Информационная безопасность

Виды

Логика функционирования систем информационной безопасности предполагает следующие действия.

Прогнозирование и быстрое распознавание угроз безопасности данных, мотивов и условий, способствовавших нанесению ущерба предприятию и обусловивших сбои в его работе и развитии.

Создание таких рабочих условий, при которых уровень опасности и вероятность нанесения ущерба предприятию сведены к минимуму.

Возмещение ущерба и минимизация влияния выявленных попыток нанесения ущерба.

Средства защиты информации могут быть:

  • техническими;
  • программными;
  • криптографическими;
  • организационными;
  • законодательными.

ФинЦЕРТ

Существенную долю ответственности за обеспечение безопасности в банковской сфере взял на себя Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Организация существует более четырех лет, и за этот период ей удалось систематизировать накопленный опыт в сфере информационной безопасности и снизить частоту нападений на банки и средний размер ущерба, причиняемого одной хакерской атакой. ФинЦЕРТ разработал собственную автоматизированную систему обработки информационных инцидентов. Подключиться к системе ФинЦЕРТ могут банки и небанковские кредитные организации.

ФинЦЕРТ вправе проводить проверки соблюдения требований информационной безопасности в банковской сфере. Во время 122 проверок, проведенных в 2019 году, выявлено около 700 нарушений требований, которые привели или могли привести к риску возникновения компьютерного инцидента и хищения денег клиентов.

Контроль и управление

Услуги компании по обеспечению информационной безопасности предприятия во многих случаях представляют собой долгосрочное сотрудничество с компанией-заказчиком.

Необходимость управления и контроля систем, проверка и аудит работы, предоставление своевременной отчетности о возможных нарушениях, решение возникающих проблем – все это делает непрерывную и постоянную работу системы безопасности совершенно необходимой для компании.

Отчет о проделанной работе компании предоставляют в соответствии с требованиями строгой отчетности, ведения журнала записей учета текущих нарушений, выявления потенциальных опасностей и регистрации возможной утечки данных.

Оценка эффективности предоставляемых услуг строится на общем анализе безопасности, скорости и эффективности решения возникающих проблем и достижении поставленных целей. Важным критерием оценки являются полнота и достоверность предоставляемой отчетности.

Современные компании, предоставляющие услуги по обеспечению информационной безопасности, разрабатывают персональные системы контроля, программное обеспечение и шифровальные коды. Все разработки проходят тщательные испытания на предмет утечки или несанкционированного проникновения к доступу данными.

Появление новых вирусов, повреждающих носители информации, и новых систем взлома заставляют непрерывно работать над повышением эффективности защиты, разработкой более совершенных программ шифрования и блокировки утечки.

Применение качественного и высокотехнологичного оборудования, разработка улучшенных систем безопасности, грамотное обучение персонала и организованная система контроля способствуют безопасной работе предприятия с минимальным риском нарушения целостности информации и сохранения ее конфиденциальности. А это, в свою очередь, гарантирует высокую производительность работы фирмы и плодотворное ведение бизнеса.

Средства защиты информации

Средства защиты информации (СЗИ) — это ПО и оборудование, помогающие предотвратить утечки данных и эффективно противостоять угрозам. В их число входят различные аппаратные решения, программное обеспечение и организационные меры, которые должны работать в комплексе.

Из всех СЗИ наиболее популярны программные средства. Перечислим основные типы такого ПО.

Традиционные антивирусы

Некоторые из антивирусов способны не только обнаружить и обезвредить вредоносные программы, но иногда и восстановить поврежденные файлы. Важная функциональность, о которой не стоит забывать — сканирование, периодичность которого можно настраивать в соответствии с расписанием.

Облачные антивирусы

Основное отличие от традиционного ПО — в том, что анализ файлов происходит непосредственно в облачной инфраструктуре, а на устройстве устанавливается только клиент. Таким образом, антивирус не нагружает ОС рабочих ПК. Поэтому они хорошо подходят для не очень производительных систем. Среди примеров можно назвать Panda Cloud Antivirus, Crowdstrike, Immunet.

Системы мониторинга и управления информационной безопасностью (SIEM)

Это специализированное ПО, созданное для мониторинга ИТ-инфраструктуры. SIEM-решения собирают информацию о событиях в сети из всех критичных источников. Это антивирусы, межсетевые экраны, операционные системы и так далее. Вся эта информация централизованно хранится в одном месте и анализируется в автоматическом режиме. На основе анализа система мгновенно уведомляет ИТ-отдел об активности, похожей на хакерские атаки, сбои и другие угрозы.

Data Leak Prevention (DLP)

Это специализированное ПО, разработанное для защиты данных от утечки. Такие решения эффективны, но требуют больших организационных и финансовых затрат от компании. Хороший выбор, если вы готовы заплатить за действительно серьезный уровень безопасности.

