Примеры информационной инфраструктуры

Информационная инфраструктура

Что такое информационная инфраструктура?

Многие понимают под защитой информации процесс, при котором происходит предотвращение угроз, устранение уязвимостей, управление рисками и прочая полезная и интересная работа. Вместе с тем не все понимают, что именно входит в «зону защиты».

Прежде всего специалисты по информационной безопасности занимаются обеспечением безопасности информационной инфраструктуры. В настоящее время существует несколько определений данного термина, и общий посыл в них один: информационная инфраструктура – это то, с помощью чего пользователи этой самой инфраструктуры получают доступ к информации.

Примеры информационной инфраструктуры

После такого определения появляется разумный вопрос: а с помощью чего пользователи получают доступ к информации?

Для ответа на этот вопрос смоделируем ситуацию, в которой один пользователь (назовём его пользователь А) отправляет электронное письмо другому пользователю (назовём его пользователь Б). Электронное письмо набирается на персональном компьютере пользователя А, то есть создается с участием аппаратного (пользуемся железом компьютера) и программного (пользуемся браузером) обеспечения. Письмо отправляется на почтовый сервер, который может быть физическим или виртуальным, по линиям связи и с помощью сетевого оборудования. С почтового сервера письмо по линиям связи и через сетевое оборудование отправляется на мобильный телефон пользователя Б, где есть своё аппаратное и программное обеспечение.

Весь путь, который проходит электронное письмо, пролегает по информационной инфраструктуре. К её базовым элементам можно причислить следующие:

  • аппаратное обеспечение;
  • системное программное обеспечение (операционные системы);
  • прикладное программное обеспечение (информационные системы);
  • сетевые сервисы;
  • линии связи;
  • сетевое оборудование;
  • среда виртуализации (опционально).

В настоящее время также активно используются элементы облачной инфраструктуры. Важно понимать, что облака представляют собой те же самые физические либо виртуальные серверы и отличаются от физической инфраструктуры только местом своего расположения.

Защита информационной инфраструктуры

Разумеется, информацию необходимо защищать в рамках каждого элемента информационной инфраструктуры. Так, на уровне операционной системы применяют антивирусы, а на уровне сети IPS-системы. Более того, зона защиты должна распространяться ещё и на пользователей инфраструктуры, но пользователи являются отдельными сущностями.

Итак, далеко ли мы ушли от истины? Для ответа на этот вопрос обратимся к нормативной базе.

ГОСТ Р 53114-2008: совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

СТО БР ИББС-1.0-2014: система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия

ГОСТ 57580.1-2017 не даёт чёткого определения понятию, но разбивает его на следующие уровни:

а) системные уровни:

  • уровень аппаратного обеспечения;
  • уровень сетевого оборудования;
  • уровень сетевых приложений и сервисов;
  • уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
  • уровень операционных систем, систем управления базами данных, серверов приложений;

б) уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.

Как мы видим, из определений стандартов вполне логично выводятся наши элементы, выделенные при передаче электронного письма. В то же время из состава информационной инфраструктуры однозначно не вытекает стратегия её защиты. Разработка такой стратегии лежит уже на специалисте по информационной безопасности – и тот может выбрать как стандартную стратегию эшелонированной защиты с обеспечением безопасности ПК/сетевого периметра/сервера с данными, так и, например, концепцию нулевого доверия с реализацией двусторонней аутентификации на всех уровнях взаимодействия. Суть не меняется: необходимо защитить весь путь, который проходит информация.


Вам также могут быть интересны статьи:

Аксенов Максим Валерьевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка соответствия по 683-П

Оценка соответствия требованиям Положения Банка России №683-П

Подробнее

Оценка соответствия по 672-П (747-П)

Оценка соответствия требованиям Положения Банка России №672-П (747-П)

Подробнее

Аудит ЕБС (приказ № 321 Минкомсвязи России)

Оценка соответствия в сегменте Единой Биометрической Системы в соответствии с Приказом №321 Минкомсвязи России

Подробнее

Оценка соответствия по 684-П (757-П)

Оценка уровня информационной безопасности предприятия и организации (НФО) по 684-П (757-П)

Подробнее

Оценка соответствия по 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее