .
74. ↑ 1 2 3 Domarev V.V. Az információs technológiák biztonsága. Rendszer megközelítés (elérhetetlen link) . www.security.ukrnet.net _ Letöltve: 2013. május 10. Az eredetiből archiválva : 2013. május 10.  (Orosz)   - K .: OOO TID Dia Soft, 2004. - 992 p.
75. ↑ Lapina M. A., Revin A. G., Lapin V. I. Információjog. M.: UNITY-DANA, Jog és Jog, 2004.
76. ↑ Információbiztonság a modern adatbázis-kezelő rendszerekben . www.compress.ru _ Letöltve: 2019. január 13. Az eredetiből archiválva : 2019. május 7. (Orosz)
77. ↑ Szervezeti biztonság a vállalatban: papír és gyakorlati biztonság . infosec.ru . Letöltve: 2019. január 13. Az eredetiből archiválva : 2014. április 25. (Orosz)
78. ↑ Rusinov S. Kereskedelmi vállalkozások, kereskedelmi hálózatok és infrastruktúrájuk információbiztonságának biztosítása: http://www.itsec.ru/articles2/Inf_security/infosec-torg 2016. április 4-i archív példány a Wayback Machine -en
79. ↑ Melnikov V.P., Kleymenov S.A., Petrakov A.M. Információbiztonság és információvédelem 3. kiadás. Proc. Diákok juttatása. magasabb tankönyv létesítmények/V. P. Melnikov, S. A. Kleymenov, A. M. Petrakov.-M.: 2008. — 336 p.
80. ↑ Az információbiztonság biztosítása: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html Archiválva : 2016. április 7. a Wayback Machine -nél .

Irodalom

• » Videó » Letöltés Kutató Gaius Suetonius Tranquill Első könyv // A tizenkét császár élete  = De vita XII caesarvm: [ford. a  lat. ] / fordítás: Gasparov M .. - M .  : "Nauka" kiadó, 1964. - 374 p. - (Irodalmi emlékek).
• Singh, Simon. Rejtjelkönyv  : A rejtjelek titkos története és megfejtésük. - M .  : "AST" kiadó, 2009. - 448 p. — ISBN 5-17-038477-7 .
• Izmozik, V. S. "Fekete szekrények": az orosz olvasmány története. XVIII - XX század eleje. - M .  : Új Irodalmi Szemle, 2015. - ISBN 978-5-4448-0392-9 .
• Zhelnikov V. Kommunikáció nyelve // ​​Kriptográfia a papirusztól a számítógépig . - M. : ABF, 1996. - 335 p. - ISBN 5-87484-054-0 .
• Anin, B. Yu . "Marfinskaya Sharazka" // Elektronikus kémkedés. -M . : Tsentrpoligraf, 2000. - 491, [2] p., [8] l. ill., port. - (Titkos mappa). —10.000 példány.  —ISBN 5-227-00659-8.
• Nosov V. A. A kriptográfia fejlődésének rövid történeti vázlata // Moszkvai Egyetem és a kriptográfia fejlődése Oroszországban, Moszkvai Állami Egyetem, 2002. október 17-18.: konferencia kiadványok. - 2002. - S. 20-32.
• Tokareva N. N. Az oroszországi kriptográfia történetéről  // Alkalmazott diszkrét matematika. - 2012. - december ( 4. szám (18) ).
• Alekszej Lukatsky. A \"bizalmasság, integritás, elérhetőség\" triász: honnan származik? // SecurityLab.ru . - 2012. - szeptember 20.
• Az Orosz Föderáció információbiztonságának fogalmi alapjai / Shushkov G. M., Sergeev I. V. // Fiatal tudósok tudományos és tudományos és pedagógiai tevékenységének aktuális kérdései: a III. Összoroszországi levelezés tudományos és gyakorlati konferencia tudományos közleményeinek gyűjteménye (11.23.) /2015 - 2015.12.30., Moszkva) / szerk. szerk. E.A. Pevcova; szerkesztőség: E.A. Kurenkova és mások. - M .  : IIU MGOU, 2016. - ISBN 978-5-7017-2532-2 .
• Yezhov, M. Yu. Az egyik mítosz a "Magdeburg" cirkálóról // A történelem kérdései . - 2007. - Kiadás. 2. - S. 152-156. — ISSN 0042-8779 .
• 05.13.19 Az információbiztonság módszerei és rendszerei, információbiztonság  : [DOC] // Magasabb tanúsítási bizottság (HAC). — Hozzáférés időpontja: 2018.07.19.
• GOST R ISO/IEC 27000-2012: Információtechnológia (IT). A biztonság biztosításának módszerei és eszközei. Információbiztonsági menedzsment rendszerek. Általános áttekintés és terminológia  : [PDF] // Rosstandart . — Hozzáférés időpontja: 2018.07.20.

idegen nyelveken

• Andress, J. Az információbiztonság alapjai: Az InfoSec alapjainak megértése elméletben és gyakorlatban . - Syngress, 2014. - 240 p. — ISBN 9780128008126 .
• Stewart, James Michael. CISSP® : Certified Information Systems Security Professional Study Guide : [ eng. ]  / James Michael Stewart, Mike Chapple, Darril Gibson. — Hetedik kiadás. – Kanada: John Wiley & Sons, Inc., 2015. – 1023 p. - ISBN 978-1-119-04271-6 .
• Moore, Robert. Kiberbűnözés: A csúcstechnológiás számítógépes bűnözés vizsgálata: [ eng. ] . — 2. kiadás. - Boston: Anderson Publ., 2011. - 318 p. — ISBN 9781437755824 .
• Adathalász támadások és ellenintézkedések  / Ramzan, Zulfikar // Handbook of Information and Communication Security : [ eng. ]  / Peter Stavroulakis, Mark Stamp. - L.  : Springer Science & Business Media, 2010. - 867 p. - ISBN 978-3-642-04117-4 .
• Johnson, John. The Evolution of British  Signint : 1653–1939: [ eng. ] . - Őfelsége Állóhivatala, 1998. - 58 p.
• Soboleva, T. A. Bevezetés // A titkosítási üzlet története Oroszországban . - M.  : OLMA-Press, 2002. - 510 p. — ISBN 5224036348 .
• Személyzet, Gary. Csata a hét tengeren: Német cirkálócsaták, 1914-1918. - Barnsley: Pen & Sword Books, 2011. - 224 p. — ISBN 978-1848841826 .
• Hivatalos titkokról szóló törvény (1889; új, 1911; módosítva: 1920, 1939, 1989) // Kémek, lehallgatások és titkos műveletek : An Encyclopedia of American Spionage / szerkesztő Hastedt, GP. - Santa Barbara, CA, USA : ABC-CLIO, LLC, 2011. - Vol. 2. - ISBN 978-1-85109-807-1 .
• Sebag Montefiore, Hugh. Enigma: Harc a kódért. - Orion, 2011. - 576 p. — ISBN 9781780221236 .
• Pipkin, Donald L. Információbiztonság  : A globális vállalat védelme: [ eng. ] . - N. Y  .: Prentice Hall PTR, 2000. - 364 p. — ISBN 9780130173232 .
• Hivatalos (ISC)²® útmutató a CISSP® CBK®-hoz : Negyedik kiadás: [ eng. ]  / Adam Gordon, szerkesztő. - Boca Raton, FL, USA : CRC Press, 2015. - 1278 p. - ISBN 978-1-4822-6275-9 .
• Parker, Donn B. Fighting Computer Crime  : A New Framework for Protecting Information: [ eng. ] . - N. Y  .: John Wiley & Sons , 1998. - 528 p. - ISBN 0-471-16378-3 .
• Krutz, Ronald L. The CISM Prep Guide  : Mastering the Five Domains of Information Security Management: [ eng. ]  / Ronald L. Krutz, Russell Dean Vines. - N. Y  .: John Wiley & Sons , 2003. - 433 p. - ISBN 0-471-45598-9 .
• McCarthy, C. Digitális könyvtárak : Biztonsági és megőrzési szempontok // Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management  : [ eng. ]  / Bidgoli, H.. - John Wiley & Sons, 2006. - Vol. 3. - ISBN 9780470051214 .
• Schlienger, Thomas. Információbiztonsági kultúra  : Az elemzéstől a változásig : [ eng. ]  / Thomas Schlienger, Stephanie Teufel // Dél-afrikai számítógépes folyóirat. - Pretoria, Dél-Afrika, 2003. - Vol. 31.
• Samonas, S. A CIA visszavág  : A bizalmasság, integritás és elérhetőség újradefiniálása a biztonságban: [ eng. ]  / Samonas, S., Coss, D. // Journal of Information System Security. - Washington DC, USA: Information Institute Publishing, 2014. - Vol. 10, sz. 3.
• Jacques, RJ A papíralapú üzlet valódi költségei  : [ eng. ]  // Fulcrum Blog. - Spatial Networks, Inc., 2016. - január 13. — Hozzáférés időpontja: 2018.06.27.
• Petty, Christy. A Gartner szerint a digitális zavarok minden iparágra hatással vannak; A digitális KPI-k kulcsfontosságúak  a siker mérésében ] . - Gartner, Inc., 2017. - október 2. — Hozzáférés időpontja: 2018.06.27.
• Forni, Amy Ann, van der Meulen, Rob. A Gartner felmérése szerint a vezérigazgatók 42 százaléka megkezdte a  digitális üzleti átalakulást ] . - Gartner, Inc., 2017. - április 24. — Hozzáférés időpontja: 2018.06.27.
• 2017. évi globális információbiztonsági munkaerő-tanulmány : A munkaerő kapacitásának és a kiberkockázatra adott válaszok összehasonlító értékelése - EMEA  : [PDF] : [ eng. ]  // (ISC)² . - Frost & Sullivan, 2017. - Hozzáférés dátuma: 2018.06.27.
• Bűnözés a technológia korában : Az Europol súlyos és szervezett bűnözéssel kapcsolatos fenyegetésértékelése 2017  : [ eng. ]  : sajtóközlemény. - Europol , 2017. - március 9. — Hozzáférés időpontja: 2018.06.27.
• Olavsrud, Thor. 5 információbiztonsági fenyegetés, amely uralni fogja 2018-at  : [ eng. ]  // CIO.com . Letöltve: 2019. január 13. (határozatlan) . - IDG Communications, Inc., 2017. - november 20. — Hozzáférés időpontja: 2018.06.27.
• Zemskaya, E. A. A negyedik hullám emigránsai orosz beszédének jellemzői . - Gramota.ru , 2005. - április 9. — Hozzáférés időpontja: 2018.06.27.
• Gordon, Lawrence. Az információbiztonsági befektetés gazdaságtana: [ eng. ]  / Lawrence Gordon, Martin Loeb // ACM-tranzakciók az információs és rendszerbiztonsággal kapcsolatban. - 2002. - 20. évf. 5, sz. 4 (november). - doi : 10.1145/581271.581274 .
• Van der Merwe, Alta. Az adathalász támadások jellemzői és felelősségei  : [ eng. ]  / Loock, Marianne, Dabrowski, Marek // WISICT '05 Proceedings of the 4th International Symposium on Information and Communication Technology. - Fokváros, Dél-Afrika, 2005. - január 3. - P. 249-254. — ISBN 1-59593-169-4 .
• Hoofnagle, Chris Jay. Identity Theft: Az ismert ismeretlenek ismertté tétele  : [ eng. ]  // Társadalomtudományi Kutatóhálózat. - Berkeley, CA, USA: University of California, 2007. - március 13. — Hozzáférés időpontja: 2018.04.07.
• Armstrong, Drew. Három évem a személyazonosság-lopás pokoljában  : [ arch. 2017.09.19 . ] : [ eng. ] . — Bloomberg, 2017. — szeptember 17. — Hozzáférés időpontja: 2018.04.07.
• Gorodjanszkij, David. Internetes adatvédelem és biztonság: Megosztott felelősség  : [ eng. ]  // vezetékes.com . - 2013. - 10. - Hozzáférés időpontja: 2018.04.07.
• Az információbiztonság információs kockázatkezelés  / Bob Blakley, Ellen McDermott, Dan Geer // Proceedings of the 2001 workshop on New security paradigms. - N. Y  .: ACM, 2001. - P. 97-104. - ISBN 1-58113-457-6 .
• Anderson, JM Miért van szükségünk az információbiztonság új meghatározására // Számítógépek és biztonság. - 2003. - 20. évf. 22, sz. 4. - P. 308-313. - doi : 10.1016/S0167-4048(03)00407-3 .
• Venter, HS Az információbiztonsági technológiák taxonómiája / HS Venter, JHP Eloff // Számítógépek és biztonság. - 2003. - 20. évf. 22, sz. 4. - P. 299-307. - doi : 10.1016/S0167-4048(03)00406-1 .
• 24. fejezet: Az internetes biztonság története / De Nardis, L. // The History of Information Security : A Comprehensive Handbook / szerkesztette de Leeuw, KMM és Bergstra, J.. - Elsevier, 2007. - ISBN 9780080550589 .
• Cherdantseva, Y. Információbiztonság és információbiztosítás. Beszélgetés a jelentésről, hatókörről és célokról // Az információs rendszeradminisztrátor szervezeti, jogi és technológiai dimenziói / Y. Cherdantseva, J. Hilton. – IGI Global Publishing, 2013.
• Saltzer, H. Saltzer. Az információ védelme a számítógépes rendszerekben  : [ eng. ]  / H. Saltzer Saltzer, Michael D. Schroeder // Proceedings of the IEEE. - USA: IEEE , 1975. - Vol. 63. sz. 09 (szeptember). - P. 1278-1308. — ISSN 1558-2256 .
• Hughes, J. Kvantitatív mérőszámok és kockázatértékelés  : A kiberbiztonság három alapelvű modellje: [ eng. ]  / J. Hughes, G. Cybenko // Technológiai Innovációs Menedzsment Szemle. - Ottawa, Kanada: Talent First Network (Carleton University), 2013. - augusztus. - P. 15-24. — ISSN 1927-0321 .
• McCullagh, Adrian. Letagadhatatlanság a digitális környezetben  : [ eng. ]  / Adrian McCullagh, William Caelli // Technológiai innovációs menedzsment áttekintés. - Chicago, USA: 2000. első hétfő. 8, sz. 8 (augusztus). — ISSN 1396-0466 .
• NIST Interagency vagy Internal Report 7298  : Glossary of Key Information Security Terms: [ eng. ]  / Richard L. Kissel, szerkesztő, Computer Security Division, Information Technology Laboratory. - Revision 2. - Gaithersburg, MD, USA: National Institute of Standards and Technology , 2013. - 222 p.
• NIST Special Publication 800-14  : Általánosan elfogadott alapelvek és gyakorlatok az információs technológiai rendszerek biztosítására: [ eng. ] . - Gaithersburg, MD, USA: National Institute of Standards and Technology, 1996. - 61 p.
• NIST 800-160 . különkiadvány  : Rendszerbiztonsági tervezés: Multidiszciplináris megközelítés szempontjai a megbízható, biztonságos rendszerek tervezésében : ] . - Gaithersburg, MD, USA: National Institute of Standards and Technology, 2016. - Vol. 1. - 260 p.
• OECD Irányelvek az információs rendszerek és hálózatok  biztonságáról: A biztonság kultúrája felé: [ eng. ] . - P.  : OECD kiadványok, 2002. - 30 p.
• Digitális biztonsági kockázatkezelés a gazdasági és társadalmi jólétért  : OECD ajánlás és kísérő dokumentum : [ eng. ] . - P.  : OECD Publishing, 2015. - 74 p.
