Securitatea informațiilor

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 19 septembrie 2022; verificarea necesită 1 editare .

Securitatea informațiilor ( în engleză  Information Security și, de asemenea, în engleză  InfoSec ) este practica de a preveni accesul neautorizat , utilizarea, dezvăluirea, denaturarea, modificarea, cercetarea, înregistrarea sau distrugerea informațiilor . Acest concept universal se aplică indiferent de forma pe care o pot lua datele (electronică sau, de exemplu, fizică). Sarcina principală a securității informațiilor este protecția echilibrată a confidențialității , integrității și disponibilității datelor [1] , ținând cont de caracterul adecvat al aplicației și fără nicio prejudiciu asupra productivității organizației [2] . Acest lucru se realizează în primul rând printr-un proces de management al riscului în mai multe etape, care identifică activele fixe și activele necorporale , sursele de amenințări , vulnerabilitățile , impacturile potențiale și oportunitățile de gestionare a riscurilor. Acest proces este însoțit de o evaluare a eficacității planului de management al riscurilor [3] .

În vederea standardizării acestei activități, comunitățile științifice și profesionale cooperează permanent în scopul dezvoltării unei metodologii de bază, politici și standarde industriale în domeniul măsurilor tehnice de securitate a informațiilor, al răspunderii juridice, precum și al standardelor de pregătire a utilizatorilor și administratorilor . Această standardizare este în mare măsură determinată de o gamă largă de legi și reglementări care reglementează modul în care datele sunt accesate, procesate, stocate și transmise. Cu toate acestea, implementarea oricăror standarde și metodologii într-o organizație poate avea doar un efect superficial dacă cultura îmbunătățirii continue nu este insuflată corespunzător [4] .

Informații generale

La baza securității informațiilor se află activitatea de protejare a informațiilor - asigurarea confidențialității, disponibilității și integrității acestora, precum și prevenirea oricărui compromis într-o situație critică [5] . Astfel de situații includ dezastre naturale, provocate de om și sociale , defecțiuni ale computerului, răpiri fizice și fenomene similare. În timp ce evidența majorității organizațiilor din lume se bazează încă pe documente pe hârtie [6] , care necesită măsuri adecvate de securitate a informațiilor, a existat o creștere constantă a numărului de inițiative de introducere a tehnologiilor digitale în întreprinderi [7] [8] , care presupune implicarea profesioniștilor în domeniul securității în tehnologia informației (IT) pentru a proteja informațiile. Acești specialiști oferă tehnologie de securitate a informațiilor (în cele mai multe cazuri - un fel de sisteme informatice ). Un computer în acest context înseamnă nu doar un computer personal de uz casnic , ci dispozitive digitale de orice complexitate și scop, variind de la cele primitive și izolate, cum ar fi calculatoare electronice și aparate de uz casnic, până la sisteme de control industrial și supercalculatoare unite prin rețele de calculatoare . Cele mai mari întreprinderi și organizații, datorită importanței vitale și valorii informațiilor pentru afacerea lor, angajează specialiști în securitatea informațiilor, de regulă, pentru personalul lor. Sarcina lor este să securizeze toate tehnologiile împotriva atacurilor cibernetice rău intenționate , care au ca scop adesea furtul de informații confidențiale sensibile sau preluarea controlului asupra sistemelor interne ale unei organizații.

Securitatea informației, ca domeniu de angajare , s-a dezvoltat și a crescut semnificativ în ultimii ani. A dat naștere multor specializări profesionale, cum ar fi securitatea rețelelor și a infrastructurii aferente, protecția software-ului și a bazelor de date , auditarea sistemelor informatice , planificarea continuității afacerii , detectarea înregistrărilor electronice și criminalistica informatică . Profesioniștii în securitatea informațiilor au un loc de muncă foarte stabil și o cerere mare pe piața muncii. Cercetările la scară largă efectuate de organizație (ISC)² au arătat că în 2017, 66% dintre liderii în securitatea informațiilor au recunoscut o lipsă acută de forță de muncă în departamentele lor, iar conform previziunilor, până în 2022, deficitul de specialiști în acest domeniu va fi 1.800.000 de oameni în întreaga lume [9 ] .

Amenințări și contramăsuri

Amenințările la securitatea informațiilor pot lua o mare varietate de forme. Pentru 2018, cele mai grave sunt amenințările asociate cu „ crima ca serviciu ” ( ing.  Crime-as-a-Service ), internetul obiectelor , lanțurile de aprovizionare și complicarea cerințelor de reglementare [10] . Crime as a Service este un model pentru comunitățile criminale mature pentru a oferi pachete de servicii criminale pe piața darknetului la prețuri accesibile infractorilor cibernetici în curs de dezvoltare [K 1] . Acest lucru îi permite celor din urmă să facă atacuri de hackeri care anterior erau inaccesibile din cauza complexității tehnice ridicate sau a costurilor ridicate, făcând criminalitatea cibernetică un fenomen de masă [12] . Organizațiile implementează în mod activ Internetul lucrurilor, dispozitivele care sunt adesea proiectate fără cerințe de securitate, ceea ce deschide oportunități suplimentare pentru atac. În plus, dezvoltarea rapidă și complexitatea Internetului lucrurilor îi reduce transparența, care, combinată cu reguli și condiții legale vag definite, permite organizațiilor să folosească datele personale ale clienților lor colectate de dispozitive la propria lor discreție, fără știrea lor. În plus, este problematic pentru organizațiile înseși să urmărească care dintre datele colectate de dispozitivele IoT sunt transmise în exterior. Amenințarea pentru lanțurile de aprovizionare este că organizațiile tind să partajeze o varietate de informații valoroase și sensibile cu furnizorii lor , ceea ce duce la pierderea controlului direct asupra acestora. Astfel, riscul încălcării confidențialității, integrității sau disponibilității acestor informații este semnificativ crescut. Din ce în ce mai multe cerințe noi ale autorităților de reglementare complică semnificativ gestionarea activelor informaționale vitale ale organizațiilor. De exemplu, Regulamentul general privind protecția datelor (GDPR ) , adoptat în Uniunea Europeană în 2018 , solicită oricărei organizații, în orice moment, în orice parte a propriei activități sau a lanțului său de aprovizionare, să demonstreze ce date cu caracter personal și pentru ce obiective sunt disponibile acolo, cum sunt procesate, stocate și protejate. Mai mult, aceste informații trebuie furnizate nu numai în timpul controalelor efectuate de organismele abilitate, ci și la prima solicitare a unei persoane private - proprietarul acestor date. Conformitatea cu o astfel de conformitate necesită deturnarea unor fonduri și resurse bugetare semnificative de la alte sarcini de securitate a informațiilor ale organizației. Și deși eficientizarea prelucrării datelor cu caracter personal presupune o îmbunătățire a securității informațiilor pe termen lung, pe termen scurt, riscurile organizației cresc semnificativ [10] .  

Majoritatea oamenilor sunt expuși amenințărilor la securitatea informațiilor într-un fel sau altul. De exemplu, aceștia devin victime ale programelor malware ( viruși și viermi , troieni , ransomware ) [13] , phishing sau furt de identitate . Phishing ( eng.  Phishing ) este o încercare frauduloasă [K 2] de a intra în posesia informațiilor confidențiale (de exemplu, un cont , o parolă sau informații despre cardul de credit ). De obicei, ei încearcă să atragă utilizatorul de internet către un site web fraudulos care nu se poate distinge de site-ul original al oricărei organizații ( bancă , magazin online , rețea socială etc.) [14] [15] . De regulă, astfel de încercări sunt făcute cu ajutorul mailing-urilor în masă de e-mailuri false aparent în numele organizației însăși [16] , care conțin link -uri către site-uri frauduloase. Prin deschiderea unui astfel de link într-un browser , un utilizator nebănuit își introduce acreditările, care devin proprietatea escrocilor [17] . Termenul de furt de identitate din  engleză.  —  „furtul de identitate” a apărut în engleză în 1964 [18] pentru a se referi la activități în care datele personale ale cuiva (de exemplu, numele, contul bancar sau numărul cardului de credit, obținute adesea prin phishing) sunt folosite pentru fraudă și comiterea altor infracțiuni [19]. ] [20] . Cel în numele căruia infractorii primesc avantaje financiare ilegale, împrumuturi sau comit alte infracțiuni, devine de multe ori însuși inculpat, ceea ce poate avea consecințe financiare și juridice grave de amploare pentru el [21] . Securitatea informațiilor are un impact direct asupra vieții private [22] , a cărei definiție poate fi foarte diferită în diferite culturi [23] .

Guvernele , armata , corporațiile , instituțiile financiare , instituțiile medicale și întreprinderile private acumulează în mod constant cantități semnificative de informații confidențiale despre angajații, clienții, produsele, cercetările și rezultatele financiare ale acestora . Dacă astfel de informații ajung în mâinile concurenților sau infractorilor cibernetici, acestea pot duce la consecințe juridice de amploare pentru organizație și clienții săi, precum și pierderi financiare și reputaționale ireparabile. Din perspectiva afacerii, securitatea informațiilor trebuie echilibrată cu costurile; modelul economic Gordon-Lob descrie aparatul matematic pentru rezolvarea acestei probleme [24] . Principalele modalități de a contracara amenințările la securitatea informațiilor sau riscurile informaționale sunt:

• atenuare  - implementarea de securitate și contramăsuri pentru abordarea vulnerabilităților și prevenirea amenințărilor;
• transfer  - transferul costurilor asociate implementării amenințărilor către terți: companii de asigurări sau de outsourcing ;
• acceptare  - formarea de rezerve financiare în cazul în care costul implementării măsurilor de securitate depășește prejudiciul potențial din implementarea amenințării;
• refuz  - refuz de la o activitate excesiv de riscantă [25] .

