Памятка по информационной безопасности для сотрудников компании

Киберграмотность сотрудников: флаеры и шаблоны писем, которые они захотят прочитать

Все мы знаем, насколько важно обучать сотрудников кибербезопасности. Чтобы помочь вам запустить или разнообразить мероприятия по информированию сотрудников, мы подготовили комплект шаблонов и памяток по кибербезопасности. Эти памятки касаются таких «вечных» тем, как пароли, доступ к файлам и папками, фишинг и whailing (уэйлинг). Кроме того, в комплект вошли памятки для сотрудников с разными уровнями опыта.

Информационные памятки по кибербезопасности

Готовы поспорить, что папки «Входящие» ваших коллег ломятся от обилия непрочитанных сообщений. Чтобы важная информация точно не прошла мимо них, можно распечатать для них привлекающие внимание флаеры. Ниже вы найдете флаеры по мотивам афиш к фильмам, которые помогут вам привлечь внимание сотрудников и рассказать им о кибербезопасности легко и с юмором. Если нужен более экологичный вариант, эти флаеры можно включить в рассылку по электронной почте.

Флаер по фишингу

Согласно статистике киберпреступлений за последние годы 71 % хакерских группировок, совершивших атаки в 2017 году, использовали целевой фишинг электронной почты (по данным компании Symantec), что делает этот способ взлома самым популярным среди злоумышленников. Эта информационная листовка поможет привлечь внимание ваших коллег и сотрудников к таким угрозам, как фишинг и whailing.

Флаер по безопасным паролям

У нас и в далеких-далеких галактиках есть хакеры, взламывающие ненадежные пароли. Этот флаер «Компьютерные войны» поможет привлечь внимание к безопасности паролей и учетных записей и рассказать о двух эффективных способах защиты: диспетчерах паролей и многофакторной аутентификации.

Флаер по поддельным счетам

Если вы получили странный счет или запрос на конфиденциальные данные, обязательно обратитесь в бухгалтерию или руководителю. Этот флаер в стиле «Охотников за привидениями» поможет привлечь внимание к поддельным счетам, чтобы ваши сотрудники могли вовремя разоблачить мошенников.

Базовые шаблоны памяток по кибербезопасности

Очень важно сформировать корпоративную культуру, которая поощряет тех, кто следует правилам кибербезопасности. Добиться этого можно разными путями, такими как комплексное обучение новых сотрудников, информирование удаленных сотрудников, рассылка напоминаний и, наконец, образцовое соблюдение правил руководителями, подающими пример подчиненным. Мы рекомендуем адаптировать эти шаблоны в соответствии с потребностями вашей компании, а также продуктами и услугами, которые она предоставляет.

Памятки по кибербезопасности для новых сотрудников

Как показывает опыт, знакомство с корпоративными политиками и мерами кибербезопасности должно входить в обучение всех новых сотрудников. Эти шаблоны помогут новым сотрудникам начать работу в компании с верной ноты.
Важные темы:

• политики конфиденциальности данных и этические принципы работы с данными
• внутренние угрозы и утечки данных

Шаблон письма

Здравствуйте, [ИМЯ].

Мы рады приветствовать Вас в наших рядах. Я понимаю, что Вам предстоит ознакомиться с большим количеством документов во время обучения. Тем не менее я хочу привлечь Ваше внимание к политикам кибербезопасности, принятым в нашей компании.

Мы придаем большое значение безопасности и целостности данных. Это отражено в приложенной политике безопасности. Ниже перечислены некоторые важные темы. Если у Вас возникнут вопросы по мерам безопасности, обращайтесь ко мне.

• Политика безопасности [ССЫЛКА или ВЛОЖЕНИЕ]

Важные темы, затрагиваемые в политике:

• нормативные требования к безопасности и конфиденциальности в [ОТРАСЛЬ]
• работа с конфиденциальными и персональными данными
• безопасность паролей и учетный записей
• [ДРУГИЕ ВАЖНЫЕ ТЕМЫ]

Когда Вы полностью ознакомитесь с вложением, пожалуйста, подтвердите письмом, что прочитали и поняли все правила в этих политиках.

С благодарностью,
[ПОДПИСЬ]

Памятки по кибербезопасности для удаленных сотрудников

Убедитесь, что удаленные сотрудники включены в общий процесс: не забывайте отправлять им все напоминания и обновления политик, которые вы рассылаете своей команде. Следует помнить, что такие сотрудники сталкиваются с более широким спектром угроз безопасности, нежели их коллеги в офисах. Этот шаблон служит примером того, какие темы следует затронуть, чтобы убедиться в том, что удаленные сотрудники следуют процедурам безопасности при работе в интернете.

