Компания по разработке по для сторонних организаций объекты информационной безопасности

Вопросы технического обеспечения информационной безопасности предприятия решают не только ИТ-подразделения. В безопасном использовании информационных ресурсов заинтересовано руководство и другие службы компании. 

Концепция защиты

Реализация стратегии защиты начинается с разработки Концепции информационной безопасности, которая включает:

• принципы отнесения объектов инфраструктуры, программных, информационных и физических, к критичным, нуждающимся в повышенной защите; 
• основные принципы и способы защиты, механизмы выстраивания правил, по которым производится внедрение отдельных защитных элементов;
• модель угроз, типовой профиль нарушителя безопасности;
• требования к безопасности, сформированные по результатам аудита рисков;
• все меры защиты, предполагаемые для реализации;
• дополнительная к принятой в рамках действующего законодательства ответственность за соблюдение мер информационной безопасности и утечку данных.

Концепция принимается на уровне высшего руководства предприятия и должна пересматриваться по мере эволюции информационной инфраструктуры и изменения модели угроз. На первом этапе для ее разработки собираются мнения всех подразделений, заинтересованных в системном решении задачи технического обеспечения информационной безопасности. В дальнейшем задача ее доработки по итогам контроля работоспособности может быть возложена на курирующее ИТ-подразделение.

Объекты защиты

Неожиданным для сотрудников ИТ-подразделений, но важным для экономической безопасности предприятия становится такой объект защиты, как вложенные в создание технической инфраструктуры инвестиции. Их окупаемость должна стать одной из важных задач предприятия, недопустима избыточность, при которой ИБ становится самоцелью, отнимая ресурсы у бизнес-процессов. 

Экономический эффект от внедрения системы технической защиты конфиденциальных данных проявляется в:

• доступности информации, когда ИТ-инфраструктура предприятия позволяет в любое время получить необходимые сведения. Пример несоответствия инфраструктуры критериям доступности – сайт Росреестра, информацию с которого иногда не могут получить даже Служба судебных приставов и Правительство Москвы, что привлекло внимание Контрольного управления Администрации Президента;
• в целостности данных, отсутствии сбоев или постороннего вмешательства в их структуру, вызвавших искажение сведений, которое может привести к некорректности, принимаемых решений на их основе. В том же Росреестре на запрос выписки по объекту недвижимости в Рязани из-за сбоев в системе клиент может получить сведения о квартире в Уфе; 
• конфиденциальности информации. Соблюдение этого требования поможет избежать убытков от хищения конфиденциальной информации и штрафов в результате нарушения требований законодательства о персональных данных;
• отсутствии возможностей отказаться от совершенной операции, это важно, например, при использовании онлайн-платежей;
• аутентичности или полноценной системе подтверждения подлинности информации или электронных сообщений.

Традиционно объектами защиты становятся:

• узлы ИС (серверы, рабочие станции);
• технические средства, маршрутизаторы;
• каналы связи, протоколы удаленного доступа;
• программные средства, вне зависимости от того, разработаны они самостоятельно или сторонними разработчиками;
• базы данных, собственные и находящиеся в облаке;
• методы защиты данных.

Часто объекты разнесены в пространстве, на промышленных предприятиях многие из них могут находиться в труднодоступных местах. Каждый объект защиты должен быть описан в концепции обеспечения безопасности с учетом его относительной ценности и возможности замены.

Классификация пользователей 

Часто выбор технического обеспечения информационной безопасности предприятия зависит от типов пользователя и количества групп пользователей на предприятии. В общем значении под пользователем подразумевается сотрудник, идентифицируемый в системе под собственным логином и паролем и имеющий доступ к данным в соответствии со своими служебными обязанностями. Технические и программные средства защиты информации должны давать возможность не только идентифицировать пользователей, но и разграничивать их доступ к данным разной категории. 

В обычной компании достаточно выделить лица с правами пользователей и с правами администраторов. На производственном предприятии выделяют следующие группы пользователей:

• руководство;
• инженеры и разработчики;
• наладчики оборудования;
• персонал, обслуживающий оборудование, в том числе движущиеся объекты;
• офисный персонал;
• сотрудники компаний-аутсорсеров. 

Для всех необходимо установить правила допуска, а также регламент их изменения. Права предоставляются по принципу минимально необходимых для решения служебных задач. Наиболее простое решение – открыть доступ пользователям к ресурсам исходя из типа программных модулей. К специализированным модулям относятся АСУ, банковские программы, системы управления безопасностью, к общедоступным – программы электронного документооборота (ЭДО), CRM-системы, корпоративная электронная почта.

Группа администраторов в ИТ-подразделении также не едина, в зависимости от сложности задач, стоящих перед службой, внутри нее могут выделяться отделы:

• развития и технической эксплуатации ИС;
• информационной безопасности;
• мониторинга угроз и инцидентов;
• технической поддержки пользователей;
• информационно-аналитический.