Istorie

Odată cu apariția celor mai timpurii mijloace de comunicare, diplomații și liderii militari și-au dat seama de necesitatea dezvoltării unor mecanisme de protejare a corespondenței confidențiale și a modalităților de a detecta încercările de a o falsifica . De exemplu, Iulius Caesar este creditat cu invenția în jurul anului 50 î.Hr. e. cifrul Caesar , care avea scopul de a împiedica mesajele sale secrete să fie citite de către cei cărora nu erau destinate [26] . Deși, în cea mai mare parte, protecția a fost asigurată prin controlul asupra procedurii de gestionare a corespondenței secrete. Mesajele confidențiale au fost marcate pentru a fi protejate și transmise numai cu persoane de încredere aflate sub protecție, depozitate în încăperi securizate sau cutii solide [27] .

Odată cu dezvoltarea corespondenței , au început să apară organizații guvernamentale care să intercepteze, să decripteze, să citească și să resigile scrisori. Deci, în Anglia pentru aceste scopuri în 1653 a existat un Birou Secret ( Biroul Secret ing .  ) [28] . În Rusia, citirea a fost efectuată cel puțin de pe vremea lui Petru I  - din 1690, toate scrisorile trimise în străinătate au fost deschise la Smolensk . Practica copierii în secret a corespondenței aproape tuturor diplomaților străini pentru ca destinatarul să nu aibă suspiciuni a căpătat un caracter sistemic la mijlocul secolului al XVIII-lea - au apărut așa-numitele „oficii negre” [29] . După deschidere, a fost necesară efectuarea unei criptoanalize a mesajului, pentru care matematicieni cunoscuți ai timpului lor au fost implicați în activitățile cabinetelor negre. Cele mai remarcabile rezultate au fost obținute de Christian Goldbach , care a reușit să descifreze 61 de scrisori de la miniștri prusaci și francezi în șase luni de muncă. În unele cazuri, după decriptarea cu succes a scrisorii, conținutul acesteia a fost înlocuit - un fel de atac „ om la mijloc ” [30] .

La începutul secolului al XIX-lea în Rusia, odată cu venirea la putere a lui Alexandru I , toată activitatea criptografică a fost transferată la Oficiul Ministerului Afacerilor Externe . Din 1803, remarcabilul om de știință rus Pavel Lvovich Schilling a fost în serviciul acestui departament . Una dintre cele mai semnificative realizări ale Cancelariei a fost descifrarea ordinelor și corespondenței lui Napoleon I în timpul Războiului Patriotic din 1812 [31] [32] . La mijlocul secolului al XIX-lea, au apărut sisteme mai sofisticate de clasificare a informațiilor clasificate , permițând guvernelor să gestioneze informațiile în funcție de gradul său de confidențialitate. De exemplu, guvernul britanic a legitimat într-o oarecare măsură o astfel de clasificare în 1889 odată cu publicarea Actului Secretelor Oficiale [33] .

În timpul Primului Război Mondial, sistemele de clasificare și criptare stratificate au fost folosite pentru a transmite informații de către toate părțile în război, ceea ce a contribuit la apariția și utilizarea intensă a unităților de criptare și criptoanaliza. Astfel, până la sfârșitul anului 1914, s-a format una dintre secțiile Amiralității Britanice  - „ camera 40 ” -, care a devenit principala autoritate criptografică din Marea Britanie. Pe 26 august 1914, crucișătorul ușor german „ Magdeburg ” s-a așezat pe pietrele de lângă insula Odensholm , la gura Golfului Finlandei , care aparținea atunci Imperiului Rus. Germanii au distrus toate documentele și au aruncat în aer nava, dar scafandrii ruși, după ce au examinat fundul, au găsit două copii ale cărții de semnalizare, dintre care unul a fost predat britanicilor. După ce au primit în curând cărți de coduri pentru navele auxiliare, precum și pentru comunicarea între navele din mările exterioare și navele inamice însoțitoare, britanicii au reușit să descifreze codurile navale germane. Încălcarea codului a făcut posibilă citirea mesajelor radio inamice interceptate. De la sfârșitul lunii noiembrie 1914, „camera 40” a început să descifreze regulat radiogramele flotei germane, care transmitea aproape toate comenzile și ordinele [34] . Pentru prima dată, au încercat să folosească aceste decriptări în timpul ieșirii flotei germane pe coasta britanică pe 16 decembrie 1914 [35] .

În perioada interbelică , sistemele de criptare au devenit din ce în ce mai complicate, astfel că au început să fie folosite mașini speciale pentru criptarea și decriptarea mesajelor secrete , dintre care cea mai cunoscută este Enigma , creată de inginerii germani în anii 1920. Încă din 1932, Polish Intelligence Cipher Bureau a reușit să spargă cifrul Enigma prin inginerie inversă [36] .

Cantitatea de informații schimbate între țările coaliției anti-Hitler în timpul celui de -al Doilea Război Mondial a necesitat armonizarea formală a sistemelor naționale de clasificare și a procedurilor de control și management. S-a format un set de etichete de secretizare, accesibile doar inițiaților, care definesc cine se poate ocupa de documente (în general ofițeri mai degrabă decât înrolați) și unde ar trebui să fie depozitate, având în vedere apariția unor seifuri și seifuri din ce în ce mai complexe. Beligeranții au elaborat proceduri pentru distrugerea garantată a documentelor clasificate. Unele dintre încălcările unor astfel de proceduri au dus la cele mai semnificative câștiguri de informații ale întregului război. De exemplu, echipajul submarinului german U-570 nu a reușit să distrugă în mod corespunzător multe documente secrete pe care britanicii le-au capturat [37] . Un exemplu izbitor de utilizare a instrumentelor de securitate a informațiilor este Enigma menționată mai sus, a cărei versiune complicată a apărut în 1938 și a fost utilizată pe scară largă de către Wehrmacht și alte servicii ale Germaniei naziste . În Marea Britanie, criptoanaliza mesajelor adversare criptate cu Enigma a fost realizată cu succes de un grup condus de Alan Turing . Mașina de decriptare  „ Turing Bombe ”  dezvoltată de aceștia  a oferit o asistență semnificativă coaliției anti-Hitler și este uneori creditată cu un rol decisiv în victoria Aliaților [38] . În Statele Unite, pentru a cripta comunicațiile radio în teatrul de operațiuni din Pacific, au fost recrutați semnalizatori din tribul indienilor Navajo , a cărui limbă nu o cunoștea nimeni în afara Statelor Unite [39] . Japonezii nu au reușit niciodată să găsească cheia acestei metode exotice de protejare a informațiilor [40] . În URSS, încă din anii 1930, pentru a proteja convorbirile telefonice ale celor mai înalte autorități ale țării de interceptări (inclusiv Cartierul General al Înaltului Comandament Suprem ), a fost folosită așa-numita comunicare HF , bazată pe modularea vocii a semnalelor de înaltă frecvență. şi strângerea lor ulterioară . Cu toate acestea, lipsa protecției criptografice a făcut posibilă, folosind un spectrometru , recuperarea mesajelor din semnalul interceptat [41] .

A doua jumătate a secolului al XX-lea și începutul secolului al XXI-lea au fost marcate de dezvoltarea rapidă a telecomunicațiilor, hardware și software de calculator și criptarea datelor. Apariția echipamentelor de calcul compacte, puternice și ieftine a făcut ca procesarea electronică a datelor să fie accesibilă întreprinderilor mici și utilizatorilor casnici. Foarte repede, computerele au fost conectate la Internet , ceea ce a dus la creșterea explozivă a afacerilor electronice . Toate acestea, combinate cu creșterea criminalității cibernetice și cu numeroasele cazuri de terorism internațional , au creat nevoia de metode mai bune de protecție a computerelor și a informațiilor pe care acestea le stochează, procesează și transmit. Au apărut discipline științifice precum „ Securitatea computerelor ” și „Tehnici de securitate a informațiilor” [K 3] și multe organizații profesionale cu scopul comun de a asigura securitatea și fiabilitatea sistemelor informaționale [43] .

Definiții de bază

Informații protejate  - informații supuse protecției în conformitate cu cerințele actelor juridice de reglementare sau cerințele stabilite de proprietarul informațiilor [44] .

Proprietarul informațiilor  este o persoană care a creat în mod independent informații sau a primitdreptul de a permite sau restricționa accesul la informații determinate de orice semne pe baza unei legi sau a unui acord . Deținătorii de informații pot fi: statul , o persoană juridică , un grup de persoane fizice, o persoană fizică separată [44] .

Securitatea informației  este o astfel de stare a securității informațiilor, în care confidențialitatea , integritatea și disponibilitatea acesteia sunt asigurate [44] .

Organizarea securității informațiilor  - ansamblu de acțiuni care vizează identificarea amenințărilor la adresa securității informațiilor, planificarea, implementarea măsurilor de protecție a informațiilor și monitorizarea stării de protecție a informațiilor [44] .

Sistem de securitate a informațiilor  - un ansamblu de organisme și (sau) executanți, tehnologia de securitate a informațiilor pe care o utilizează, precum și obiectele de securitate a informațiilor, organizate și funcționale în conformitate cu cerințele de securitate a informațiilor [44] .