Важные темы:

• угрозы, связанные с использованием общедоступных сетей Wi-Fi
• угрозы, связанные с использованием личных устройств (BYOD)
• физическая блокировка устройств и использование паролей

Шаблон письма

Здравствуйте, [ИМЯ].

Хотим ознакомить Вас с последними нововведениями в области безопасности.

Используя общедоступные и бесплатные сети Wi-Fi, Вы подвергаете себя угрозе взлома, а [КОМПАНИЯ] — угрозе нарушения безопасности данных и их кражи.

Использовать общедоступные и бесплатные сети строго воспрещается. Вы можете использовать свой рабочий телефон для подключения к интернету. Инструкции по настройке устройства, в том числе по обязательной настройке защиты с использованием имени пользователя и пароля, Вы найдете во вложении.

Если у Вас остались вопросы или возникли трудности, свяжитесь со мной по телефону или видеосвязи.

Измененная политика вступает в силу [ДАТА]. Чтобы избежать накладок, выполните настройку устройства к [ДАТА].

С благодарностью,
[ПОДПИСЬ]

Памятки по кибербезопасности для всех сотрудников

Как уже упоминалось выше, информирование и мероприятия, связанные с безопасностью, должны проводиться круглый год. Используйте шаблоны, чтобы рассылать сотрудникам напоминания, сообщать им о новейших угрозах и тем самым повышать безопасность данных вашей компании.

Важные темы:

• безопасность паролей
• фишинг, спуфинг и другие типы мошенничества с использованием электронной почты
• поддельные счета

Шаблон письма

Здравствуйте, [ИМЯ].

Ввиду [ПРИЧИНА] мы хотим привлечь Ваше внимание к [ТЕМА].
[ТЕМА] — это [ОПРЕДЕЛЕНИЕ]. Чтобы обеспечить целостность и безопасность данных [КОМПАНИЯ], необходимо [ДЕЙСТВИЕ].
[ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ И ПЕРЕЧНИ]

Мы прилагаем большие усилия к тому, чтобы надежно защитить данные наших сотрудников и клиентов. Благодарим Вас за поддержку и содействие.

С уважением,
[ПОДПИСЬ]

Шаблон памятки по фишингу

Здравствуйте, коллеги

В свете растущего числа фишинговых атак мы хотим поделиться некоторыми советами, которые помогут вам защитить данные ваших учетных записей.

Фишинг — излюбленный метод хакеров, с помощью которого они выдают поддельные электронные письма за письма от настоящих компаний. Они также рассылают поддельные СМС-сообщения (этот метод называется смишингом). Чтобы заставить вас перейти по вредоносной ссылке и тем самым открыть доступ к данным, мошенники, помимо прочего, используют логотипы компаний, а также похожие на настоящие электронные адреса и контактные данные.

Разновидности фишинга:

• целевой фишинг — фишинговая атака, направленная на конкретное лицо; например, хакер может выдавать себя за вашего знакомого, чтобы втереться к вам в доверие
• whailing (уэйлинг) — фишинговая атака, направленная на лиц с широкими правами доступа к данным, средствам и информации (например, на владельцев компаний, финансовых директоров и т. д.)

Никогда не переходите по ссылкам из писем, которых вы не ждали, которые вызывают подозрения или были получены от лиц не из вашего списка контактов. Наведите курсор на ссылку, чтобы увидеть URL-адрес, а затем введите его в браузере, используя протокол HTTPS. Не щелкайте ссылку, даже если адрес кажется правдоподобным.

Признаки мошенничества:

• опечатки в словах
• необычные или масштабные запросы
• странный пустой веб-сайт
• небезопасный веб-сайт
• отсутствие подвала сайта и навигации
• опечатки в словах
• отсутствие контактной информации

Как защитить себя от таких атак:

• Главное, что вы должны усвоить: не переходите по ссылке
• не будьте доверчивы и беспечны, задавайте уточняющие вопросы
• прежде чем опубликовать что-либо в социальных сетях, подумайте, не сделает ли это вас легкой мишенью для злоумышленников
• регулярно обновляйте программное обеспечение
• убедитесь, что все пароли соответствуют корпоративным стандартам (комбинация букв и цифр, минимум 16 символов) и хранятся только в одобренном компанией диспетчере паролей

Благодарим вас за все, что вы делаете для безопасности своих коллег, а также для защиты наших данных и данных клиентов. Спасибо за внимание.