Также в отдельную группу выделяют сотрудников филиалов и удаленных рабочих мест. 

Функционал каждого подразделения в части технического обеспечения информационной безопасности предприятия прописывается в общем положении и должностных инструкциях сотрудников.

Корпоративная сеть предприятия

ИС выступает самостоятельным объектом защиты, так как необходимо обеспечить ее целостность на основе сетевого протокола TCP/IP. 

При формировании архитектуры выделяются адресные пространства:

• выделенные филиалам и обособленным подразделениям;
• выделенные аппарату управления компании;
• для адресации магистрального сегмента корпоративной сети;
• резервное.

Такая сегментация позволяет разделять группы пользователей межсетевыми экранами и обеспечить самостоятельный запуск отдельных приложений.

Технологические элементы сетей

Верные технологические решения обеспечивают работоспособность сети в целом, четкость бизнес-процессов, устойчивое качество работы приложений и сохранность информации. 

Базовые структурные единицы ИС, общие для всех типов компаний:

• серверы – делятся на группы поддержки специализированных приложений, поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети;
• рабочие станции пользователей. В структуре ИС учитываются и станционарные компьютеры, и мобильные устройства;
• IP-телефония и периферийное оборудование к ней;
• линии связи, магистральные каналы обмена данными. Их работоспособность обеспечивает сетевое оборудование, чаще всего поставляемое компанией Cisco Systems Inc.

Для обеспечения работоспособности технологических элементов системы ответственному за это сотруднику требуются навыки инженера и работающая модель мониторинга, сканеры которой будут выявлять отклонения от заданных параметров работы. Информационные ресурсы требуют иного подхода к защите.

Информационные ресурсы предприятия

Ценность данных, обрабатываемых в локальной сети, каждая компания, разрабатывающая систему ИБ, определяет исходя из бизнес-целей. 

Часто выделяются следующие группы информационных ресурсов:

• персональные данные сотрудников и клиентов, режим защиты которых определен законодательством Российской Федерации;
• данные, относящиеся к государственной тайне;
• служебная информация;
• коммерческая тайна предприятия, для ее защиты необходимо ввести режим охраны коммерческой тайны;
• внутренняя переписка сотрудников, письма в их электронной почте;
• конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, защищаемую патентами или относящуюся к конфиденциальным данным.

Объекты защиты могут структурироваться и храниться в базах данных, управляемых СУБД, а могут находиться в разрозненном виде на компьютерах сотрудников. Аудит информационных ресурсов поможет составить представление об объекте охраны и выработать оптимальный механизм защиты. Большие объемы данных, относящихся к общедоступным, не требуют дополнительной защиты и отвлечения ресурсов на эти задачи. 

Выстраивая модель защиты информации, необходимо обратить внимание на структуру информационных потоков, циркулирующих внутри предприятия и поступающих из внешних источников. 

Отслеживать необходимо следующие внутренние потоки:

• передача файлов между файловыми серверами и АРМ пользователей по протоколу SMB (протокол открытого обмена информацией между АРМ и серверами на основе стека TCP/IP);
• файлы в системе электронного документооборота;
• пересылка сообщений электронной почты посредством хешированного соединения программного обеспечения Lotus Notes или аналогичных офисных программ;
• передача юридической и справочной информации между серверами БД (на которых установлены программы типа «Консультант» или «Гарант», иные базы данных) и пользовательскими рабочими станциями; 
• деловая переписка в рамках корпоративных систем обмена сообщениями, на рабочих форумах;
• передача оперативной информации от пользователей в специализированные системы учета и отчетности, например, «1С Склад» или «1С Предприятие»;
• передача данных между головным подразделением и региональными структурами;
• передача бухгалтерской и налоговой информации между пользовательскими рабочими станциями и сервером БД в рамках автоматизированных систем бухгалтерского учета.

В рамках внешних потоков информации, подлежащих особенной защите, выделяют:

• взаимодействие с банками по системе платежей Банк-Клиент;
• передача бухгалтерской, налоговой, статистической отчетности в ФНС и внебюджетные фонды;
• торговые трансакции при проведении сделок по продаже товаров или услуг в Интернете;
• взаимодействие с клиентами по электронной почте;
• взаимодействие по Интернету с биржами и торговыми площадками для участия в тендерах или закупках;
• направление отчетной информации в проверяющие организации.

Эти виды коммуникации содержат большие объемы конфиденциальной информации, которую необходимо защищать от утечек. 

Взаимодействие организуется по трем каналам:

• выделенный магистральный канал сообщения с корпоративной сетью с использованием протоколов VPN, скрывающих трафик;
• резервная линия связи с Интернетом;
• коммутируемый канал связи посредством использования технологии GPRS.