Politica de securitate a informațiilor a unei organizații este un set de politici, proceduri, practici sau linii directoare documentate de securitate a informațiilor pe care o organizație le urmează în operațiunile sale [44] .

„Securitatea informațiilor” în diverse surse

Următoarele sunt definiții ale termenului „securitate informațională” din diverse surse:

• Păstrarea confidențialității , integrității și disponibilității informațiilor. Notă : aici pot fi incluse și alte proprietăți, cum ar fi autenticitatea , responsabilitatea , non-repudierea și credibilitatea [ 45] . 
• Protecția informațiilor și a sistemelor informaționale împotriva accesului, utilizării, dezvăluirii, denaturării, modificării sau distrugerii neautorizate pentru a asigura confidențialitatea, integritatea și disponibilitatea [1] .
• Asigurarea protecției informațiilor din întreprindere împotriva dezvăluirii către utilizatori neautorizați (confidențialitate), modificare ilegală (integritate) și indisponibilitate atunci când este nevoie (disponibilitate) [46] .
• Procesul de protejare a proprietății intelectuale a organizației [47] .
• Una dintre disciplinele managementului riscului a cărei sarcină este de a gestiona costul riscului informațional pentru afaceri [48] .
• Încredere rezonabilă că riscurile informaționale sunt echilibrate prin măsuri adecvate de control și management [49] .
• Protecția informațiilor, minimizând riscul dezvăluirii informațiilor către persoane neautorizate [50] .
• O zonă multidisciplinară de cercetare și activitate profesională care se concentrează pe dezvoltarea și implementarea diferitelor mecanisme de securitate (tehnice, organizaționale, orientate către om, juridic) pentru a proteja informațiile de amenințări oriunde se află (atât în ​​interiorul, cât și în afara organizației). perimetrul) și, în consecință, sistemele informaționale în care informațiile sunt create, prelucrate, stocate, transmise și distruse. Lista obiectivelor de securitate poate include confidențialitate, integritate, disponibilitate, confidențialitate, autenticitate și validitate, non-repudiere, responsabilitate și verificabilitate [51] .
• Procesul de echilibru între amenințările emergente, cu impact și succesul contracarării acestor amenințări din partea autorităților statului responsabile de securitatea statului [52] .

Principii cheie

În 1975, Jerry Salzer și Michael Schroeder , în articolul „Securitatea informațiilor în sistemele informatice” [53] , au propus mai întâi împărțirea încălcărilor de securitate în trei categorii principale: divulgarea neautorizată a informațiilor , modificarea neautorizată a informațiilor ( ing  . Modificarea neautorizată a informațiilor ) și refuzul neautorizat de acces ( de exemplu , refuzul neautorizat de utilizare ) la informații. Mai târziu, aceste categorii au primit nume scurte și definiții standardizate:   

C confidențialitatea din  limba engleză.  - „confidențialitate” - proprietatea informațiilor de a fi inaccesibile sau închisă persoanelor, entităților sau proceselor neautorizate [54] ; Integritate din engleză  .  - „integritate” - proprietatea de a menține corectitudinea și caracterul complet al activelor [55] ; O disponibilitate din  engleză.  - „disponibilitate” - proprietatea informațiilor de a fi disponibile și gata de utilizare la cererea unui subiect autorizat care are dreptul de a face acest lucru [54] .

În mod colectiv, aceste trei principii cheie de securitate a informațiilor sunt denumite triada CIA [56] .

În 1992, OCDE a publicat propriul model de securitate a informațiilor, constând din nouă principii: conștientizare , responsabilitate , rezistență , etică , democrație , evaluarea riscurilor , dezvoltarea și implementarea securității , managementul securității , revizuire [57] [K 4] . În 1996, pe baza unei publicații OCDE din 1992, Institutul Național American de Standarde și Tehnologie (NIST) a formulat opt ​​principii de bază care afirmă că securitatea computerelor „susține misiunea organizației”, „este o parte integrantă a managementului sănătos”, „ar trebui să fie rentabil”, „necesită o abordare cuprinzătoare și integrată”, „este limitat de factori sociali”, „ar trebui revizuit periodic”, „datoriile și responsabilitățile pentru securitatea computerelor ar trebui să fie clar articulate” și „proprietarii de sistem au o responsabilitate pentru securitate în afara organizaţiei lor” [59] . Pe baza acestui model, în 2004, NIST a publicat 33 de principii de proiectare a ingineriei de securitate a informațiilor, pentru fiecare dintre acestea fiind elaborate ghiduri practice și recomandări, care sunt dezvoltate și menținute în mod constant la zi [60] .

În 1998, Donn Parker a adăugat încă trei aspecte triadei clasice CIA : Posesie sau Control , Autenticitate și Utilitate 61 ] . Meritele acestui model, numit Parker hexad (din hexad în  engleză  –  „un grup de șase articole”), fac obiectul discuțiilor în rândul specialiștilor în securitatea informațiilor [62] .    

În 2009, Departamentul de Apărare al SUA a publicat „Trei principii fundamentale ale securității computerelor”: System Susceptibility , Access to the Flaw , and Capacity to Exploit the Flaw . [63] [64] [65] .    

În 2011, consorțiul internațional The Open Group a publicat standardul de management al securității informațiilor O-ISM3 , care a abandonat definiția conceptuală a componentelor triadei clasice CIA în favoarea definiției lor operaționale . Conform O-ISM3, pentru fiecare organizație este posibil să se identifice un set individual de obiective de securitate aferente uneia dintre cele cinci categorii care corespund uneia sau alteia componente a triadei: obiective de securitate prioritare (confidențialitate), obiective de securitate pe termen lung ( integritate), obiective de calitate a informațiilor (integritate), obiective de control al accesului (accesibilitate) și obiective de securitate tehnică . [66] .

Dintre toate modelele de securitate a informațiilor menționate mai sus, clasica triada CIA este încă cea mai recunoscută și răspândită în comunitatea profesională internațională [56] . Este fixat în standardele naționale [1] și internaționale [45] și este inclus în principalele programe educaționale și de certificare pentru securitatea informațiilor, precum CISSP [67] și CISM [68] . Unii autori ruși folosesc o hârtie de calc din aceasta - „ triada CCD ” [56] . În literatura de specialitate, toate cele trei componente ale sale: confidențialitate, integritate și disponibilitate sunt denumite în mod sinonim principii , atribute de securitate , proprietăți , aspecte fundamentale , criterii de informare , caracteristici critice sau elemente structurale de bază [5] .

Între timp, în comunitatea profesională, există o dezbatere continuă cu privire la modul în care triada CIA se potrivește tehnologiilor în evoluție rapidă și cerințelor de afaceri. În urma acestor discuții, apar recomandări privind necesitatea stabilirii relației dintre securitate și confidențialitate, precum și aprobarea unor principii suplimentare [5] . Unele dintre ele sunt deja incluse în standardele Organizației Internaționale de Standardizare (ISO):

• autenticitate - o  proprietate care garantează că subiectul sau resursa este identică cu cea declarată;
• accountability (engleză accountability) - responsabilitatea subiectului pentru acțiunile și deciziile sale;
• imposibilitate de refuz (ing. nerepudierea [K 5] ) - capacitatea de a certifica evenimentul sau acțiunea care a avut loc și subiecții acestora astfel încât acest eveniment sau acțiune și subiectele legate de aceasta să nu poată fi puse la îndoială;
• fiabilitate ( engleză  fiabilitatea ) - proprietatea conformării cu comportamentul și rezultatele intenționate [45] .

Confidențialitate

Confidențialitatea informațiilor este obținută prin acordarea accesului la acestea cu cele mai puține privilegii bazate pe principiul conștientizării minime necesare ( engleză  need-to-know ). Cu alte cuvinte, o persoană autorizată ar trebui să aibă acces doar la informațiile de care are nevoie pentru a-și îndeplini atribuțiile oficiale. Infracțiunile împotriva vieții private menționate mai sus, cum ar fi furtul de identitate, sunt încălcări ale vieții private. Una dintre cele mai importante măsuri de asigurare a confidențialității este clasificarea informațiilor, care permite ca acestea să fie clasificate ca strict confidențiale , sau destinate uzului public sau intern. Criptarea informațiilor este un exemplu tipic de unul dintre mijloacele de asigurare a confidențialității [69] .

Integritate

Implementarea corectă a operațiunilor sau adoptarea unor decizii corecte într-o organizație este posibilă numai pe baza unor date fiabile stocate în fișiere, baze de date sau sisteme, sau difuzate prin rețele de calculatoare. Cu alte cuvinte, informațiile trebuie protejate de modificările intenționate, neautorizate sau accidentale față de starea inițială, precum și de orice denaturare în timpul stocării, transmiterii sau procesării. Cu toate acestea, integritatea sa este amenințată de viruși de computer și bombe logice , erori de programare și modificări de cod rău intenționat, falsificarea datelor, acces neautorizat, uși din spate și altele asemenea. Pe lângă acțiunile intenționate, în multe cazuri modificările neautorizate ale informațiilor sensibile rezultă din defecțiuni tehnice sau erori umane datorate supravegherii sau lipsei de pregătire profesională. De exemplu, încălcările de integritate duc la: ștergerea accidentală a fișierelor, introducerea de valori eronate, modificarea setărilor, executarea comenzilor incorecte, atât de către utilizatorii obișnuiți, cât și de către administratorii de sistem [69] [70] .