С уважением,
[ПОДПИСЬ]

Памятки по кибербезопасности для руководителей

Чрезвычайно важно, чтобы руководство подавало подчиненным правильный пример. Сотрудники ориентируются на то, как ведут себя руководители, поэтому все члены руководства должны отлично разбираться в проблемах и угрозах, связанных с кибербезопасностью. Поскольку руководители обычно имеют более широкий доступ к данным, взлом их учетных записей представляет особую опасность. Используйте приведенный ниже шаблон для информирования членов руководства компании.

Важные темы:

• наследование разрешений
• модель «нулевого доверия» Zero Trust
• устаревшие данные и учетные записи
• классификация данных

Шаблон письма

Здравствуйте, [ИМЯ].

В рамках мероприятий по улучшению безопасности и обеспечению соответствия [НАЗВАНИЕ НОРМАТИВНОГО АКТА] просим Вас уделить особое внимание [ТЕМА].
Чтобы эффективно внедрить и оптимизировать [ТЕМА], воспользуйтесь приведенными ниже [советы/шаги].

• [СОВЕТ/ШАГ]
• [СОВЕТ/ШАГ]
• [СОВЕТ/ШАГ]
Мы ожидаем, что Вы подадите достойный пример своим подчиненным и они вслед за Вами также станут уделять повышенное внимание вопросам безопасности.
Заранее благодарим Вас за все, что Вы делаете для защиты данных наших сотрудников и пользователей. Ваш вклад очень важен.

С уважением,
[ПОДПИСЬ]

Шутливые шаблоны для последующих напоминаний о кибербезопасности

Писать длинные и серьезные сообщения стоит далеко не всегда. Можно рассылать краткие напоминания как ответы на ваши исходные подробные сообщения по теме — там получатели легко смогут найти дополнительную информацию, если потребуется. Используйте приведенный ниже шаблон, чтобы на его основе создать краткую и броскую рассылку.

Шутливые темы для рассылок:

• Несмешной смишинг: как не стать жертвой мошенников
• Напоминание: станьте мастером экстра-класса в создании и хранении паролей
• Совет по выявлению мошенничества: поддельные счета вместо писем от нигерийского принца

Шаблон письма
Всем привет!
Мы бы хотели ненадолго отвлечь вас от дел, чтобы напомнить о правилах безопасности паролей [И (ИЛИ) ДРУГАЯ ТЕМА].

Пароли должны:

• содержать буквы и цифры
• содержать минимум 16 символов
• храниться в одобренном компанией диспетчере паролей ([ССЫЛКА НА ДИСПЕТЧЕР ПАРОЛЕЙ])
• [ДРУГИЕ СОВЕТЫ]

Заранее благодарим вас за вклад в общее дело. Держим ухо востро, друзья!
[ПОДПИСЬ]

Восемь оригинальных идей для мероприятий по информированию о кибербезопасности

Нужны свежие идеи для мероприятий по информированию коллег и сотрудников в рамках обучения киберграмотности? Попробуйте приведенные ниже варианты. Чтобы стимулировать участие и вовлеченность сотрудников, разработайте систему поощрений. Поощрением может быть дополнительный отгул, денежный бонус, подарочный сертификат, перевод средств в благотворительный фонд и т.д.