Совмещение этих трех защищенных каналов позволяет уберечь информацию, представляющую наибольший интерес для злоумышленников. Из средств технического обеспечения информационной безопасности предприятия дополнительно используются магистральные роутеры и межсетевые экраны. Задача регламентированного подключения пользователей к Интернету решается на основе системных политик компании.

Факторы, учитываемые при разработке стратегии ИБ

Меняющаяся реальность и увеличивающийся объем угроз побуждают организации постоянно видоизменять концепцию защиты информационных активов. 

Среди факторов внешней и внутренней среды, учет которых необходим:

• появление новых партнеров и клиентов. ФНС сегодня активно использует средства информационной разведки, выявляя ненадежных налогоплательщиков. Появление их в числе партнеров предприятия создает проблемы привлечения к налоговой ответственности, если партнер не платит НДС, его могут признать звеном в цепочке налогового планирования. Провайдеры поставляют ведомству данные об IP-адресах компаний, сдающих отчетность, и если у некоторых контрагентов они совпадают, это может стать основанием для проведения дополнительной проверки;
• автоматизация и оптимизация бизнес-процессов, для которых ранее такие решения не реализовывались, например, внедрение логистических программ и «умного» оборудования на складе;
• привлечение новых разработчиков ПО для решения технических задач, необходимость организации взаимодействия с ними;
• расширение информационной сети предприятия, появление новых подразделений и сотрудников, в том числе на удаленном доступе;
• изменение модели внешних угроз, появление новых типов атак.

Эти факторы при работе над архитектурой сети и ее техническим обеспечением требуют от ИТ-подразделения компании и подрядчиков соблюдения следующих принципов:

• простота архитектуры. Связи между компонентами должны быть реализованы по одной модели и упрощены. Количество протоколов сетевого взаимодействия требуется сокращать. С учетом требований надежности и дальнейшего развития сети все, что можно упростить, должно быть упрощено;
• проверенность решений. Новые идеи неприемлемы на производстве, где во главу угла ставится непрерывность бизнес-процессов, не апробированные многократно компоненты не должны использоваться;
• все компоненты должны быть надежными и не создающими проблем с техническим обслуживанием;
• управляемость в любых условиях, системы мониторинга должны собирать данные обо всех компонентах в режиме реального времени, выявляя уязвимости и отклонения;
• простота эксплуатации, установка «защиты от дурака» во избежание сбоя из-за ошибки пользователя или системного администратора;
• наличие нескольких рубежей обороны. Для каждого узла и объекта необходимо реализовать несколько механизмов защиты, в этом случае гипотетическому злоумышленнику для их взлома потребуются знания сразу в нескольких областях;
• непрерывность защиты в пространстве и времени. Технические работы на сервере или переустановка ПО не должны ослаблять уровень безопасности, злоумышленник, информированный о таких ситуациях, попробует ими воспользоваться;
• равномерность обороны во всех ее блоках, полное исключение несанкционированного доступа к ресурсам сети со стороны сотрудников любых уровней. Это реализуется принятием распорядительных внутренних документов и контролем за всеми подключениями;
• профилактика нарушений информационной безопасности, что помогает предотвратить возникновение рискованных ситуаций со стороны персонала. Среди мер защиты – внедрение средств идентификации и аутентификации, управление доступом, обучение персонала, разъяснения со стороны кадровых подразделений о том, что в случае возникновения инцидента информационной безопасности виновный будет привлечен к ответственности;
• минимизация привилегий. Реализация принципа «Никто не должен иметь больше полномочий, чем необходимо» станет не только основой ИБ, но и при проведении аудиторской проверки будет достаточным подтверждением того, что аудируемые данные не были изменены или скорректированы;
• экономическая целесообразность. При внедрении любой технологии безопасности необходимо проверять, не помешает ли она нормальному течению бизнес-процессов. На практике приоритет безопасности над экономическими решениями встречается только на объектах с повышенным уровнем опасности, например, на АЭС;
• непрерывность улучшения системы с опорой на лучшие зарубежные и национальные методики;
• унификация разработчиков и поставщиков, стремление к единообразию применяемых решений для всех компонентов системы.

Соблюдению этих принципов, в большей степени минимизирующих затраты, особое внимание должна уделять служба внутреннего аудита предприятия при оценке концепции.

Организация работы по созданию и внедрению Концепции

Внутренний аудит подключается к задаче оценки Концепции на одном из завершающих этапов, а его подготовка ведется департаментами ИТ и безопасности под руководством одного из заместителей директора или членов правления. Он должен отличаться достаточным уровнем компетенции и властных полномочий. Существуют государственные стандарты, описывающие подготовку технического задания при создании Концепции. Следование им сократит срок работы, так как большинство регламентов уже создано.