Pentru a proteja integritatea informațiilor, este necesar să se aplice o varietate de măsuri pentru a controla și gestiona modificările aduse informațiilor și sistemelor care le procesează. Un exemplu tipic de astfel de măsuri este restrângerea cercului de persoane cu drept de a-i schimba doar pe cei care au nevoie de un astfel de acces pentru a-și îndeplini atribuțiile oficiale. Totodată, trebuie respectat principiul separației puterilor , conform căruia modificările datelor sau ale sistemului informațional sunt efectuate de către o persoană, iar o altă persoană le confirmă sau le respinge. În plus, orice modificări din timpul ciclului de viață al sistemelor informaționale trebuie să fie consecvente, testate pentru a asigura integritatea informațiilor și introduse în sistem numai prin tranzacții corect formate . Actualizările de software trebuie efectuate într-un mod sigur. Orice acțiuni care implică modificări trebuie înregistrate [69] [70] .

Disponibilitate

Conform acestui principiu, informațiile ar trebui să fie disponibile persoanelor autorizate atunci când este necesar. Principalii factori care afectează disponibilitatea sistemelor informaționale sunt atacurile DoS ( abreviere pentru Denial of Service din  engleză  -  „denial of service”), atacurile ransomware, sabotajul . În plus, erorile umane neintenționate din cauza supravegherii sau din cauza pregătirii profesionale insuficiente sunt o sursă de amenințări la accesibilitate: ștergerea accidentală a fișierelor sau înregistrărilor din baze de date, setări eronate ale sistemului; refuzul serviciului ca urmare a depășirii puterii permise sau a lipsei resurselor echipamentelor sau a defecțiunilor rețelelor de comunicații; actualizare hardware sau software eșuată; oprirea sistemelor din cauza pene de curent. Dezastrele naturale joacă, de asemenea, un rol semnificativ în perturbarea accesibilității: cutremure, tornade, uragane, incendii, inundații și altele asemenea. În toate cazurile, utilizatorul final pierde accesul la informațiile necesare activităților sale, existând un timp de nefuncționare forțat. Criticitatea sistemului pentru utilizator și importanța acestuia pentru supraviețuirea organizației în ansamblu determină impactul timpului de nefuncționare. Măsurile de securitate inadecvate cresc riscul de malware, distrugere a datelor, intruziune sau atacuri DoS. Astfel de incidente pot face sistemele inaccesibile utilizatorilor normali [71] .

Imposibilitatea refuzului

Termenul „non-repudiare” ( engleză  Non-Repudiation , uneori folosit împreună - Nonrepudiation ) a apărut pentru prima dată în 1988 în standardul internațional „Security of the interconnection of open systems” (ISO 7498-2). Înțeles de obicei ca sens opus termenului de drept anglo-saxon Repudiation din  engleză.  -  „refuz, negare”, care are două interpretări principale. Pe de o parte, înseamnă dreptul fundamental al părții de a refuza îndeplinirea obligațiilor din tranzacție din motive legale [72] dacă, de exemplu, semnătura de pe un document pe hârtie a fost falsificată sau semnătura originală a fost obținută ilegal (cum ar fi rezultat al fraudei). În acest caz, sarcina probei autenticității semnăturii revine părții care se bazează pe aceasta [73] . O altă interpretare este renunțarea abuzivă la obligații. În contextul securității computerelor, aceasta poate fi, de exemplu, negarea de către una dintre părți a faptului de a trimite, primi, de a patern sau de conținutul unui mesaj electronic. În contextul securității informațiilor, „nerepudierea” este înțeleasă ca o confirmare a integrității și originii originale a datelor, cu excluderea posibilității de falsificare, care poate fi verificată în orice moment de către terți, sau ca o identificare (identitate, document, obiect), care poate fi considerat cu un grad ridicat de certitudine autentic și nu poate fi infirmat [73] .

Sfera (implementarea) conceptului de „securitate informațională”

O abordare sistematică a descrierii securității informațiilor propune evidențierea următoarelor componente ale securității informațiilor [74] :

1. Baza legislativă, de reglementare și științifică.
2. Structura și sarcinile organismelor (diviziunilor) care asigură securitatea IT.
3. Măsuri și metode organizatorice, tehnice și de regim (Politica de securitate a informațiilor).
4. Metode software și hardware și mijloace de asigurare a securității informațiilor.

Mai jos în această secțiune, fiecare dintre componentele securității informațiilor va fi discutată în detaliu.

Scopul implementării securității informaționale a oricărui obiect este de a construi un sistem de securitate a informațiilor pentru acest obiect (ISIS). Pentru construirea și funcționarea eficientă a Sistemului de întreținere IS, este necesar să:

• identifica cerințele de securitate a informațiilor specifice unui obiect de protecție dat;
• ia în considerare cerințele legislației naționale și internaționale;
• să utilizeze practici stabilite (standarde, metodologii) pentru construirea unui Sistem de întreținere IS similar;
• determină unitățile responsabile cu implementarea și suportul Sistemului de întreținere SI;
• alocarea zonelor de responsabilitate în implementarea cerințelor Sistemului de întreținere SI între departamente;
• pe baza managementului riscului de securitate a informațiilor, se stabilesc prevederile generale, cerințele tehnice și organizatorice care compun Politica de securitate a informațiilor a obiectului protejat;
• implementează cerințele Politicii de securitate a informațiilor prin introducerea de software, hardware, inginerie și alte metode și mijloace adecvate de protecție a informațiilor;
• implementarea Sistemului de Management al Securității Informaționale (ISMS);
• folosind ISMS, organizează monitorizarea regulată a eficacității Sistemului de întreținere SI și, dacă este necesar, revizuiește și ajustează Sistemul de întreținere SI și ISMS.

După cum se poate observa din ultima etapă de lucru, procesul de implementare a Sistemului de întreținere SI este continuu și ciclic (după fiecare revizuire) revine la prima etapă, repetând toate celelalte în secvență. Acesta este modul în care Sistemul de întreținere IS este ajustat pentru a îndeplini în mod eficient sarcinile de protecție a informațiilor și de a îndeplini noile cerințe ale unui sistem informațional actualizat constant.

Documente normative în domeniul securității informațiilor

În Federația Rusă, actele juridice de reglementare în domeniul securității informațiilor includ [75] :

Acte ale legislației federale:

• Tratatele internaționale ale Federației Ruse;
• Constituția Federației Ruse;
• Legile la nivel federal (inclusiv legile constituționale federale, codurile);
• Decretele președintelui Federației Ruse;
• Decrete ale Guvernului Federației Ruse;
• Acte juridice normative ale ministerelor și departamentelor federale;
• Acte juridice de reglementare ale entităților constitutive ale Federației Ruse, guvernelor locale etc.

Listele și conținutul documentelor de reglementare specificate în domeniul securității informațiilor sunt discutate mai detaliat în secțiunea Legea Informației .

Documentele de reglementare și metodologice includ

• Documentele metodologice ale organelor de stat ale Rusiei:
  • Doctrina securității informațiilor a Federației Ruse;
  • Documente directoare ale FSTEC (Comisia Tehnică de Stat a Rusiei);
  • comenzi FSB;
• Standarde de securitate a informațiilor , dintre care sunt:
  • Standarde internaționale;
  • Standardele de stat (naționale) ale Federației Ruse;
  • Recomandări pentru standardizare;
  • Instrucțiuni metodice.

Organisme (diviziuni) care asigură securitatea informațiilor

În funcție de aplicarea activităților din domeniul protecției informațiilor (în cadrul autorităților de stat sau organizațiilor comerciale), activitatea în sine este organizată de organe (diviziuni) speciale de stat sau departamente (servicii) ale întreprinderii.

Organismele de stat ale Federației Ruse care controlează activitățile în domeniul securității informațiilor:

• Comitetul pentru Securitate al Dumei de Stat ;
• Consiliul de Securitate al Rusiei ;
• Serviciul Federal pentru Control Tehnic și Export (FSTEC al Rusiei);
• Serviciul Federal de Securitate al Federației Ruse (FSB al Rusiei);
• Serviciul Federal de Securitate al Federației Ruse (FSO al Rusiei);
• Serviciul de Informații Externe al Federației Ruse (SVR al Rusiei);
• Ministerul Apărării al Federației Ruse (Ministerul Apărării al Rusiei);
• Ministerul Afacerilor Interne al Federației Ruse (MVD al Rusiei);
• Serviciul Federal pentru Supravegherea Comunicațiilor, Tehnologia Informației și Comunicațiile de Masă (Roskomnadzor);
• Banca Centrală a Federației Ruse (Banca Rusiei).

Servicii care organizează protecția informațiilor la nivel de întreprindere

• Serviciul de Securitate Economică ;
• Serviciul de Securitate a Personalului (Departamentul de Securitate);
• Serviciu de personal ;
• Serviciul de securitate a informațiilor .

Măsuri și metode organizatoric-tehnice și de regim

Pentru a descrie tehnologia de securitate a informațiilor a unui anumit sistem de informații , așa-numita Politică de securitate a informațiilor sau Politica de securitate a sistemului informațional în cauză este de obicei construită .

Politica de securitate (informații din organizație) ( ing.  Politica de securitate organizațională ) - un set de reguli, proceduri, practici sau linii directoare documentate în domeniul securității informațiilor care ghidează organizația în activitățile sale.

Politica de securitate a tehnologiilor informației și telecomunicațiilor ( eng.  ІТ politică de securitate ) - reguli, directive, practici stabilite care determină modul în care în cadrul unei organizații și al tehnologiilor sale de informare și telecomunicații să gestioneze, să protejeze și să distribuie activele, inclusiv informațiile critice.

Pentru a construi o Politică de securitate a informațiilor, se recomandă să luați în considerare separat următoarele domenii de protecție a sistemului informațional [74] :

• Protecția obiectelor sistemului informațional ;
• Protecția proceselor, a procedurilor și a programelor de prelucrare a informațiilor ;
• Protecția canalelor de comunicație ( acustice , infraroșu, cu fir, canale radio etc.), inclusiv protecția informațiilor în rețelele locale ;
• Suprimarea radiațiilor electromagnetice laterale;
• Managementul sistemului de protectie.

În același timp, pentru fiecare dintre domeniile de mai sus, Politica de securitate a informațiilor ar trebui să descrie următoarele etape ale creării instrumentelor de protecție a informațiilor:

1. Definirea resurselor informative si tehnice de protejat;
2. Identificarea setului complet de amenințări potențiale și canale de scurgere de informații ;
3. Efectuarea unei evaluări a vulnerabilității și riscurilor informațiilor în prezența unei varietăți de amenințări și canale de scurgere;
4. Determinarea cerințelor pentru sistemul de protecție;
5. Implementarea alegerii instrumentelor de securitate a informațiilor și a caracteristicilor acestora;
6. Implementarea și organizarea utilizării măsurilor, metodelor și mijloacelor de protecție selectate;
7. Implementarea controlului integrității și managementului sistemului de protecție.

Politica de securitate a informațiilor este formalizată sub forma unor cerințe documentate pentru sistemul informațional . Documentele sunt de obicei împărțite în funcție de nivelurile de descriere (detaliu) ale procesului de protecție.

Documentele de nivel superior ale Politicii de securitate a informațiilor reflectă poziția organizației față de activitățile din domeniul securității informațiilor, dorința acesteia de a respecta cerințele și standardele de stat, internaționale în acest domeniu. Asemenea documente pot fi numite „Concept SI”, „Regulament privind managementul SI”, „Politica IS”, „Standard tehnic IS”, etc. uz extern și intern.

Conform GOST R ISO / IEC 17799-2005, la nivelul superior al Politicii de securitate a informațiilor ar trebui întocmite următoarele documente: „Conceptul de securitate IS”, „Reguli pentru utilizarea acceptabilă a resurselor sistemului informațional”, „Planul de continuitate a afacerii”. ".

Nivelul mediu include documente legate de anumite aspecte ale securității informațiilor. Acestea sunt cerințele pentru crearea și funcționarea instrumentelor de securitate a informațiilor, organizarea informațiilor și a proceselor de afaceri ale organizației într-un domeniu specific al securității informațiilor. De exemplu: Securitatea datelor, Securitatea comunicațiilor, Utilizarea instrumentelor de protecție criptografică, Filtrarea conținutului etc. Astfel de documente sunt de obicei publicate sub formă de politici (standarde) tehnice și organizaționale interne ale organizației. Toate documentele privind politica de securitate a informațiilor de nivel mediu sunt confidențiale.

Politica de securitate a informațiilor de nivel inferior include reglementări de lucru, manuale de administrare și instrucțiuni de operare pentru serviciile individuale de securitate a informațiilor.

Software și hardware ale sistemului de securitate a informațiilor

Literatura de specialitate sugerează următoarea clasificare a instrumentelor de securitate a informațiilor [74] .

• Mijloace de protecție împotriva accesului neautorizat :
  • Instrumente de autorizare ;
  • Controlul accesului obligatoriu [76] ;
  • control selectiv al accesului ;
  • Controlul accesului bazat pe rol ;
  • Înregistrare (numită și Auditing ).
• Sisteme de analiză și modelare a fluxurilor informaționale ( sisteme CASE ).
• Sisteme de monitorizare a retelei:
  • Sisteme de detectare și prevenire a intruziunilor (IDS/IPS).
  • Sisteme de prevenire a scurgerilor de informații confidențiale (sisteme DLP).
• Analizoare de protocol .
• Instrumente antivirus .
• Firewall-uri .
• Mijloace criptografice :
  • Criptare ;
  • Semnătură digitală .
• Sisteme de backup .
• Sisteme de alimentare neîntreruptibilă:
  • Surse de alimentare neîntreruptibile ;
  • Redundanță de încărcare;
  • Generatoare de tensiune .
• Sisteme de autentificare :
  • Parola ;
  • Cheie de acces (fizică sau electronică) ;
  • certificat ;
  • Biometrie .
• Mijloace de prevenire a pirateriei de cazuri și a furtului de echipamente.
• Mijloace de control al accesului în spații .
• Instrumente de analiză a sistemelor de protecție:
  • Antivirus .

Protecția organizațională a obiectelor de informatizare

Protecția organizațională este reglementarea activităților de producție și a relației dintre artiștii executanți pe o bază legală care exclude sau împiedică în mod semnificativ deținerea ilegală de informații confidențiale și manifestarea amenințărilor interne și externe. Protecția organizațională asigură:

• organizarea securității, regimului, muncii cu personalul, cu documente;
• utilizarea echipamentelor tehnice de securitate și a activităților informaționale și analitice pentru a identifica amenințările interne și externe la adresa activităților comerciale [77] .

Principalele activități organizatorice includ:

• organizarea regimului şi protecţiei. Scopul lor este de a exclude posibilitatea intrării secrete pe teritoriul și sediul persoanelor neautorizate;
• organizarea muncii cu angajații, care prevede selecția și plasarea personalului, inclusiv familiarizarea cu angajații, studiul acestora, instruirea în regulile de lucru cu informații confidențiale, familiarizarea cu măsurile de răspundere pentru încălcarea regulilor de protecție a informațiilor etc.;
• organizarea muncii cu documente și informații documentate, inclusiv organizarea elaborării și utilizării documentelor și purtătorilor de informații confidențiale, contabilizarea, executarea, returnarea, depozitarea și distrugerea acestora;
• organizarea utilizării mijloacelor tehnice de colectare, prelucrare, acumulare și stocare a informațiilor confidențiale;
• organizarea lucrărilor de analiză a amenințărilor interne și externe la adresa informațiilor confidențiale și elaborarea de măsuri pentru asigurarea protecției acestora;
• organizarea muncii privind efectuarea controlului sistematic asupra muncii personalului cu informații confidențiale, procedura de contabilizare, depozitare și distrugere a documentelor și suporturilor tehnice.

În fiecare caz, măsurile organizatorice au o formă și un conținut specific acestei organizații, menite să asigure securitatea informațiilor în condiții specifice.

Securitatea informațională a întreprinderii

Securitatea informațiilor întreprinderii este starea de securitate a datelor corporative, care asigură confidențialitatea, integritatea, autenticitatea și disponibilitatea acestora.

Sarcinile sistemelor de securitate a informațiilor întreprinderii sunt diferite:

• asigurarea stocării în siguranță a informațiilor pe mass-media;
• protecția datelor transmise prin canale de comunicare;
• copii de rezervă, recuperare în caz de dezastru etc.

Asigurarea securității informațiilor unei întreprinderi este posibilă doar cu o abordare sistematică și integrată a protecției. Un UPS cu drepturi depline implică monitorizarea continuă a tuturor evenimentelor și condițiilor importante care afectează securitatea datelor și se efectuează pe tot parcursul anului [78] .

Securitatea informațiilor unei întreprinderi este realizată printr-o gamă întreagă de măsuri organizatorice și tehnice menite să protejeze datele corporative. Măsurile organizaționale includ proceduri și reguli documentate pentru lucrul cu diferite tipuri de informații, servicii IT, instrumente de securitate etc. Măsurile tehnice includ utilizarea controlului accesului hardware și software, monitorizarea scurgerilor, protecție antivirus, firewall-uri, protecție împotriva radiațiilor electromagnetice și altele [79] .

Asigurarea securității informațiilor este un proces continuu care include cinci pași cheie:

1. cost estimat;
2. dezvoltarea unei politici de securitate;
3. implementarea politicii;
4. pregătirea calificată a specialiștilor;
5. audit.

Procesul de asigurare a securității informațiilor începe cu evaluarea proprietății, determinarea activelor informaționale ale organizației, factorii care amenință aceste informații și vulnerabilitatea acesteia, semnificația riscului general pentru organizație. In functie de proprietate se va intocmi un program de protectie a acestor bunuri. Odată ce un risc a fost identificat și cuantificat, poate fi selectată o contramăsură rentabilă pentru a atenua acel risc.

Obiectivele evaluării securității informațiilor:

• determina valoarea activelor informaționale;
• identificarea amenințărilor la adresa confidențialității, integrității, disponibilității și/sau identificabilității acestor active;
• identificarea vulnerabilităților existente în activitățile practice ale organizației;
• identificarea riscurilor organizației în legătură cu activele informaționale;
• propune modificări în practicile de lucru existente care vor reduce amploarea riscurilor la un nivel acceptabil;
• oferă o bază pentru crearea unui proiect de securitate.

Cinci tipuri principale de evaluare:

• Evaluarea vulnerabilităților la nivel de sistem. Sistemele informatice sunt examinate pentru vulnerabilități cunoscute și politici simple de conformitate.
• Evaluare la nivel de rețea. S-a făcut o evaluare a rețelei de calculatoare și a infrastructurii informaționale existente, au fost identificate zone de risc.
• Evaluarea generală a riscurilor în cadrul organizației. S-a făcut o analiză a întregii organizații pentru a identifica amenințările la adresa activelor sale informaționale.
• Audit. Politica existentă și conformitatea organizației cu această politică este examinată.
• Test de penetrare. A fost investigată capacitatea organizației de a răspunde la o penetrare simulată.