1. Базовый опрос. Попросите сотрудников ответить на пару вопросов по кибербезопасности и методам ее обеспечения, чтобы определить уровень осведомленности в масштабах всего коллектива и разных отделов. После этого вы сможете адаптировать остальные мероприятия, чтобы повысить их эффективность.
2. Проверка с помощью фишингового письма. Отправьте всем сотрудникам убедительное фишинговое письмо, чтобы на практике проверить их знания о фишинге. Используйте поддельный электронный адрес компании и вставьте в письмо корпоративную символику, чтобы замаскировать его под обычную внутреннюю рассылку. Письмо должно содержать запрос на предоставление доступа или конфиденциальных данных. Заметив это, внимательные сотрудники смогут сообщить о попытке взлома. Выявив тех сотрудников, которые ничего не заподозрили, вы сможете провести для них дополнительное обучение, чтобы подготовить их к реальным угрозам.
3. Имитация атаки, направленной на конкретное лицо. Здесь мы снова предлагаем вам использовать поддельное фишинговое письмо, но на этот раз его нужно адаптировать в соответствии с должностью адресата или его отделом. Чем реалистичнее будет ваша имитация, тем больше полезного опыта получат сотрудники
4. Викторина или «Своя игра» для команды. Перерыв на обед или на неформальное общение — отличное время для того, чтобы провести веселое и познавательное мероприятие для команды. Подготовьте для них вопросы по кибербезопасности и мерах ее обеспечения. Чтобы стимулировать активное участие, предложите победителям официальное звание знатока и возможность сделать пожертвование в благотворительный фонд от лица компании.
5. Соревнование по выявлению уязвимостей (для ИТ-специалистов). Не забывайте об ИТ-персонале и других специалистах по безопасности: для них можно провести соревнование по выявлению уязвимостей с призами для тех, кто найдет самые серьезные уязвимости. В ходе соревнования участники смогут выявлять расставленные вами (а также реальные) уязвимости и баги в системах или сети. Используйте для этого мероприятия тестовую среду, чтобы не нарушать производственные процессы и не перегружать узлы трафиком
6. Цели и важные этапы. Составьте список утвержденных мероприятий, викторин, онлайн-тестов и сертификационных курсов, которые сотрудники смогут проходить в своем темпе в определенный период. За каждое выполненное задание сотрудники будут получать баллы, а в конце периода по сумме баллов вы сможете определить победителей, которые получат призы (отгул, подарочный сертификат, пожертвование в фонд и т. д.).
7. Использование визуальных материалов и видео. Используйте разные методы представления информации, чтобы вовлечь сотрудников и помочь им усвоить важность затрагиваемых тем. Если у вас есть возможность, снимите видеоролик, посвященный наиболее важным вопросам. Либо просто включите в вашу рассылку один из флаеров по кибербезопасности, приведенных выше.
8. Приглашенный эксперт. Существует множество специалистов и компаний, которые занимаются организацией увлекательных и познавательных мероприятий. Вы всегда можете обратиться к профессионалам, которые организуют для вашей команды мероприятие, презентацию или познавательный семинар с закусками.

Помните: чтобы мероприятия по улучшению внутренней безопасности увенчались успехом, они должны быть тематическими и интересными. Надеемся, что эти материалы помогут вам сформировать культуру соблюдения мер кибербезопасности и сократить число внутренних угроз.

Как бы ни хотела компания защитить свою конфиденциальную информацию, реальность такова, что обычно сотрудники несут большую часть ответственности. Самым слабым звеном в данной цепи, как правило, является человек: он ищет более легкие пути, его проще обмануть, а иногда он не предпринимает тех мер предосторожности, которые должен был бы сделать.

Именно поэтому крайне важно, чтобы сотрудники знали, что необходимо делать, чтобы обеспечивать безопасность корпоративных данных и систем. Хотя некоторым может показаться, что достаточно руководствоваться только здравым смыслом, однако очень важно, чтобы каждый сотрудник знал корпоративные правила и политики: не все сотрудники компании имеют одинаковый опыт, а потому необходимо начать с самых азов.

10 основ кибер-безопасности, о которых должен знать каждый сотрудник предприятия

1. Подтверждайте личность каждого, кто запрашивает информацию

Особенно это полезно для администраторов, сотрудников колл-центра или специалистов технической поддержки, менеджеров по работе с персоналом, а также других специалистов, чья работа требует обработки персональной информации. Хакеры пользуются наивностью и добросовестностью этих сотрудников, чтобы получить информацию самым простым и наиболее очевидным способом: запросить ее. Для этого злоумышленники выдают себя за поставщиков, клиентов или других сотрудников компании, которые имеют вполне законные основания для запроса данной информации.

Очень важно, чтобы Ваши сотрудники знали эти приемы, и прежде чем предоставлять информацию, они были уверены в том, что человек на другом конце телефона или электронной почты является именно тем, за кого он себя выдает.

2. Всегда держать пароли в безопасном месте

Если мы беспокоимся о своих персональных паролях, которыми мы пользуемся в своей повседневной жизни, то нам надо быть крайне осторожными и в отношении тех паролей, которые мы используем для доступа к корпоративной информации. Во-первых, следуйте рекомендациям по созданию безопасных паролей: не используйте одинаковый пароль для различных аккаунтов, не используйте те пароли, которые содержат очевидную персональную информацию (день рождения, номер телефона, имя щенка, любимая футбольная команда и пр.). Кроме этого, убедитесь в том, что пароль содержит цифры и буквы, причем еще лучше, если буквы будут сочетать заглавные и прописные.