Также можно выделить такие типы, как криптографические системы, межсетевые экраны, VPN и прокси-серверы

Особое внимание следует уделить и защите мобильных устройств, которыми пользуются сотрудники. Для этого существует целый ряд решений, например AirWatch, IBM MaaS360, VMware, Blackberry Enterprise Mobility Suite

Конкурентная разведка

Одной из особенностей корпоративной модели ИБ становится необходимость работы не только на защиту, но и на опережение. Конкурентный рынок требует использования таких методов экономической разведки, которые не противоречили бы закону, но позволили исключить угрозу внешних кибератак конкурентов. 

Этот уровень обеспечения информационной безопасности включает изучение:

  • конкурентной среды;
  • угроз, исходящих от конкурентов, и вариантов противостояния им;
  • поставщиков и подрядчиков, их надежности;
  • поведения конкурентов при помощи аналитических программ и открытых источников и прогнозирование атак с их стороны.

Комплексное решение проблем корпоративной информационной безопасности часто является задачей, поставленной перед ИТ-службами не только акционерами и руководством, но и государством. Специфика их работы в случае аварий и компьютерных инцидентов способна нанести ущерб охраняемым общественным интересам. Это побуждает решать задачи обеспечения безопасности наиболее эффективным путем, качественно выстраивая архитектуру информационной системы и используя проверенные решения.

Общие проблемы построения системы информационной безопасности

Если крупные банки и владельцы объектов критической информационной инфраструктуры хорошо знают, как строить свою модель ИБ, то у 40 % российских компаний нет понимания стратегии в этом вопросе, считает крупнейшая мировая аудиторская компания PricewaterhouseCoopers (PwC). 

Выявлены следующие проблемы:

  • почти 50 % российских компаний не уделяют внимания обучению сотрудников основам информационной безопасности;
  • 56 % компаний отказываются от внедрения системы реагирования на инциденты из-за ее экономической, на их взгляд, неэффективности;
  • только 19 % компаний уверены в том, что их программно-аппаратные средства позволят идентифицировать виновника инцидента;
  • 25 % компаний уверены в том, что основной риск несут мобильные устройства сотрудников, но не готовы внедрять программные решения по обезвреживанию угрозы.

Пока руководители компаний только приходят к мысли о необходимости тестирования уязвимости, даркнет пополняется предложениями по продаже данных, обеспечивающих доступ к уже взломанным системам защиты. 

Эксперты предполагают, что ситуация с угрозами в 2020 году будет развиваться по следующим направлениям:

  • понимание невозможности построения идеальной системы защиты приведет к росту рынка SIEM-систем, позволяющих наиболее быстро выявлять инциденты и реагировать на них;
  • усилится охота за обученными кадрами, компании станут вкладывать больше средств в создание совместных с вузами программ обучения специалистов по кибербезопасности;
  • усилится роль единых государственных систем управления инцидентами – ФинЦЕРТ, ГосСОПКА, ИЭСР;
  • благодаря новым криминалистическим технологиям начнется выявление хакерских группировок, контролирующих незаметно сети компаний уже несколько лет;
  • повысится роль ОС, не содержащих известные уязвимости;
  • в связи с ростом защищенности крупных компаний повысится число атак, направленных на их поставщиков и подрядчиков.

Учитывая эти аспекты и уже проработанные примеры внедрения системы информационной безопасности предприятия, нужно выстраивать стратегию ИБ компании на ближайшие годы.

Процедурные задачи

Кроме документального, решение задачи технического обеспечения информационной безопасности предприятия внедряется на процедурном уровне. Требуется:

  • организовать управление персоналом на уровне, исключающем возникновение инцидентов безопасности со стороны инсайдеров;
  • обеспечить физическую защиту документов и элементов инфраструктуры, в некоторых случаях и персонала. В этой же группе задач внедряются противопожарные меры и другие меры безопасности, исключающие повреждение объектов в результате аварии;
  • организовать процесс постоянного поддержания работоспособности системы;
  • спланировать реакцию на инциденты и дальнейшие восстановительные работы.

На программном уровне реализуются следующие шаги: 

  • установка SIEM-систем, выявляющих инциденты безопасности, и DLP-систем, исключающих утечку данных из охраняемого периметра;
  • внедрение межсетевых экранов (файрволов) и средств обнаружения вторжений, снижающих риск внешних атак;
  • расширение пропускного канала, снижающего вероятность успешных DDoS-атак;
  • установка сервиса постоянного аудита и мониторинга работоспособности системы;
  • применение средств криптографической защиты, прошедших сертификацию.

Если реализация мероприятий по созданию системы технического обеспечения информационной безопасности предприятия осуществляется организацией-подрядчиком, она должна иметь лицензии. Выполнение комплекса мер позволит обеспечить защиту интересов фирмы на высшем уровне.
 

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

  1. Всесторонний анализ имеющихся информационных ресурсов.
  2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
  3. Внедрение средств защиты.
  4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

  • составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
  • определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
  • используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
  • составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
  • создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?  

Основными задачами ИБ-службы являются:

  • общая техническая защита информации;
  • исключение доступа и несанкционированного использования конфиденциальных данных;
  • обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

  • криптографическая защита информации (шифрование);
  • использование электронной подписи для подтверждения авторства доверенного пользователя; 
  • резервное копирование баз данных и операционных систем;
  • создание системы паролей для идентификации и аутентификации сотрудников;
  • контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
  • применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
  • установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

Организация информационной безопасности на предприятии

Все предприниматели всегда стремятся обеспечить информации доступность и конфиденциальность. Для разработки подходящей защиты информации учитывается природа возможных угроз, а также формы и способы их возникновения.

Организация информационной безопасности на предприятии производится таким образом, чтобы хакер мог столкнуться с множеством уровней защиты. В результате злоумышленнику не удаётся проникать в защищённую часть.

К наиболее эффективному способу защиты информации относится криптостойкий алгоритм шифрования при передаче данных. Система зашифровывает саму информацию, а не только доступ к ней, что актуально и для безопасности банковской информации.

Структура доступа к информации должна быть многоуровневой, в связи с чем к ней разрешается допускать лишь избранных сотрудников. Право полного доступа ко всему объему информации должны иметь только достойные доверия лица.

Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Любые нарушения в этой области должны караться определенными санкциями.

Модели защиты предусматриваются соответствующими ГОСТами и нормируются целым рядом комплексным мер. В настоящее время разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности.

Следует иметь ввиду, что недорогие беспроводные сети не могут обеспечить необходимого уровня защиты.

Во избежание случайных потерь данных по неопытности сотрудников, администраторы должны проводить обучающие тренинги. Это позволяет предприятию контролировать готовность сотрудников к работе и дает руководителям уверенность в том, что все работники способны соблюдать меры информационной безопасности.

Атмосфера рыночной экономики и высокий уровень конкуренции заставляют руководителей компаний всегда быть начеку и быстро реагировать на любые трудности. В течение последних 20 лет информационные технологии смогли войти во все сферы развития, управления и ведения бизнеса.

Из реального мира бизнес уже давно превратился в виртуальный, достаточно вспомнить как стали популярны ЭЦП, у которого имеются свои законы. В настоящее время виртуальные угрозы информационной безопасности предприятия могут насести ему огромный реальный вред. Недооценивая проблему, руководители рискуют своим бизнесом, репутацией и авторитетом.

Большинство предприятий регулярно терпят убытки из-за утечки данных. Защита информации предприятия должна занимать приоритетное место в ходе становления бизнеса и его ведения. Обеспечение информационной безопасности – залог успеха, прибыли и достижения целей предприятия.

Методы защиты информационных систем

Смысл информационной защиты в сохранении информации в первозданном виде, исключая доступ посторонних. 

Системный подход состоит из четырех составляющих обеспечения безопасности:

  • законы и нормативно-правовые акты;
  • распределение задач между ИБ-подразделениями;
  • политика информационной безопасности;
  • техническое и программное обеспечение.

Всем методам защиты на предприятии присущи такие характеристики:

  • применение технических средств, фактическое использование которых растет по мере расширения информационного пространства и количества рабочих станций;
  • постоянный мониторинг баз данных;
  • непрерывная разработка новых вычислительных систем с улучшенными методами шифрования, постоянное шифрование уже имеющимися методами;
  • ограничение доступа к информации на предприятии.

Наиболее серьезную угрозу для информационных систем представляют компьютерные вирусы. Они приносят больше всего убытков информационной инфраструктуре. Основная проблема состоит в том, что антивирусное программное обеспечение не может полностью предупредить появление новых угроз. Вследствие этого, так или иначе, происходит повреждение информационных пакетов и нарушение работы информационных систем. Устранение проблемы возможно только по факту после нахождения вредоносного вмешательства. Также стоит упомянуть физические методы защиты информации – устройства, мгновенно распознающие стороннее вмешательство в систему.

Чтобы защитить определенный объект от внешних и внутренних угроз, необходимо создание Системы обеспечения информационной безопасности (СОИБ).

Для построения эффективной и работоспособной системы руководствуются примерным планом:

  • выявляют необходимые данному объекту степени защиты;
  • соотносят их с положениями законов и постановлений, действующих на территории страны в этом направлении деятельности;
  • обращаются к предыдущим наработкам;
  • назначают ответственные подразделения и распределяют ответственность между ними;
  • определяют политику информационной безопасности данного объекта и используют необходимые программно-технические методы для ее внедрения.

СКУД

Система контроля и управления доступом (СКУД)– решение, снимающее большинство рисков, связанных с несанкционированным доступом к данным. Под этим термином (Physical Access Control System, PACS) понимается комплекс программно-аппаратных технических средств контроля и управления, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на определенной территории (офис, производство) через точки прохода, а также ограничение доступа пользователей и посетителей к компьютерам, где хранится конфиденциальная информация.

Установка СКУД решает следующие задачи:

  • безопасность офиса, сотрудников, информации;
  • бизнес-аналитика. Система сохраняет данные, которые могут применяться для анализа использования рабочего времени;
  • сокращение расходов на охрану;
  • учет рабочего времени сотрудников.

В систему СКУД входят следующие элементы:

  • идентификаторы, обычные (смарт-карта) или биометрические (отпечаток пальца или рисунок сетчатки глаза). При использовании биометрических идентификаторов не надо забывать о том, что они относятся к биометрическим персональным данным и возникает необходимость получения согласия на их обработку;
  • считыватели. Это могут быть RFID-считыватели, считыватели пин-кода и штрих-кода, биометрические считыватели;
  • контроллеры СКУД, управляющие считывающими устройствами;
  • устройства центрального управления – программное обеспечение и компьютеры;
  • преграждающие устройства – электромагнитные замки, приводы дверей, шлагбаумы, турникеты.

Достаточно простое и экономичное техническое решение, СКУД, обеспечит высокий уровень защиты офиса и поможет проконтролировать трудовую дисциплину.

Комбинация программных и аппаратных средств и обучение пользователей правилам ИБ поможет организовать систему информационной безопасности офиса и конфиденциальных данных на высоком уровне.

Хакерские атаки

Несмотря на реальную опасность для корпораций атак в информационном поле, наибольшую угрозу несут хакерские вторжения, направленные не на хищение информации, а на внедрение в системы управления предприятия. По данным «Лаборатории Касперского», не менее 46 % систем АСУ российских компаний становились мишенью внешних атак, направленных на перехват управления производственными процессами. Если подразделения корпорации находятся в зонах повышенного риска, в регионах с боевыми действиями, атаки хакеров могут быть направлены на намеренное создание крупных техногенных аварий с целью обвинить в них акционеров корпорации. 

Прерывание или изменение параметров технологических процессов может повлечь за собой:

  • финансовые потери;
  • техногенные аварии;
  • перерыв в электро- и теплоснабжении жилых районов;
  • экологические катастрофы;
  • репутационные потери не только для компании, но и для страны в целом, если объект находится за рубежом.

Сложность топологии систем управления отдельными производственными объектами побуждает выстраивать все более совершенные системы. Для тех корпораций, в собственности которых есть объекты критической информационной инфраструктуры, возникает необходимость создания на своей базе центров ГосСОПКА, единой системы мониторинга и реагирования на компьютерные атаки.

Крупные производственные корпорации столкнулись с еще одной проблемой информационной безопасности, связанной с повсеместным внедрением Интернета вещей. Исследование Института Ponemon, направленное на изучение проблем состояния кибербезопасности в ТЭК, это показало, что корпорации не готовы к отражению атак, они не имеют знаний о возможностях кибербезопасности.

Если корпорация не достигла той степени роста, чтобы создать эффективную ИТ-дирекцию с профессионалами высокого уровня, способными решить задачи выстраивания надежной системы информационной безопасности корпорации, эксперты рекомендуют воспользоваться услугами аутсорсинга. Это эффективнее с технической и экономической точки зрения. Применительно к пяти крупным корпорациям, чьи акции обращаются на открытом рынке ценных бумаг, было проведено изучение эффекта от передачи задачи построения системы корпоративной безопасности на аутсорсинг за 5-летний период. Анализ показал, что компании, заключившие крупные сделки в сфере ИТ-аутсорсинга, добились более высоких показателей бизнеса в долгосрочной перспективе, чем конкуренты, компании, самостоятельно выстраивающие стратегию безопасности. Этим компаниям удалось сократить коммерческие, общие и административные расходы (SG&A), повысить окупаемость активов (ROA) и увеличить прибыль до уплаты процентов и налогов (EBИТ).

Плюсы аутсорсинга: 

  • масштабирование успешных результатов;
  • более глубокое понимание информационной среды, знание современного программного обеспечения;
  • эффективная настройка бизнес-процессов защиты информации.

Минусы:

  • компания, предлагающая услуги аутсорсинга, может быть не знакома с особенностями производственных процессов корпорации, потребуется время на ознакомление;
  • вероятность утечек информации или программного кода инструментов безопасности повышается, особенно в случае, если сотрудников разработчика заинтересуют конкуренты.
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector