Информационная безопасность – комплекс мер, наборов и практик для защиты информации от внешних и внутренних угроз.
Внешними угрозами являются попытки взлома системы, DDoS атаки, вирусы и вредоносные программы, природные и техногенные катастрофы. Внутренние угрозы – ошибки и неквалифицированные действия обслуживающего персонала, уничтожение или искажение данных сотрудниками компании, воровство информации, умышленный саботаж.
Эффективная информационная безопасность достигается за счёт многоэтапного управления рисками и подразумевает оценку угроз, планирование мер противодействия, внедрение комплексных систем защиты и регулярные проверки.
Обеспечение информационной безопасности базируется на 3 принципах:
- Секретность: разграничение уровней доступа к информации в соответствии с принятыми правилами.
- Целостность: сохранение структуры данных в неизменном виде, за исключением случаев, когда пользователи имеют право изменять информацию.
- Доступность: использование протоколов и технологий, которые позволяют пользователям получать доступ к данным в соответствии с политиками безопасности, а также обеспечивают гарантированную доступность данных даже в случае аварий и природных катастроф.
Традиционно выделяют определённые средства и способы защиты информации:
- Правовые – предприятие разрабатывает документы, регулирующие политику и организацию информационной безопасности.
- Организационные – создание условий для эффективной защиты данных на рабочих местах, мониторинг инфраструктуры, резервирование каналов связи, хранение резервных копий и другие способы.
- Программные – внедрение программных решений, помогающих организовать безопасное хранение данных, обеспечивать доступ к информации определённому кругу сотрудников, защищать систему от взлома и других внешних угроз.
- Технические – использование специального оборудования и технологий, предназначенных для защиты информации, например, настройка процедур аутентификации, шифрование, использование специального сетевого оборудования, фильтрующего трафик.
Внедрение политики информационной безопасности чаще всего реализуется как конкретное ICM решение.