Также важно, чтобы сотрудники не оставляли код доступа к корпоративной Wi—Fiзаписанным на бумажке (например, на стикере, который наклеен на мониторе). Наконец, возвращаясь к первому пункту, никогда не сообщайте Ваш пароль кому-либо, кто просит его у Вас по телефону или электронной почте, даже если человек утверждает, что он работает в отделе технической поддержки Вашей компании или в компании, которая предоставляет данный сервис.

3. Храните информацию в надежном месте

Хранение информации, связанной с Вашим бизнесом или клиентами, на жестком диске Вашего компьютера – это, в общем-то, не самая хорошая идея. Компьютеры склонны к авариям и подвержены атакам, что может привести к потере ценной информации. Ноутбуки также подвержены кражи или потере. Лучше всего сказать сотрудникам, чтобы они хранили файлы на серверах компании (если таковые есть) или в корпоративном облачном сервисе.

Если они все же должны хранить что-то на своем жестком диске, важно, чтобы они делали резервные копии с такой периодичностью, чтобы в случае проблемы можно было восстановить файл.

4. Резервные копии – ничто, если их можно потерять 

Опять же, данный совет может показаться очевидным, но такое случается чаще, чем Вы думаете. Если сотрудники используют ноутбук и делают копии на USB, важно, чтобы они не хранили эту «флэшку» вместе с ноутбуком. Просто представьте, что Вы потеряли или у Вас украли Ваш рюкзак, в котором находились ноутбук и резервная «флэшка» — в этом случае Вы потеряли и резервные копии файлов.

5. Будьте внимательны при хранении и обмене информации через Интернет 

Как мы уже говорили, если компания не может хранить информацию у себя внутри, то лучше всего воспользоваться безопасным облачным сервисом для хранения оригиналов или копий. В целом, провайдеры облачных сервисов лучше готовы к кибер-атакам и другим инцидентам, чем малые или средние предприятия.

Впрочем, существуют определенные риски, связанные с использованием онлайн-средств, подобные тому, что мы уже упоминали выше. Безопасность и конфиденциальность хранящихся данных зависит от пароля, используемого сотрудником, а потому важно, чтобы сотрудники не предоставляли эти пароли тем, кто может иметь недобрые намерения. Кроме того, не следует хранить документы на персональных аккаунтах, а доступ к облачному сервису должен быть ограничен для незащищенных компьютеров, через небезопасные соединения и пр.

6. Будьте осторожны с письмами от незнакомцев

Одним из основных инструментов, который используется кибер-преступниками для проникновения в организацию с целью кражи информации, является электронная почта. Если Ваши сотрудники имеют корпоративный адрес почты, первое, что Вам необходимо сделать, — это убедиться в том, что они не используют его в личных целях (например, публичные форумы, публичные веб-сайты и пр.). Для электронной почты очень легко попасть в список спамеров, а это будет означать, что на него будут приходить письма, которые не только будут раздражать, но и представлять определенную опасность.

В общем, лучший совет, который Вы можете дать Вашим сотрудникам относительно электронной почты: никогда не отвечать на письмо, которое пришло от неизвестного или подозрительного отправителя. Также они не должны открывать или скачивать любые вложения в письмах от этих отправителей, т.к. они могут содержать вредоносные программы, которые могут повредить не только компьютер, но и всю сеть компании.

7. Не устанавливайте программы из неизвестных источников

Повторимся снова, сотрудники должны доверять только тому, что они знают. Вполне нормально, когда компании с помощью управления правами в операционной системе ограничивают сотрудников в установке тех или иных программ на свои компьютеры. Однако, если они способны запускать новое ПО на своих компьютерах, то Вы должны потребовать от них, чтобы они не скачивали программы с подозрительных веб-страниц. На самом деле, они даже не должны посещать их, т.к. веб-браузер также представляет собой точку входа для кибер-преступников.

8. Будьте осторожны с социальными сетями

Относительно новый (а потому не до конца известный) риск представляют собой социальные сети. Если сотрудник в рабочее время посещает Facebook или Twitterв личных целях, то это представляет собой опасность для компании, потому что как минимум это негативно влияет на его производительность. Не так давно мы предупреждали о тревожном росте количества сэлфи на рабочем месте, которые были сделаны на предприятиях с критической инфраструктурой, после чего они были опубликованы, например, в Instagram.

9. Используйте хороший антивирус

Прежде чем использовать любой компьютер или мобильное устройство, первое, что Вам следует сделать, — это установить хороший антивирус. Если это важно для домашних пользователей, то для корпоративных пользователей он приобретает огромное значение. Решение безопасности, которое специально разработано для предприятий, защищает компьютеры и данные компании в различных обстоятельствах, даже когда сотрудники совершают ошибку.

10. Самый простой способ не всегда самый безопасный

Это правило не столько для сотрудников предприятий, сколько для самих работодателей: если Вы делаете что-то слишком сложно для своих сотрудников, то они будут искать способ обойти Ваши меры безопасности. Все, что мы говорили выше, вполне очевидные вещи, но важно не переусердствовать.

Если Вы просите своих сотрудников менять пароль каждую неделю, то будьте готовы к тому, что кто-то из сотрудников будет записывать его на бумажку и прикреплять к своему монитору. Если доступ к программе/сервису/инструменту, который сотрудники используют ежедневно в своей работе, становится слишком сложным в целях безопасности, то они будут использовать что-то другое (или, что хуже всего, будут использовать то, чем они пользуются в своих личных целях). Если сотрудники не знают, как сохранить файлы таким способом, как Вы этого просите, то они будут использовать другой способ, который в конечном итоге может оказаться не таким безопасным.

Итак, необходима золотая середина между безопасностью и сложностью, чтобы Ваши сотрудники эффективно выполняли  свою работу, а потому рекомендуем Вам обратить внимание на наши советы. В вопросах безопасности Ваши сотрудники могут быть вашими союзниками или Вашими врагами, но только Вам выбирать, кем они будут.

Оригиналстатьи: 10 cybersecurity basics that every business should tell its employees

Panda Security вРоссии

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com

1. Введение 

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

2. Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.

Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.

Сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП — лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

• Потеря ключевых носителей.
• Потеря ключевых носителей с их последующим обнаружением.
• Увольнение сотрудников, имевших доступ к ключевой информации.
• Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
• Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
• Нарушение печати на сейфе с ключевыми носителями.
• Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

3. Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

4. Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

• выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
• выдает пользователям средства электронной подписи;
• создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
• получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
• ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
• проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
• осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
• определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

• обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
• подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
• обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
• обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
• аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

5.1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

5.2 Размещение технических средств АРМ с установленным СКЗИ 

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

5.3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

5.4 Настройка операционной системы АРМ 

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

• Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
• Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
• У группы Everyone должны быть удалены все привилегии.
• Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
• Рекомендуется переименовать стандартную учетную запись Administrator.
• Должна быть отключена учетная запись для гостевого входа Guest.
• Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
• Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
• Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
• Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
• Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
• На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
• Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
• Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
• Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:

• длина пароля должна быть не менее 6 символов;
• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
• личный пароль пользователь не имеет права сообщать никому;
• не допускается хранить записанные пароли в легкодоступных местах;
• периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
• указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.

 5.5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

5.7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

• Снимать несанкционированные администратором безопасности копии с ключевых носителей.
• Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
• Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
• Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.

5.8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

• Хранить в тайне ключ ЭП (закрытый ключ).
• Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
• Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
• Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.

5.9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

• дата, время;
• запись о компрометации ключа;
• запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
• запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
• записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
• события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

6. Заключение

Настоящие правила составлены на основе:

• Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
• приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
• эксплуатационной документации на СКЗИ, которое используется в Системе.

Перейти к содержанию

Компания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.

Необходимость внедрения правил информационной безопасности

Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина. Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.

Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.

Правила ИБ в офисе

Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.

Информирование

Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.

Всем пользователям корпоративной системы должны быть известны простые правила безопасности:

• использовать и периодически менять сложные пароли, никогда не передавать средства идентификации – пароль и логин – другим сотрудникам;
• не хранить в «облаках» конфиденциальную информацию, даже если нужно поработать с годовым отчетом из дома;
• уничтожать ненужные документы в шредере;
• не передавать информацию без официального запроса;
• не смешивать корпоративную и личную почту;
• архивировать важные файлы;
• блокировать компьютер перед уходом с рабочего места;
• уметь распознавать фишинговые письма;
• ознакомиться с практиками социальной инженерии и не поддаваться им.

Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.

Контроль доступа

Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.

Комплексный подход

Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.

Правила ИБ при работе на удаленном доступе к сети

Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.

В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.

Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске. 

Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:

• исключить возможность использования удаленными сотрудниками для подсоединения к корпоративной сети открытых Wi-Fi-сетей, в которых возможен перехват трафика;
• домашние сети сотрудников должны быть защищены паролями и шифрованием как минимум уровня WPA2. В компании необходимо разработать правила информационной безопасности для удаленных сотрудников для защиты домашних сетей;
• подключение для мобильных устройств к корпоративной сети должно происходить только по каналам VPN. Компании желательно самой выбрать надежного поставщика услуг VPN и обеспечить сотрудникам на удаленном доступе возможность работать с этим сервисом;
• для работы необходимо иметь отдельное мобильное устройство и не смешивать частную и корпоративную информацию, система ИБ компании должна предусматривать меры защиты таких удаленных устройств;
• сведения о работе на удаленном доступе не должны публиковаться в социальных сетях, чтобы не вызвать интерес злоумышленников. Устное и письменное разглашение конфиденциальных данных недопустимо;
• пароли на ресурсах, связанных с работой на удаленном доступе, необходимо регулярно менять;
• плагины и программное обеспечение, содержащие известные хакерам уязвимости (например, Adobe Flash, Acrobat Reader, Java и другие), должны регулярно обновляться;
• компьютер и мобильные устройства нужно защищать паролем даже дома, чтобы гость или ремонтный рабочий не смогли похитить или случайно повредить данные.

Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:

• внедрить механизм аутентификации пользователей (пароли, аппаратные средства-токены, биометрические данные);
• организовать единую систему управления доступом (централизованное управление доступом к IT-ресурсам компании);
• системно использовать средство организации собственных протоколов VPN (аппаратные устройства, программные решения, расширения брандмауэра);
• внедрить средства противостояния атакам (защита внутренней сети и сотрудников от атак).

Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.

ИБ на производстве

Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы. Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах. 

АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:

• электроэнергетика;
• предприятия топливно-энергетического комплекса;
• транспорт;
• металлургия;
• машиностроение.

Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.

В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.

Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31. 

При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:

• уровень операторского (диспетчерского) управления (верхний уровень);
• уровень автоматического управления (средний уровень);
• уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).

Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:

• информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
• программно-технический комплекс, включающий технические средства (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:

• систематический аудит степени АСУ ТП путем интервьюирования специалистов организации, изучения проектной документации, анализа структуры и архитектуры информационных систем;
• организацию технического анализа защищенности для нахождения уязвимостей при помощи программ-сканеров;
• ручной и программный анализ рисков;
• выявление и мониторинг новых типов угроз, представляющих опасность для функционирования объекта.

Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.

Системы мониторинга активности и обнаружения угроз

Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:

• обнаружение внешних атак и аномалий в поведении элементов сети;
• мониторинг инцидентов информационной безопасности;
• пассивный анализ уязвимостей;
• анализ конфигураций оборудования, правил доступа сетевого оборудования;
• контроль целостности данных и программного обеспечения.

Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.

Системы предотвращения угроз

Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.

Ответственность за нарушение правил ИБ

Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.

Пассивные:

• получение информации нарушителем для использования в своих целях;
• анализ характеристик информации без доступа к самой информации.

Активные:

• изменение информации;
• внесение ложной информации;
• нарушение (разрушение) информации;
• нарушение работоспособности системы обработки информации.

Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.

Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.

Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.

06.02.2020

Как начать менять культуру информационной безопасности? 

Или первый шаг пользователя к «цифровой гигиене”

Очень часто от коллег мы слышим, что пользователи клеят пароли на мониторы, сохраняют их на рабочем столе, отключают антивирус и делают множество других вещей направленных на снижение уровня защищенности. Мы же рекомендуем подготовить короткую памятку и регулярно давать её читать работникам. Так как многие работники, даже не понимают, что своими действиями могут создавать угрозы информационной безопасности.

Памятка по обеспечению информационной безопасности

Содержание:

1. Парольная защита
2. Антивирусная защита
3. Интернет и электронная почта
4. Прочее

В целях обеспечения безопасности информации, обрабатываемой в информационных системах Организации, пользователи получающие доступ к ресурсам Организации обязаны соблюдать следующие требования:

Парольная защита

• Никогда не сохраняйте Ваши пароли в программах, в текстовых файлах на компьютере либо на других электронных носителях информации (flash-носителях, внешних жестких дисках и т.п.) в открытом виде. Большинство программ хранят их в открытом виде и тот, кто получит доступ к вашему автоматизированному рабочему месту (персональному служебному компьютеру, ноутбуку, планшету), «автоматически» получит доступ и к ним.
• Не записывайте пароли на листах бумаги, не храните их на листках, приклеенных к монитору и/или расположенных на рабочем столе в свободном доступе.
• Сохраняйте в тайне личный пароль. Никогда не сообщайте пароль другим лицам.
• На основании производственной необходимости (командировка, болезнь, отпуск, другое), при проведении проверочных мероприятий, выполняемых Управлением информационной безопасности (УИБ), требующих знания. пароля пользователя, допускается раскрытие значений своего пароля руководителям этих подразделений, начальнику своего структурного подразделения. По окончанию производственных и/или проверочных работ работник/пользователь обязан незамедлительно произвести смену значений «раскрытых» паролей на своем автоматизированном рабочем месте (персональном служебном компьютере, ноутбуке, планшете).
• Соблюдайте требования по созданию и использованию персональных паролей.
• В случаях обнаружения факта несанкционированного использование Вашего персонального пароля немедленно доложите об этом руководителю начальнику своего структурного подразделения.

Антивирусная защита

• Никогда не отключайте установленное на Вашем автоматизированном рабочем месте (персональном служебном компьютере, ноутбуке, планшете) антивирусное программное обеспечение (средства защиты).
• Обязательно проверяйте на наличие вирусов все внешние носители информации (дискеты, диски, flash-носители и т.п.), поступающие со стороны и подключаемые к защищаемому рабочему (из внешних организаций, других подразделений и т.п.).
• Во всех случаях возможного проявления действия вирусов или подозрении на наличие вируса не пытайтесь удалить вирус самостоятельно, прекратите все действия на Вашем автоматизированном рабочем месте (персональном служебном компьютере, ноутбуке, планшете) и незамедлительно сообщите об этом в ОИБ Для оценки возможных путей заражения и угрозы распространения данного вируса.

Интернет и электронная почта

• Содержание Интернет-ресурсов, а также файлы, загружаемые из Интернета, обязательно проверяйте на отсутствие вредоносных программ и вирусов с использованием антивирусного программного обеспечения.
• Не переходите по ссылкам, не запускайте программы и не открывайте файлы, полученные по электронной почте от неизвестного Вам отправителя или содержащиеся в подозрительных сообщениях.
• Не передавайте по корпоративной электронной почте пароли, персональные идентификаторы, а также информацию ограниченного доступа, включая персональные данные.
• Не принимайте никаких соглашений при посещении сайтов, смысла которых Вы не понимаете, не знаете, не уполномочены.
• Для ведения деловой переписки, обмена электронными сообщениями с целью обработки общедоступной информации Вы обязаны использовать корпоративную электронную почту Организации.
• Для ведения деловой (служебной) переписки, обмена электронными сообщениями (информацией) в целях обработки информации ограниченного доступа, в том числе и персональных данных, Вы обязаны использовать средства защищенного почтового обмена.
• Не размещайте и не обсуждайте в сети Интернет информацию о деятельности Организации, Если это не входит в Ваши служебные обязанности (должностные инструкции, положение об отделе/Управлении).
• Запрещается использовать облачные сервисы (Яндекс Диск, Dropbox, Google Drive, «Облако Mail.ru/Gmail», SpiderOak и им подобные), для хранения информации ограниченного доступа (служебной информации/информации для внутреннего пользования, персональных данных).

Прочее

• Соблюдайте «политику чистого стола». Не оставляйте документы, распечатанные материалы, личные дела на своем рабочем месте в момент отсутствия.

• Даже при кратковременном оставлении своего автоматизированного рабочего места в обязательным порядке блокируйте компьютер нажатием комбинации клавиш «Win» + «L» (в режиме Англ.яз.).

• Не используйте в работе личные носители информации, а также внешние носители, полученные из не доверенных источников (не прошедшие проверку антивирусом).

• Запрещается самостоятельно устанавливать программное обеспечение, если это не входит в Ваши должностные обязанности.

• Запрещается запускать программное обеспечение, не относящееся к выполнению Ваших должностных обязанностей.

• Запрещается вносить изменения в конфигурацию автоматизированного рабочего места (персонального служебного компьютера, ноутбука, планшета).

• Запрещается подключать к автоматизированному рабочему месту (персональному служебному компьютеру, ноутбуку, планшету) не согласованное к установке оборудование и технические средства.

• Запрещается отключать, вносить изменения в работу средств защиты информации, препятствовать или ограничивать их работоспособность.

• Располагайте мониторы и печатающие устройства таким образом, чтобы исключить несанкционированный доступ к отображаемой и печатаемой информации (возможность ее просмотра третьими лицами).

• Соблюдайте установленные правила и требования по обеспечению информационной безопасности и безопасности информации при её обработке.

• По всем вопросам, связанным с обеспечением безопасности информации в Организации обращайтесь в подразделение информационной безопасности.