Задача выстраивания системы информационной безопасности предприятий носит комплексный характер. Руководство должно оценить уровень предполагаемых рисков и выработать модель угроз. Она будет различной для каждого вида бизнеса. Общим будет то, что для причинения ущерба компании используются информационные технологии. Для обеспечения информационной безопасности нужно проведение аудита, по результатам которого вырабатывается комплекс необходимых организационных и программно-технических мер.
Угрозы информационной безопасности
Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов.
Среди актуальных внешних угроз информационной безопасности:
- кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме;
- кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;
- кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;
- DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете;
- вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах;
- дефейс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты;
- фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;
- спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;
- инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;
- потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.
Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления.
Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.
Обеспечение информационной безопасности предприятий
Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах.
Аудит
Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг.
На базовом уровне аудита необходимо выяснить:
- доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении;
- существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства;
- какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне;
- как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа;
- как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа;
- как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам;
- как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля;
- принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности.
Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение.
Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания:
- действует на высококонкурентном рынке;
- участвует в разработке научных или информационных технологий;
- обрабатывает большие объемы персональных данных.
В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив:
- наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей;
- отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон;
- используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе;
- как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию;
- реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа.
Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить:
- насколько скрупулезно реализуются требования закона «О персональных данных»;
- внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры;
- используется ли необходимое сертифицированное программное обеспечение.
Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз.
Этапы внедрения системы безопасности
Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности.
Работу необходимо проводить по следующему алгоритму:
- описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик;
- разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений;
- разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности;
- внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них.
Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия.
Организационные меры
Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы:
- общеобязательного характера;
- защищающие персональные данные;
- защищающие отдельные информационные объекты или процессы.
В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер.
Организационные меры общего характера
Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:
- общие принципы защиты информации, угрозы и цели обеспечения безопасности;
- градация информации по степени значимости для компании;
- условия доступа к данным, принципы разграничения доступа;
- правила работы с компьютерной техникой и съемными носителями;
- ответственность за нарушение требований документа.
Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.
Режим коммерческой тайны
Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии:
- ввести режим коммерческой тайны, издав соответствующий приказ;
- составить перечень сведений, относящихся к конфиденциальной информации. Многие компании совершают ошибку, относя к коммерческой тайне все виды документов и информации, которые могут вспомнить сотрудники службы безопасности. Это превращает режим защиты данных в профанацию. Создать систему защиты должного уровня для всех файлов и документов невозможно, а каждый вынос документа из офиса, например, в налоговую или на встречу с контрагентом, не отраженный в книге учета носителей коммерческой тайны, превращается в нарушение режима. Перечень данных должен быть четким и конкретным, это облегчает механизм контроля и делает его возможным;
- ввести механизм контроля перемещения документов, содержащих коммерческую тайну, грифы секретности, журнал учета движений;
- ознакомить всех сотрудников под роспись с приказом о режиме конфиденциальности и перечнем документов (Положением об охране коммерческой тайны);
- ввести в трудовые договоры условие об ответственности за разглашение коммерческой тайны.
Выполнение этих действий поможет в должной мере защитить конфиденциальность данных.
Технические меры
Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы:
- типы информации, подлежащей защите, в каких секторах сети и в каких базах данных она хранится. В деятельности компании к наиболее важной информации относятся данные корпоративных банковских карт и счетов, персональные сведения, бизнес-секреты, базы данных клиентов, наиболее часто становящиеся целью намеренного хищения;
- какие устройства участвуют в создании инфраструктуры сети и какие устройства подключаются к ней на удаленном доступе, кто и на каком основании выдает разрешение на подключение;
- какое программное обеспечение требует замены или обновления, какие дополнительные модули безопасности нужно устанавливать;
- как защищены учетные записи администраторов, может ли воспользоваться ими другое лицо путем подбора паролей или иным способом;
- существует ли необходимость шифрования файлов или трафика, какие средства для этого используются;
- отвечают ли антивирусные программы, программы фильтрации электронной почты, сетевые экраны современным требованиям к безопасности;
- как регулируется доступ сотрудников к Интернету, необходимо ли получать специальное разрешение, какие сайты и по какому принципу блокируются.
Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне:
- антивирусная защита. Если компания является оператором персональных данных, программный продукт должен быть сертифицирован ФСТЭК РФ. Если такой необходимости нет, то можно выбрать удобный или популярный продукт. Так, Роскачество в своем обзоре определило, что наибольшим успехом в борьбе с вирусами пользуется Internet Security от ESET, при этом встроенный в Windows антивирус оказался только на 17-м месте;
- сетевые экраны (файрволы). Здесь желательно ориентироваться на программные продукты, одобренные ФСТЭК РФ;
- средства фильтрации электронной почты, которые защитят почтовые ящики сотрудников от спама и вирусов;
- программа Enhanced Mitigation Experience Toolkit (EMET), установленная на компьютерах с Windows, окажется полезной для защиты от уязвимостей, связанных с программным кодом;
- средства криптографической защиты. В зависимости от уровня конфиденциальности данных, используются или общедоступные продукты, или СКЗИ (средства криптографической защиты информации), одобренные ФСБ РФ;
- средства мониторинга работоспособности инфраструктуры. Могут быть выбраны бесплатные или лицензионные продукты, главное, настроить непрерывность мониторинга уязвимостей. Если принято решение приобрести продукт более высокого уровня, то следует обратить внимание на SIEM-системы, предназначенные для выявления инцидентов информационной безопасности и выстраивания реакции на них;
- средства борьбы с утечками информации. Можно реализовать комплекс мер, призванных предотвратить утечки на всех уровнях. Можно установить DLP-систему, настроенную блокировать любую попытку вывести конфиденциальную информацию из периметра информационной обороны.
Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько:
- невнимательность системных администраторов;
- ограниченный бюджет;
- длительный период сертификации для ПО, используемого для защиты персональных данных.
Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности.
При проверке подключения устройств необходимо использовать следующие методы:
- при помощи маршрутизатора (контроллера беспроводного доступа) проверить, какие именно устройства подключены к сети;
- для сетей большего размера можно при поиске устройств применять сетевой сканер. Эксперты рекомендуют использовать популярную программу Nmap;
- активировать запись логов всех событий, связанных с подключением устройств к сети.
Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов.
21.01.2020
Получить консультациюпо продукту Solar inRights
Защита информационных активов считается главной задачей в деятельности организации обрабатывающей большие массивы информации и имеющей доступ к конфиденциальным сведениям. Информационные утечки, инсайдерские действия, внешние атаки способны привести к катастрофическим последствиям
для бизнеса. Для предотвращения инцидентов крайне важно создать и поддерживать подходящую стратегию управления рисками информационной безопасности.
Корпоративная защита информационных активов
В случае корпоративных сетей присутствует множество разнообразных информационных систем, локальных сетей разного уровня. Для достижения результатов по безопасности понадобится разработать и внедрить единые регламенты, методы обеспечения защиты. Для реализации задуманного сотрудникам информационной безопасности нужно будет решить следующие задачи:
-
Обеспечить доступность и работоспособность приложений, с помощью которых ведется выполнение бизнес-процессов в организации.
-
Создать высокий уровень защиты для всех групп конфиденциальной информации с которыми работает компания. Наибольший интерес для атак злоумышленников и потенциальные уязвимости представляют клиентские базы данных, финансовая документация, транзакции, новейшие разработки и т.п.
-
Обеспечить сохранение целостности и первоначальной ценности информации, защиту от внутренних и внешних угроз. Так, утрата целостности данных представляет наибольший риск для деятельности оператора, ставит под вопрос существование организации при проведении проверки со стороны регуляторов.
Защита информационных ресурсов от несанкционированного доступа строится на сочетании различных мер, которые взаимно дополняют друг друга и уменьшают общее число уязвимостей в системе. В перечень главных мероприятий по защите информационных активов корпорации входят:
-
Организационные средства. Включают разработку, внедрение регламентов и политик безопасности. Большое значение принимает грамотность и целесообразность введения подобных средств. Они должны использоваться с учетом специфики работы организации, количества сотрудников. Если организационные меры по защите информации в компании игнорируются, не соблюдаются или воспринимаются с агрессией со стороны работников – это многократно повышает риски информационной безопасности. Для начала требуется создать единую и понятную систему этических ценностей, которая сделает каждого сотрудника участником общего дела и даст чувство сопричастности. Организационные средства защиты информации по большей части носят превентивный характер, однако их не стоит недооценивать, особенно если уже были отмечены инциденты.
-
Программные и аппаратные средства. Перед их использованием у организации должны присутствовать стратегия ИБ и модель рисков. На их основании подбирают и настраивают такие защитные инструменты как системы контроля доступа и аутентификации пользователей, решения для фильтрации электронной почты, средства доверенной загрузки. В базовую комплектацию программных средств по защите информации в компании должны быть включены, антивирус, межсетевой экран, VPN, сканеры и средства мониторинга сетей, инструменты по криптографической защите данных.
Управление доступом IdM/IGA – эффективное решение для поддержания информационной безопасности
Защищенный доступ к информационным ресурсам организации многократно снижает риски информационной безопасности. Для упрощенного, удобного и эффективного управления доступом к информационным активам компании и контроля действий сотрудников используют IdM/IGA-решения, например, Solar inRights. С его помощью становится возможным:
-
Автоматизировать все процессы управления доступом к информационным системам, исключить человеческий фактор.
-
Централизованно управлять правами доступа с минимальной нагрузкой на системного администратора.
-
Многократно снизить трудозатраты по исполнению процедур управления доступом, своевременно собрать и подготовить необходимые данные для выполнения аудита.
-
Получить полную информационную базу, которая пригодится для изучения полномочий сотрудников и расследования возможных инцидентов.
-
Контролировать исполнение регламентов предоставления доступа к информации.
-
Минимизировать число инцидентов безопасности, где фигурируют избыточные полномочия персонала.
Информационная безопасность систем управления базами данных, предприятием, коммуникациями с клиентами и многих других построенная на ведении постоянного мониторинга и анализа ситуации дает наилучшие результаты по защите корпоративных активов, по мнению экспертов безопасности. Именно предупреждение рисков, выявление предпосылок для их возникновения принимают решающее значение для создания и поддержания безопасной среды для информационных активов компании и ее дальнейшего развития.
Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.
1. Заручиться поддержкой руководства.
Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.
Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».
Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.
Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.
На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».
2. Определить состав рабочей группы.
Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.
Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.
3. Определить риски.
После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:
- идентифицировать информационные активы, представляющие ценность;
- провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
- провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
- провести анализ источников угроз;
- проанализировать сами угрозы;
- оценить возможный ущерб;
- подготовить отчет для презентации руководству.
После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.
После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.
4. Принять организационные меры.
На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.
5. Выбрать и внедрить меры и средства защиты информации.
На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.
При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.
6. Довести информацию до заинтересованных лиц.
Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.
7. Провести мониторинг и оценку.
После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.
Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.
Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Если вовремя не внедрить систему безопасности, можно столкнуться с тремя критическими последствиями: утечкой пользовательских данных, техногенной катастрофой или остановкой обеспечения услуг компании. После этого бизнес рискует столкнуться с куда более опасными проблемами, чем кибератаки.
Чтобы защитить себя в этой области, организациям уже сейчас стоит подумать, какие средства выбрать для защиты и каких атак стоит опасаться больше всего. Об этом рассказал Андрей Голов, генеральный директор «Кода Безопасности».
Содержание:
- Что такое «информационная безопасность предприятия»?
- Как осуществить контроль информационной безопасности?
- Виды угроз информационной безопасности
- Средства защиты информации
- Обеспечение информационной безопасности предприятий
- Этапы внедрения системы безопасности
- Организационные меры
- Режим коммерческой тайны
- Технические меры
- Итог: как выбрать комплекс мер по информационной безопасности в организации?
Что такое «информационная безопасность предприятия»?
Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:
- Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения.
- Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери.
- Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно.
Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует?
Это могут быть:
- малоквалифицированные студенты,
- спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача.
От того, в чьей руке «меч», зависит обеспечение информационной безопасности предприятия.
То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.
Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.
Как осуществить контроль информационной безопасности?
Есть несколько способов в организации защиты информационной безопасности:
- Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его.
- Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
- Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.
Виды угроз информационной безопасности
Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми.
Среди них можно выделить:
- вредоносное ПО (шифровальщики, вирусы, троянцы);
- SQL-инъекции (фишинг, DoS, перехват данных).
Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов:
- Какими ресурсами располагают злоумышленники?
- Сколько времени они готовы потратить на атаку?
Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям.
К сожалению, пока что эта «игра» напоминает «Тетрис» — в нее невозможно выиграть.
Средства защиты информации
На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры.
Они относятся:
- к контролю доступа,
- защите данных и приложений,
- обнаружению и реагированию на инциденты.
Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту.
Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур.
Обеспечение информационной безопасности предприятий
В построении системы информационной безопасности организации средства защиты не занимают ведущую роль.
Можно выбрать самое навороченное решение, но бизнес все равно встанет.
Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны.
Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.
Этапы внедрения системы безопасности
Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством.
Затем анализ продолжается:
- нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия,
- понять, какие ИТ-системы их поддерживают.
Финальный этап — определение возможных инструментов защиты.
К недопустимым последствиям относятся:
- Утечка данных пользователей;
- Техногенные катастрофы;
- Остановка обеспечения услуг компании.
Организационные меры
Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами.
Скажем, инструкция по работе с интернетом и жесткое требование:
- не кликать по ссылкам в почте и мессенджерах;
- менять пароль каждые полгода;
- не использовать один и тот же пароль для разных сервисов.
Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.
Режим коммерческой тайны
Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные.
В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют.
В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.
Технические меры
ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву.
На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему.
Итог: как выбрать комплекс мер по информационной безопасности в организации?
Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов.
Компания должна понимать:
- Какие ИБ-события она не может допустить;
- Удар по каким бизнес-процессам станет критическим;
- Какие ИТ-системы поддерживают эти процессы.
Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов.
При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.
Фото на обложке сгенерировано с помощью нейросети Midjourney
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Зачем нужно управлять безопасностью?
Организации создают, собирают и хранят огромные объемы информации от клиентов и партнеров: поведенческую аналитику, личную информацию, данные о кредитных картах и платежах и другое. Увеличение объема корпоративных данных приводит к росту кибератак и количеству утечек. В качестве контрмеры стремительно развивается область управления информационной безопасностью.
Каждый бизнес-процесс, основанный на технологиях, подвержен угрозам безопасности. Сложные решения для кибербезопасности способны противостоять атакам, угрозам и новым методам хакеров, но этого недостаточно. Организации должны гарантировать, что процессы, политики и сотрудники минимизируют риски.
Здесь на помощь приходят системы управления информационной безопасностью. Независимо от метода хранения данных (в цифровом или физическом формате), управление информационной безопасностью имеет решающее значение для защиты данных от несанкционированного доступа и кражи. Оно:
- описывает набор политик и процедурных средств контроля, которые внедряются для защиты корпоративных активов от рисков и угроз;
- включает изучение рисков, обеспечение соответствия, консультационные услуги по безопасности и управлению.
Система управления информационной безопасностью
Система управления информационной безопасностью – это структура политик и средств контроля, которые систематически управляют безопасностью и рисками в масштабах предприятия. Меры безопасности могут соответствовать общим стандартам безопасности или быть более ориентированными на конкретную отрасль. Организациям из строго регулируемых отраслях (как здравоохранение или финансы) может потребоваться широкий спектр действий по обеспечению безопасности и стратегий снижения рисков.
Компаниям нужно иметь четкую структуру обеспечения кибербезопасности для интеграции в нее управления безопасностью. Используя структуру в качестве ориентира, организации получат полное представление о рисках для безопасности. Может адаптировать существующую структуру информационной безопасности в соответствии с потребностями или разработать ее внутри компании.
Система управления кибербезопасностью содержит набор инструментов, комплексный подход к управлению рисками и программу повышения осведомленности сотрудников. Эта структура должна быть полностью интегрирована в ключевые системы и процессы организации и включать:
- аварийное восстановление, планирование, оценку рисков и отслеживание непрерывности бизнес-процессов;
- выявление, оценку, снижение и мониторинг рисков поставщиков с отчетами и аналитикой;
- оптимизированный подход к управлению рисками и их снижению;
- отслеживание ряда норм и стандартов для соответствия нормативным требованиям.
Средства контроля и оценки рисков
Управление рисками решающее значение для обнаружения и предотвращения угроз на начальном этапе, чтобы не устранять причиненный ими ущерб. Система управления кибербезопасностью обязательна в цифровую эпоху. Средства управления информационной безопасностью используют следующие компоненты:
Безопасность человеческих ресурсов. Политики и средства контроля, относящиеся к сотрудникам, деятельности и человеческим ошибкам, включая меры по снижению риска от внутренних угроз и обучение работников для уменьшения непреднамеренных нарушений в безопасности.
Информационная безопасность и управление инцидентами. Выявление и решение ИТ-проблем с минимизацией воздействия на конечных пользователей. Передовые технологические решения предоставляют точные показатели инцидентов и смягчают потенциальные проблемы.
Коммуникации и управление операциями. Системы должны эксплуатироваться с соблюдением и поддержанием политик безопасности и контроля.
Контроль доступа. Ограничение доступа авторизованного персонала и мониторинг сетевого трафика на предмет аномального поведения. Роли и обязанности отдельных лиц четко определяются, а доступ к деловой информации предоставляется только в случае необходимости.
Криптография. Системы управления информационной безопасности регулируют порядок применения и управления криптографическими средствами контроля.
Организация информационной безопасности. Устраняет угрозы и риски в корпоративной сети, включая кибератаки со стороны внешних объектов, внутренние угрозы, сбои в работе системы и потерю данных.
Отношения с поставщиками. Сторонним поставщикам и деловым партнерам может потребоваться доступ к сети и конфиденциальным данным клиентов. Следует принять адекватные меры контроля для снижения потенциальных рисков с помощью политик безопасности ИТ и договорных обязательств.
Политики информационной безопасности. Общее руководство и поддержка помогают установить соответствующие политики безопасности. Политика безопасности уникальна для вашей компании и разработана в контексте меняющихся потребностей.
Приобретение, разработка и обслуживание информационных систем. Передовые методы безопасности следует поддерживать на протяжении всего жизненного цикла ИТ-системы, включая этапы приобретения, разработки и обслуживания.
Согласие. Требования безопасности должны соблюдаться регулирующими органами.
Управление активами. Охватывает активы организации внутри и за пределами корпоративной ИТ-сети, что может включать обмен конфиденциальной информацией.
Управление непрерывностью бизнеса. Процессы по восстановлению систем и процедуры по минимизации ущерба.
Физическая и экологическая безопасность. Меры безопасности для защиты физического ИТ-оборудования от повреждения, потери или несанкционированного доступа.
Перечисленные компоненты предлагают общие передовые практики для надежной информационной безопасности. Решения для управления и соблюдения нормативных требований помогут предприятиям достичь высокого уровня защиты.
Способы защиты от киберугроз
Информационные активы, требующие защиты, включают стратегическую документацию, информацию о продуктах и услугах, интеллектуальную собственность, коммерческую тайну, проектную документацию, данные о сотрудниках. Неспособность же защитить данные клиентов приведет к недоверию и даже судебным разбирательствам.
Для обеспечения конфиденциальности, целостности и доступности бизнес-данных разработаны средства управления информационной безопасностью.
Физические и программные средства препятствуют проникновению злоумышленников в корпоративную сеть. Методы защиты от рисков и киберугроз включают мониторинг защищаемой системы, маскирование данных с использованием криптографии, регулирование комплекса мер по работе с данными, обеспечение соблюдения. Организационно-технические средства – основные способы реализации методов.
Организационные средства защиты:
- Интеграция программных продуктов для защиты данных от копирования или уничтожения любым пользователем.
- Проведение инструктажа и периодических проверок персонала.
- Разграничение обязанностей и проверку доступов.
- Разработка планов восстановления системы в случае сбоя.
- Разработка внутренней документации по работе с компьютерной техникой и конфиденциальной информацией.
Технические средства защиты:
- Обеспечение безопасности от пожара или повреждения водой.
- Обеспечение систем резервного электроснабжения.
- Обеспечение удаленного хранения важных файлов компьютерной системы.
- Оснащение помещений камерами видеонаблюдения и сигнализацией.
- Перераспределение сетевых ресурсов при выходе из строя отдельных элементов.
- Регулярное резервное копирование всех сетевых подсистем.
Установка передовых продуктов для защиты данных от несанкционированного доступа.
Решения для мониторинга и управления ИБ
Специализированные решения позволят организациям предвидеть и минимизировать киберриски, угрозы, уязвимости и многочисленные требования соответствия. Решения оптимизируют усилия по кибербезопасности для достижения киберустойчивости, позволяя компаниям обеспечивать непрерывность бизнеса и аварийное восстановление.
Компания CloudNetworks занимается реализацией технических средств, которые позволяют повысить качество процессов управления информационной безопасности через контроль всех процессов внутренних сетей. Ознакомиться подробнее можно на страницах решений:
- EDR — обнаружение и реагирование на угрозы конечной точки
Endpoint Detection and Response (EDR) относительно новая технология, решающая проблему постоянного мониторинга и реагирования на сложные угрозы. С ее помощью осуществляется мониторинг событий конечной точки и сети. Информация записывается в центральную базу данных, где происходит дальнейший анализ и составление отчетности.
- PIM/PAM/PUM — контроль привилегированных пользователей
PAM-система – самая быстрорастущая область кибербезопасности и решений по управлению рисками. Она предоставляет строгую аутентификацию пользователей, то есть контроль доступа к паролям, службам и учетным записям.
- SIEM — управление событиями и инцидентами ИБ
SIEM автоматически находит корреляции между данными и помогает защитить систему от киберугроз. Включите исторический анализ в вашу стратегию безопасности. Решение SIEM даст аналитикам свободу и возможность сосредоточиться на более насущных проблемах.
- SOC, CERT — решения для построения центров управления безопасностью
Центр безопасности операций (SOC) отвечает за постоянный, оперативный компонент информационной безопасности предприятия. Группа реагирования на компьютерные инциденты (CERT) работает для обнаружения, анализа, реагирования, составления отчетов и предотвращения инцидентов кибербезопасности.
- Security Awareness — программы повышения осведомленности
Создайте крепкий барьер от хакеров с помощью осведомленных сотрудников. Сегодня ни один поставщик услуг не может гарантировать 100% полную киберзащиту. Пройдя программы повышения осведомленности, ваши сотрудники станут надежной защитой компании. Программы обучения сотрудников позволят привить индивидуальную ответственность за политику безопасности компании, а также доработать меры по аудиту этих усилий.
- Threat Intelligence — киберразведка
Получайте информацию об угрозах, включая контекст, механизмы, индикаторы, последствия и ориентированные на действия рекомендации относительно существующей или возникающей угрозы, или опасности для активов. Этот интеллект может использоваться для принятия решений относительно реакции субъекта на эту угрозу или опасность. Киберразведка повысит ценность функций безопасности для организаций всех размеров.
- UAM — мониторинг действия пользователей
Цель мониторинга активности пользователей – это защита информации при обеспечении доступности и соблюдения требований конфиденциальности и безопасности данных. Решение для мониторинга активности пользователей позволит отслеживать рабочее поведение сотрудников и предупреждать администратора при обнаружении любых угроз безопасности.
- Vulnerability Scanners — аудит и анализ защищенности
Сканеры уязвимостей – это инструменты, которые постоянно отслеживают приложения и сети для выявления уязвимостей безопасности. С помощью систем анализа можно просканировать всю корпоративную сеть для выявления уязвимостей, ошибок конфигурирования, ухода от корпоративных и мировых стандартов и практик.
- UEBA, User and Entity Behavior Analytics — системы поведенческого анализа
Система поведенческого анализа даст вам более комплексную и первоклассную ИТ-безопасность, а также поможет выявить пользователей и организации, которые могут поставить под угрозу всю вашу систему. UEBA представляет собой тип процесса кибербезопасности, который учитывает нормальное поведение пользователей.
Оставьте заявку на получение консультации
Истории успеха
Задача:
Требовались технические сервисы для поддержки и защиты конечных точек компании.
Продукт:
Check Point.
Результаты:
Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири
и Харабовском крае.
Задача:
Требовалась платформа для администрирования приложений на разных устройствах.
Продукт:
VMware Workspace ONE.
Результаты:
Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.
Задача:
Требовалась защита периметра ИТ-инфраструктуры.
Продукт:
Cisco Firepower.
Результаты:
Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода
и установлено межсетевое экранирование.
Дополнительные материалы
6 лет на рынке ИБ
Более 100 проектов
65 + партнеров
Cloud Networks – это компания, предоставляющая услуги в области системной интеграции, облачном консалтинге, автоматизации процессов и бизнес-аналитике.
Основной деятельностью компании является обеспечение информационной безопасности и защита данных, а также внедрение информационных технологий для эффективной работы бизнеса.