• Nyílt csoportszabvány  : Nyílt információbiztonság-kezelési érettségi modell (O-ISM3), 2.0-s verzió: [ eng. ] . - Reading, Berkshire, Egyesült Királyság: The Open Group , 2017. - 130 p. — ISBN 1-937218-98-0 .

Linkek

• Felülvizsgálat. Az információ és az üzlet védelmének eszközei 2006 . www.cnews.ru _ Letöltve: 2019. január 13. (Orosz) CNews
• Biztonsági és kriptográfiai feltételek szószedete (hivatkozás nem érhető el) . www.profinfo.ru _ Letöltve: 2019. január 13. Az eredetiből archiválva : 2006. január 9..  (Orosz)  Európai Távközlési Szabványügyi Intézet
• Az Orosz Föderáció információbiztonsági doktrínája . web.archive.org . Hozzáférés időpontja: 2019. január 13. (határozatlan)
• Az Orosz Föderáció információbiztonságának jogi támogatásának javítására vonatkozó koncepciótervezet . web.archive.org . Hozzáférés időpontja: 2019. január 13. (határozatlan)
• Az Orosz Föderáció 2006. július 27-i N 149-FZ szövetségi törvénye az információról, az információs technológiákról és az információvédelemről . www.e-nigma.ru _ Hozzáférés időpontja: 2019. január 13. (Orosz)
• Provos, Niels. Biztonságos böngészés – A webfelhasználók védelme 5 éven keresztül, és folyamatosan számolni kell  : [ eng. ]  // Google biztonsági blog. - 2012. - június 19. — Hozzáférés időpontja: 2018.04.07.
• Dawes, Adam. Újabb csapás az e-mailes adathalászat ellen  : [ eng. ]  // Google biztonsági blog. - 2012. - január 29. — Hozzáférés időpontja: 2018.04.07.
• Dubal, Uttam, Rigot, Stu. Szintetikus azonosítólopás  (nem elérhető link)  : [ arch. 2015.10.09 . ] : [ eng. ]  // Cyber ​​​​Space Times. — Hozzáférés időpontja: 2018.04.07.
• Identity Theft  : [ magyar ] ]  // Merriam-Webster.com. – Merriam-Webster . — Hozzáférés időpontja: 2018.04.07.
• Szószedet : Információbiztonság  : [ eng. ]  // www.isaca.org. — ISACA . — Hozzáférés időpontja: 2018.08.21.
• Slade, Rob. CIA TRIAD VERSUS PARKERIAN  HEXAD ]  // (ICS)2 Blog. - 2008. - december 15. — Hozzáférés időpontja: 2018.09.07.
• A három tétel  : [ eng. ]  // Megbízható végcsomópont-biztonság. – D.O.D._ _ — Hozzáférés időpontja: 2018.09.08.
• Teplow, Lily. Ügyfelei bedőlnek ezeknek az IT-biztonsági mítoszoknak? [CHART ]: [ angol ] ]  // Continuum Blog. - Boston, MA, USA: Continuum Managed Services, 2016. - november 18. — Hozzáférés időpontja: 2018.09.08.

Szótárak és enciklopédiák	nagy kínai Nagy orosz
Bibliográfiai katalógusokban	NKC : ph136652

Információ biztonság
A jogosulatlan hozzáférés elleni védelmi eszközök	Hozzáférési jogok Kötelező beléptetés Szelektív hozzáférés szabályozás Szerep alapú hozzáférés-vezérlés
Információ	Információ biztonság Internet biztonság Hálózati biztonság Információszivárgási csatornák Információvédelem helyi hálózatokban Wi-Fi biztonság Biztonság WiMAX hálózatokban A dolgok internete biztonsága Optikai kommunikációs vonalakon továbbított információszivárgási csatornák Adatbázis-biztonsági elemzés
Védelem	Víruskereső program Tűzfal Behatolásjelző rendszer Szivárgás megelőzés
Sebezhetőségek	Biztonságos programozás biztonsági hiba Szoftver hiba Sebezhetőség Kihasználni Nulladik napi sebezhetőség Biztonsági tesztelés Bugtraq OWASP Bug bounty program