Руководитель проекта при подготовке основополагающего документа, содержащего основные принципы технического обеспечения информационной безопасности предприятия, определяет исполнителей, сроки и бюджет проведения мероприятий:

• назначение ответственных лиц, распределение ролей, подготовку поручений по разработке стратегии;
• разработка, согласование документов организационного характера: методик и регламентов, регулирующих поведение пользователей, – от правил работы с текстовыми документами до регламентов использования съемных носителей;
• обучение пользователей и технического персонала, подготовка к внедрению новых мер безопасности и необходимости обслуживания новой модели системы безопасности;
• проектирование и развертывание новой архитектуры системы, ее внедрение на предприятии;
• аудит внедренной модели, анализ результатов, доработка после внедрения.

Реализация процесса по четырехзвенному механизму – разработка, внедрение, анализ, доработка, помогает повысить работоспособность системы защиты уже на ранних этапах. Частные компании могут обойтись без официальных приемочных испытаний, а вот для ГИС они необходимы. 

Техническое обеспечение информационной безопасности предприятия после его внедрения призвано решить следующие задачи:

• защита периметра сетей от несанкционированных внешних вторжений и подключений. В этих целях применяются маршрутизаторы, брандмауэры, контроль удаленного доступа;
• защита серверов компании от НСД, как внешнего, так и инсайдерского, за счет внедрения систем аутентификации и модели дифференцированного доступа;
• комплексная антивирусная защита, при реализации которой решается задача защиты серверов, рабочих станций пользователей, внешнего шлюза, соединяющего с Интернетом;
• организация системы мониторинга уязвимостей и реакции на них, мгновенно оповещающей системных администраторов об угрозах. ПО, используемое для мониторинга, должно обновляться таким образом, чтобы выявлять новые угрозы;
• защита приложений и сервисов, устранение угрозы их сбоя и остановки реализации бизнес-процессов;
• защита межсетевых взаимодействий, выделение отдельных зон для запуска значимых процессов.

Аудит должен проверить выполнение всех требований и подготовить доклад с рекомендациями по дальнейшему улучшению системы.

Организационные, технические и программные средства защиты

Для любой компании реализация системы технической безопасности инфраструктуры начинается с принятия пакета прикладных организационных мер. Основным документом окажется Политика информационной безопасности, многие внутренние регламенты могут быть разработаны в качестве приложений к ней. Не рекомендуется оформлять в качестве приложений документы, разработка которых регламентирована необходимостью защиты персональных данных и выполнений требований регулятора. 

Проверяющие организации запрашивают отдельными документами:

1. Положение о порядке обработки персональных данных.
2. Положение о подразделении, которому поручена охрана персональных данных.
3. Иные документы, в частности, журнал учета движения съемных носителей.

Их отсутствие может привести к штрафам. Помимо документов, относящихся к персональным данным, необходимо разработать и внедрить:

• политику контроля и предотвращения несанкционированного доступа к информации и объектам инфраструктуры;
• методику определения степени дифференциации доступа;
• регламент управления паролями, предусматривающий обеспечение их сложности, своевременную замену, ответственность за передачу;
• политику восстановления ИС после аварий с указанием необходимых для него временных периодов;
• политику резервного копирования данных с указанием их объема, периодичности копирования, места хранения;
• методику работы с Интернетом и политику установки программного обеспечения;
• политику по работе с бумажными документами (их печать, копирование, сканирование);
• положения о подразделениях и должностные инструкции сотрудников.

Персонал должен быть ознакомлен с документами. Они должны храниться в доступном для ознакомления месте, например, на сервере компании.

Процедурные задачи

Кроме документального, решение задачи технического обеспечения информационной безопасности предприятия внедряется на процедурном уровне. Требуется:

• организовать управление персоналом на уровне, исключающем возникновение инцидентов безопасности со стороны инсайдеров;
• обеспечить физическую защиту документов и элементов инфраструктуры, в некоторых случаях и персонала. В этой же группе задач внедряются противопожарные меры и другие меры безопасности, исключающие повреждение объектов в результате аварии;
• организовать процесс постоянного поддержания работоспособности системы;
• спланировать реакцию на инциденты и дальнейшие восстановительные работы.

На программном уровне реализуются следующие шаги: 

• установка SIEM-систем, выявляющих инциденты безопасности, и DLP-систем, исключающих утечку данных из охраняемого периметра;
• внедрение межсетевых экранов (файрволов) и средств обнаружения вторжений, снижающих риск внешних атак;
• расширение пропускного канала, снижающего вероятность успешных DDoS-атак;
• установка сервиса постоянного аудита и мониторинга работоспособности системы;
• применение средств криптографической защиты, прошедших сертификацию.

Если реализация мероприятий по созданию системы технического обеспечения информационной безопасности предприятия осуществляется организацией-подрядчиком, она должна иметь лицензии. Выполнение комплекса мер позволит обеспечить защиту интересов фирмы на высшем уровне.
 

04.02.2020