La efectuarea unei evaluări, documente precum:

• Politică de securitate;
• politica de informare;
• politici și proceduri de rezervă;
• manualul de referință sau instrucțiunile lucrătorului;
• procedurile de angajare și concediere a lucrătorilor;
• metodologie de dezvoltare software;
• metodologia de schimbare a software-ului;
• politici de telecomunicații;
• diagrame de rețea.

După ce au primit politicile și procedurile de mai sus, fiecare dintre ele este examinată pentru relevanță, legitimitate, completitudine și relevanță, deoarece politicile și procedurile trebuie să fie în concordanță cu scopul definit în document.

După evaluare, este necesar să se elaboreze politici și proceduri care să definească starea așteptată de securitate și lista lucrărilor necesare. Nu există nicio politică - nu există un plan pe baza căruia organizația să dezvolte și să execute un program eficient UPS.

Ar trebui dezvoltate următoarele politici și proceduri:

• Politica de informare . Dezvăluie informații secrete și metode de prelucrare, stocare, transfer și distrugere.
• Politică de securitate. Definește controale tehnice pentru diverse sisteme informatice.
• Politica de utilizare. Oferă politica companiei privind utilizarea sistemelor informatice.
• Politica de backup. Specifică cerințele pentru copierea de rezervă a sistemelor computerizate.
• Proceduri de gestionare a conturilor. Definește acțiunile de întreprins atunci când utilizatorii sunt adăugați sau eliminați.
• Plan de intervenție. Oferă acțiuni pentru refacerea echipamentelor companiei după dezastre naturale sau incidente cauzate de oameni.

Implementarea politicii de securitate consta in implementarea mijloacelor tehnice si a mijloacelor de control direct, precum si in selectia personalului de securitate. Pot fi necesare modificări ale configurației sistemelor în afara domeniului de aplicare al departamentului de securitate, astfel încât administratorii de sistem și de rețea ar trebui să fie implicați în implementarea programului de securitate.

La utilizarea oricăror sisteme de securitate noi, trebuie să fie disponibil personal calificat. O organizație nu poate asigura protecția informațiilor clasificate fără implicarea angajaților săi. Recalificarea profesională competentă este un mecanism de furnizare a angajaților cu informațiile necesare.

Angajații trebuie să știe de ce problemele de securitate sunt atât de importante și trebuie să fie instruiți pentru a identifica și proteja informațiile sensibile.

Auditul  este ultimul pas în procesul de implementare a securității informațiilor. Ea determină starea securității informației în cadrul organizației, crearea politicilor și procedurilor adecvate, activarea controalelor tehnice și pregătirea personalului [80] .

Vezi și

• GOST ISO / IEC 27000 - o serie de standarde pentru managementul securității informațiilor
• Protecția și controlul informațiilor
• criterii comune
• Criterii de determinare a securității sistemelor informatice
• Prevenirea scurgerilor de informații
• Standardul Băncii Rusiei pentru asigurarea securității informațiilor organizațiilor sistemului bancar al Federației Ruse (STO BR IBBS)
• Infracțiuni în domeniul securității tehnice a sistemelor
• Standardul SCAP
• Modele de evaluare a valorii informaţiei
• Politica de informare a statului
• Doctrina Securității Informaționale a Federației Ruse
• Securitatea calculatorului
• (ISC)²
• Registrul unificat al software-ului rusesc

Note

Comentarii

1. ↑ În jargonul profesional al securității informațiilor, infractorii cibernetici sunt adesea numiți pălărie neagră din  engleză.  -  „pălărie neagră” [11] .
2. ↑ Codul penal rus definește „Frauda în domeniul informațiilor informatice” ca:

   ... sustragerea proprietății altcuiva sau dobândirea dreptului asupra proprietății altcuiva prin introducerea, ștergerea, blocarea, modificarea informațiilor informatice sau interferarea în alt mod cu funcționarea mijloacelor de stocare, prelucrare sau transmitere a informațiilor informatice sau a rețelelor de informații și telecomunicații...

   - partea 6 a art. 159 din Codul penal al  Federației Ruse
3. ↑ În Rusia, sunt uniți în specializarea științifică „05.13.19 Metode și sisteme de protecție a informațiilor, securitatea informațiilor”, care, însă, nu include cercetări în domeniul criptografiei , algoritmi și metode de protecție a informațiilor criptografice [42] .
4. ↑ În 2015, au fost înlocuite cu opt noi: conștientizare, competențe și autoritate ; responsabilitatea ; drepturile omului și valorile fundamentale ; cooperare ; ciclul de evaluare și management al riscului ; masuri de securitate ; inovare ; asigurarea pregătirii și continuității [58] .
5. ↑ În GOST R ISO / IEC 27000-2012 , termenul de non-repudiare este tradus din engleză prin non- repudiare ocazională [55] .

Surse

1. ↑ 1 2 3 NIST IR 7298 r2, 2013 , pp. 94-95.
2. ↑ Andrew, 2014 .
3. ↑ NIST IR 7298 r2, 2013 , p. 164.
4. ↑ Schlienger, 2003 , pp. 46-52.
5. ↑ 1 2 3 Samonas, 2014 , pp. 21–45.
6. ↑ Jacques, 2016 .
7. ↑ Petty, 2017 .
8. ↑ Fornie, 2017 .
9. ↑ Frost & Sullivan, 2017 , p. 2.
10. ↑ 12 Olavsrud , 2017 .
11. ↑ Moore, 2011 .
12. ↑ Europol, 2017 .
13. ↑ Stewart, 2015 , pp. 882–883.
14. ↑ Ramzan, 2010 , p. 433.
15. ↑ Van der Merwe, 2005 , pp. 249-254.
16. ↑ Dawes, 2012 .
17. ↑ Provos, 2012 .
18. ↑ Furtul de identitate .
19. ↑ Dubal .
20. ↑ Hoofnagle, 2007 .
21. ^ Armstrong, 2017 .
22. ↑ Gorodyansky, 2013 .
23. ↑ Zemskaya, 2005 .
24. ↑ Gordon & Loeb, 2002 .
25. ↑ Stewart, 2015 , pp. 72.
26. ↑ Suetonius Tranquill, 1964 .
27. ↑ Singh, 2009 .
28. ^ Johnson, 1998 .
29. ↑ Izmozik, 2015 .
30. ↑ Soboleva, 2002 .
31. ↑ Tokareva, 2012 , p. 82-107.
32. ↑ Nosov, 2002 .
33. ↑ Hastedt, 2011 , p. 589-590.
34. ↑ Personal. Bătălia pe cele șapte mări. — P. 86
35. ↑ Iezhov, 2007 .
36. ↑ Singh, 2009 , p. treizeci.
37. ↑ Sebag–Montefiore, 2011 , p. 162.
38. ↑ Singh, 2009 , p. 35.
39. ↑ Jhelnikov, 1996 .
40. ↑ Singh, 2009 , p. 191-201.
41. ↑ Anin, 2000 , p. 67-70.
42. ↑ VAK .
43. ↑ De Nardis, 2007 , pp. 681–704.
44. ↑ 1 2 3 4 5 6 Khorev A. A. Organizarea protecției informațiilor confidențiale într-o structură comercială  // Protecția informațiilor. În interior  : revistă. - 2015. - Nr. 1 . - S. 14-17 . — ISSN 2413-3582 . (Rusă)
45. ↑ 1 2 3 GOST R ISO/IEC 27000-2012 , p. 1-3.
46. ↑ ISACA .
47. ↑ Pipkin, 2000 .
48. ↑ Blakley, McDermott & Geer, 2001 .
49. ↑ Anderson, 2003 .
50. ↑ Venter & Eloff, 2003 .
51. ↑ Cherdantseva, 2013 .
52. ↑ Șușkov și Sergheev, 2016 , p. 69-76.
53. ↑ Saltzer & Schroeder, 1975 .
54. ↑ 1 2 GOST R ISO/IEC 27000-2012 , p. 2.
55. ↑ 1 2 GOST R ISO/IEC 27000-2012 , p. 3.
56. ↑ 1 2 3 Lukatsky, 2012 .
57. ↑ OCDE, 2002 , pp. 9-12.
58. ↑ OCDE, 2015 , pp. 9-11.
59. ↑ NIST SP 800-14, 1996 , pp. 4-10.
60. ↑ NIST SP 800-160v1, 2016 , p. 205.
61. ↑ Parker, 1998 .
62. ↑ Slade .
63. ↑ Hughes & Cybenko, 2013 .
64. ↑ ZECI .
65. ↑ Teplow .
66. ↑ O-ISM3v2, 2017 .
67. ↑ Gordon, 2015 , p. opt.
68. ↑ Krutz & Vines, 2003 , capitolul 1, p. unu.
69. ↑ 1 2 3 Gordon, 2015 , p. 7.
70. ↑ 12 Stewart , 2015 , p. 5.
71. ↑ Gordon, 2015 , p. 7-8.
72. ↑ McCarthy, 2006 , p. 65.
73. ↑ 12 McCullagh & Caelli , 2000 .
74. ↑ 1 2 3 Domarev V.V. Securitatea tehnologiilor informaționale. Abordare sistem (link inaccesibil) . www.security.ukrnet.net _ Preluat la 10 mai 2013. Arhivat din original la 10 mai 2013.  (Rusă)   - K .: OOO TID Dia Soft, 2004. - 992 p.
75. ↑ Lapina M. A., Revin A. G., Lapin V. I. Dreptul informației. M.: UNITATEA-DANA, Drept și Drept, 2004.
76. ↑ Securitatea informației în sistemele moderne de gestionare a bazelor de date . www.compress.ru _ Preluat la 13 ianuarie 2019. Arhivat din original la 7 mai 2019. (Rusă)
77. ↑ Securitatea organizațională în întreprindere: securitate pe hârtie și practică . infosec.ru . Consultat la 13 ianuarie 2019. Arhivat din original la 25 aprilie 2014. (Rusă)
78. ↑ Rusinov S. Asigurarea securității informaționale a întreprinderilor comerciale, a rețelelor comerciale și a infrastructurii acestora: http://www.itsec.ru/articles2/Inf_security/infosec-torg Copie de arhivă din 4 aprilie 2016 pe Wayback Machine
79. ↑ Melnikov V.P., Kleymenov S.A., Petrakov A.M. Securitatea informațiilor și protecția informațiilor Ed. III. Proc. Alocație pentru studenți. superior manual stabilimente/V. P. Melnikov, S. A. Kleymenov, A. M. Petrakov.-M.: 2008. — 336 p.
80. ↑ Asigurarea securității informațiilor: http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnosti.html Arhivat 7 aprilie 2016 la Wayback Machine .

Literatură

• Gaius Suetonius Tranquill . Cartea Unu // Viața celor Doisprezece Cezari  = De vita XII caesarvm: [trad. din  lat. ] / traducere de Gasparov M .. - M .  : Editura „Nauka”, 1964. - 374 p. - (Monumente literare).
• Singh, Simon. Cartea Cifrului  : Istoria secretă a cifrurilor și descifrarea lor. - M .  : Editura „AST”, 2009. - 448 p. — ISBN 5-17-038477-7 .
• Izmozik, V. S. „Cabinete negre”: o istorie a citirii ruse. XVIII - începutul secolului XX. - M .  : New Literary Review, 2015. - ISBN 978-5-4448-0392-9 .
• Jhelnikov V. Limba de comunicare // Criptografia de la papirus la computer . - M. : ABF, 1996. - 335 p. - ISBN 5-87484-054-0 .
• Anin, B. Yu . „Marfinskaya Sharazka” // Spionaj electronic. -M . : Tsentrpoligraf, 2000. - 491, [2] p., [8] l. bolnav., port. - (Doar secret). —10.000 de exemplare.  —ISBN 5-227-00659-8.
• Nosov V. A. O scurtă prezentare istorică a dezvoltării criptografiei // Universitatea din Moscova și dezvoltarea criptografiei în Rusia, Universitatea de Stat din Moscova, 17-18 octombrie 2002: materiale de conferință. - 2002. - S. 20-32.
• Tokareva N. N. Despre istoria criptografiei în Rusia  // Matematică discretă aplicată. - 2012. - Decembrie ( Nr. 4 (18) ).
• Alexey Lukatsky. Triada „confidențialitate, integritate, disponibilitate”: de unde vine? // SecurityLab.ru . - 2012. - 20 septembrie.
• Fundamentele conceptuale ale securității informaționale a Federației Ruse / Shushkov G. M., Sergeev I. V. // Probleme de actualitate ale activităților științifice, științifice și pedagogice ale tinerilor oameni de știință: o colecție de lucrări științifice ale celei de-a III-a conferințe științifice și practice de corespondență din toată Rusia (11/23 /2015 - 30.12.2015 ., Moscova) / ed. ed. E.A. Pevtsova; redacție: E.A. Kurenkova și alții.- M .  : IIU MGOU, 2016. - ISBN 978-5-7017-2532-2 .
• Yezhov, M. Yu. Unul dintre miturile despre crucișătorul „Magdeburg” // Întrebări de istorie . - 2007. - Emisiune. 2. - S. 152-156. — ISSN 0042-8779 .
• 13.05.19 Metode și sisteme de securitate a informațiilor, securitatea informațiilor  : [DOC] // Comisia Superioară de Atestare (HAC). — Data accesului: 19.07.2018.
• GOST R ISO/IEC 27000-2012: Tehnologia informației (IT). Metode și mijloace de asigurare a securității. Sisteme de management al securității informațiilor. Prezentare generală și terminologie  : [PDF] // Rosstandart . — Data accesului: 20.07.2018.

în limbi străine

• Andress, J. Bazele securității informațiilor: înțelegerea elementelor fundamentale ale InfoSec în teorie și practică . - Syngress, 2014. - 240 p. — ISBN 9780128008126 .
• Stewart, James Michael. CISSP® : Certified Information Systems Security Professional Study Guide : [ ing. ]  / James Michael Stewart, Mike Chapple, Darril Gibson. — Ediția a șaptea. — Canada: John Wiley & Sons, Inc., 2015. — 1023 p. - ISBN 978-1-119-04271-6 .
• Moore, Robert. Crima cibernetică: Investigarea criminalității informatice de înaltă tehnologie: [ ing. ] . — Ed. a II-a. - Boston : Anderson Publ., 2011. - 318 p. — ISBN 9781437755824 .
• Atacurile de tip phishing și contramăsuri  / Ramzan, Zulfikar // Handbook of Information and Communication Security : [ ing. ]  / Peter Stavroulakis, Mark Stamp. - L.  : Springer Science & Business Media, 2010. - 867 p. - ISBN 978-3-642-04117-4 .
• Johnson, John. The Evolution of British Sigint  : 1653–1939: [ ing. ] . - Biroul Staționar al Majestății Sale, 1998. - 58 p.
• Soboleva, T. A. Introducere // Istoria afacerii de criptare în Rusia . - M.  : OLMA-Press, 2002. - 510 p. — ISBN 5224036348 .
• Personal, Gary. Bătălia pe cele șapte mări: bătălii cu crucișătoare germane, 1914-1918. - Barnsley: Pen & Sword Books, 2011. - 224 p. — ISBN 978-1848841826 .
• Actul Secretelor Oficiale (1889; Nou 1911; Modificat 1920, 1939, 1989) // Spioni, interceptări telefonice și operațiuni secrete: O enciclopedie a spionajului american / editor Hastedt, GP. - Santa Barbara, CA, SUA : ABC-CLIO, LLC, 2011. - Vol. 2. - ISBN 978-1-85109-807-1 .
• Sebag Montefiore, Hugh. Enigma: Bătălia pentru Cod. — Orion, 2011. — 576 p. — ISBN 9781780221236 .
• Pipkin, Donald L. Securitatea informațiilor  : Protejarea întreprinderii globale: [ ing. ] . - N. Y.  : Prentice Hall PTR, 2000. - 364 p. — ISBN 9780130173232 .
• Ghidul oficial (ISC)²® pentru CISSP® CBK® : Ediția a patra : [ ing. ]  / Adam Gordon, editor. - Boca Raton, FL, SUA : CRC Press, 2015. - 1278 p. - ISBN 978-1-4822-6275-9 .
• Parker, Donn B. Combaterea criminalității informatice  : un nou cadru pentru protejarea informațiilor: [ ing. ] . - N. Y.  : John Wiley & Sons , 1998. - 528 p. - ISBN 0-471-16378-3 .
• Krutz, Ronald L. Ghidul de pregătire CISM  : Stăpânirea celor cinci domenii ale managementului securității informațiilor: [ ing. ]  / Ronald L. Krutz, Russell Dean Vines. - N. Y.  : John Wiley & Sons , 2003. - 433 p. - ISBN 0-471-45598-9 .
• McCarthy, C. Biblioteci digitale: Considerații privind securitatea și conservarea // Manual de securitate a informațiilor, amenințări, vulnerabilități, prevenire, detectare și management  : [ ing. ]  / Bidgoli, H.. - John Wiley & Sons, 2006. - Vol. 3. - ISBN 9780470051214 .
• Schlienger, Thomas. Cultura securității informațiilor  : De la analiză la schimbare : [ ing. ]  / Thomas Schlienger, Stephanie Teufel // South African Computer Journal. - Pretoria, Africa de Sud, 2003. - Vol. 31.
• Samonas, S. CIA Strikes Back  : Redefinirea confidențialității, integrității și disponibilității în securitate : [ ing. ]  / Samonas, S., Coss, D. // Journal of Information System Security. - Washington DC, SUA : Information Institute Publishing, 2014. - Vol. 10, nr. 3.
• Jacques, RJ Costurile adevărate ale afacerilor bazate pe hârtie  : [ ing. ]  // Blogul Fulcrum. - Spatial Networks, Inc., 2016. - 13 ianuarie. — Data accesului: 27.06.2018.
• Mărunțiș, Christy. Gartner spune că disruptoarele digitale afectează toate industriile; KPI-urile digitale sunt esențiale  pentru măsurarea succesului ] . - Gartner, Inc., 2017. - 2 octombrie. — Data accesului: 27.06.2018.
• Forni, Amy Ann, van der Meulen, Rob. Sondajul Gartner arată că 42% dintre directori executivi au început transformarea afacerilor  digitale ] . - Gartner, Inc., 2017. - 24 aprilie. — Data accesului: 27.06.2018.
• 2017 Global Information Security Workforce Study: Benchmarking Workforce Capacity and Response to Cyber ​​​​Risk - EMEA  : [PDF] : [ ing. ]  // (ISC)² . - Frost & Sullivan, 2017. - Data accesului: 27.06.2018.
• Criminalitatea în era tehnologiei: evaluarea Europol a amenințărilor cu criminalitatea organizată și gravă 2017  : [ ing. ]  : comunicat de presă. - Europol , 2017. - 9 martie. — Data accesului: 27.06.2018.
• Olavsrud, Thor. 5 amenințări la securitatea informațiilor care vor domina 2018  : [ ing. ]  // CIO.com . Preluat: 13 ianuarie 2019. (nedefinit) . - IDG Communications, Inc., 2017. - 20 noiembrie. — Data accesului: 27.06.2018.
• Zemskaya, E. A. Caracteristici ale discursului rus al emigranților din al patrulea val . - Gramota.ru , 2005. - 9 aprilie. — Data accesului: 27.06.2018.
• Gordon, Lawrence. Economia investițiilor în securitatea informațiilor: [ ing. ]  / Lawrence Gordon, Martin Loeb // Tranzacții ACM privind securitatea informațiilor și a sistemului. - 2002. - Vol. 5, nr. 4 (noiembrie). - doi : 10.1145/581271.581274 .
• Van der Merwe, Alta. Caracteristici și responsabilități implicate într-un atac de tip phishing  : [ ing. ]  / Loock, Marianne, Dabrowski, Marek // WISICT '05 Proceedings of the 4th international simpozium on Information and communication technologies. - Cape Town, Africa de Sud, 2005. - 3 ianuarie. - P. 249-254. — ISBN 1-59593-169-4 .
• Hoofnagle, Chris Jay. Furtul de identitate: a face cunoscute necunoscutele cunoscute  : [ ing. ]  // Rețeaua de cercetare în științe sociale. - Berkeley, CA, SUA : Universitatea din California, 2007. - 13 martie. — Data accesului: 07.04.2018.
• Armstrong, Drew. My Three Years in Identity Theft Hell  : [ arh. 19.09.2017 ] : [ ing. ] . — Bloomberg, 2017. — 17 septembrie. — Data accesului: 07.04.2018.
• Gorodyansky, David. Confidențialitate și securitate pe Internet: O responsabilitate comună  : [ ing. ]  // wired.com . - 2013. - 10. - Data accesului: 07/04/2018.
• Securitatea informației este managementul riscului informațional  / Bob Blakley, Ellen McDermott, Dan Geer // Proceedings of the 2001 workshop on New security paradigmes. - N. Y.  : ACM, 2001. - P. 97-104. - ISBN 1-58113-457-6 .
• Anderson, JM De ce avem nevoie de o nouă definiție a securității informațiilor // Computers & Security. - 2003. - Vol. 22, nr. 4. - P. 308-313. - doi : 10.1016/S0167-4048(03)00407-3 .
• Venter, HS O taxonomie pentru tehnologiile de securitate a informațiilor / HS Venter, JHP Eloff // Computere și securitate. - 2003. - Vol. 22, nr. 4. - P. 299-307. - doi : 10.1016/S0167-4048(03)00406-1 .
• Chapter 24: A History of Internet Security / De Nardis, L. // The History of Information Security: A Comprehensive Handbook / editat de de Leeuw, KMM și Bergstra, J.. - Elsevier, 2007. - ISBN 9780080550589 .
• Cherdantseva, Y. Securitatea Informaţiei şi Asigurarea Informaţiei. Discuția despre semnificația, domeniul de aplicare și obiectivele // Dimensiunile organizaționale, juridice și tehnologice ale administratorului sistemului informațional / Y. Cherdantseva, J. Hilton. — IGI Global Publishing, 2013.
• Saltzer, H. Saltzer. Protecția informațiilor în sistemele informatice  : [ ing. ]  / H. Saltzer Saltzer, Michael D. Schroeder // Proceedings of the IEEE. - SUA: IEEE , 1975. - Vol. 63, nr. 09 (septembrie). - P. 1278-1308. — ISSN 1558-2256 .
• Hughes, J. Cantitative Metrics and Risk Assessment  : The Three Tenets Model of Cybersecurity : [ ing. ]  / J. Hughes, G. Cybenko // Analiza managementului inovației tehnologice. - Ottawa, Canada : Talent First Network (Universitatea Carleton), 2013. - August. - P. 15-24. — ISSN 1927-0321 .
• McCullagh, Adrian. Non-Repudierea în mediul digital  : [ ing. ]  / Adrian McCullagh, William Caelli // Analiza managementului inovației tehnologice. - Chicago, SUA: Prima luni, 2000. - Vol. 8, nr. 8 (august). — ISSN 1396-0466 .
• NIST Interagency sau Internal Report 7298  : Glosar al termenilor cheie de securitate a informațiilor : [ ing. ]  / Richard L. Kissel, editor, Divizia Securitate Calculatoare, Laboratorul de Tehnologia Informației. - Revizia 2. - Gaithersburg, MD, SUA: Institutul Național de Standarde și Tehnologie , 2013. - 222 p.
• Publicația specială NIST 800-14  : Principii și practici general acceptate pentru securizarea sistemelor de tehnologie a informației: [ ing. ] . - Gaithersburg, MD, SUA : Institutul Naţional de Standarde şi Tehnologie, 1996. - 61 p.
• Publicația specială NIST 800-160  : Ingineria securității sistemelor: Considerații pentru o abordare multidisciplinară în ingineria sistemelor sigure de încredere : ] . - Gaithersburg, MD, SUA : Institutul Național de Standarde și Tehnologie, 2016. - Vol. 1. - 260 p.
• Liniile directoare OCDE pentru securitatea sistemelor și rețelelor informaționale  : către o cultură a securității : [ ing. ] . - P.  : Publicaţii OCDE, 2002. - 30 p.
• Managementul riscurilor de securitate digitală pentru prosperitatea economică și socială  : Recomandarea OCDE și documentul însoțitor : [ ing. ] . - P.  : Editura OCDE, 2015. - 74 p.
• Open Group Standard  : Open Information Security Management Maturity Model (O-ISM3), Versiunea 2.0 : [ ing. ] . - Reading, Berkshire, Regatul Unit: The Open Group , 2017. - 130 p. — ISBN 1-937218-98-0 .

Link -uri

• Revizuire. Mijloace de protectie a informatiilor si afacerilor 2006 . www.cnews.ru _ Preluat: 13 ianuarie 2019. (Rusă) CNews
• Glosar al termenilor de securitate și criptografie (link indisponibil) . www.profinfo.ru _ Consultat la 13 ianuarie 2019. Arhivat din original pe 9 ianuarie 2006.  (Rusă)  Institutul European pentru Standarde de Telecomunicații
• Doctrina Securității Informaționale a Federației Ruse . web.archive.org . Data accesului: 13 ianuarie 2019. (nedefinit)
• Proiect de concept de îmbunătățire a suportului juridic al securității informațiilor din Federația Rusă . web.archive.org . Data accesului: 13 ianuarie 2019. (nedefinit)
• Legea federală a Federației Ruse din 27 iulie 2006 N 149-FZ privind informațiile, tehnologiile informaționale și protecția informațiilor . www.e-nigma.ru _ Data accesului: 13 ianuarie 2019. (Rusă)
• Provos, Niels. Navigare sigură - Protejarea utilizatorilor web timp de 5 ani și în număr  : [ ing. ]  // Blogul de securitate Google. - 2012. - 19 iunie. — Data accesului: 07.04.2018.
• Dawes, Adam. O nouă lovitură împotriva phishing-ului prin e-mail  : [ ing. ]  // Blogul de securitate Google. - 2012. - 29 ianuarie. — Data accesului: 07.04.2018.
• Dubal, Uttam, Rigot, Stu. Furt de identitate sintetică  (link indisponibil)  : [ arh. 10/09/2015 ] : [ ing. ]  // Cyber ​​​​Space Times. — Data accesului: 07.04.2018.
• Furtul de identitate  : [ engleză ] ]  // Merriam-Webster.com. — Merriam-Webster . — Data accesului: 07.04.2018.
• Glosar : Securitatea informațiilor  : [ ing. ]  // www.isaca.org. — ISACA . — Data accesului: 21.08.2018.
• Slade, Rob. CIA TRIADA VERSUS PARKERIAN  HEXAD ]  // (ICS)2 Blog. - 2008. - 15 decembrie. — Data accesului: 09.07.2018.
• Cele trei principii  : [ ing. ]  // Securitatea nodului final de încredere. — D.O.D. _ — Data accesului: 08.09.2018.
• Teplow, Lily. Clienții tăi se îndrăgostesc de aceste mituri de securitate IT? [CHART ]: [ engleză ] ]  // Blogul Continuum. - Boston, MA, SUA : Continuum Managed Services, 2016. - 18 noiembrie. — Data accesului: 08.09.2018.

Dicționare și enciclopedii	mare chinezesc Rusă mare
În cataloagele bibliografice	NKC : ph136652

Securitatea informațiilor
Mijloace de protecție împotriva accesului neautorizat	Drepturi de acces Controlul accesului obligatoriu Control selectiv al accesului Controlul accesului bazat pe roluri
informație	Securitatea informațiilor Securitatea internetului Securitatea retelei Canale de scurgere de informații Protecția informațiilor în rețelele locale Securitate Wi-Fi Securitate în rețelele WiMAX Internet of Things Security Canale de scurgere de informații transmise prin linii optice de comunicație Analiza securității bazei de date
Protecţie	Program antivirus Firewall Sistem de detectare a intruziunilor Prevenirea scurgerilor
Vulnerabilități	Programare sigură bug de securitate Eroare software Vulnerabilitate Exploata Vulnerabilitate zi zero Testare de securitate Bugtraq OWASP Program de recompensă pentru erori