Рекомендации по информационной безопасности для малого и среднего бизнеса (smb)

Цели работы СИБ

Сотрудники управления ИБ должны предотвращать любые незаконные формы использования информации как объекта собственности.

Основные цели работы СИБ:

  • правовая защита компании во взаимоотношениях с государственными органами, партнерами по бизнесу (российскими и зарубежными), конкурентами;
  • охрана секретных сведений, прав интеллектуальной собственности, повышение репутации организации в деловой сфере, увеличение эффективности использования имеющихся данных;
  • охрана собственности компании;
  • повышение конкурентоспособности, минимизация ущерба от несанкционированного доступа к информации;
  • стимулирование деловой активности всех сотрудников, контроль за соблюдением трудовой дисциплины;
  • исключение попадания в зависимость от недобросовестных партнеров, конкурентов;
  • организация беспрерывной деятельности компании, планирование действий по восстановлению работы в случаях форс-мажора;
  • недопущение искажения, потери, хищения, подделки информационных ресурсов;
  • предотвращение любых несанкционированных действий по отношению к секретным сведениям;
  • документационное обеспечение предприятия в пределах своей компетенции;
  • охрана конституционных прав людей на личную тайну и конфиденциальность сведений, содержащихся в АИС;
  • своевременное выявление и предотвращение угроз интересам компании;
  • разработка путей возмещения ущерба от неправомерных действий третьих лиц, минимизация последствий;
  • пресечение попыток подрыва стабильного функционирования организации;
  • обеспечение безопасного проведения сделок, совещаний, переговоров, встреч;
  • получение информации о конкурентах, инвесторах и возможных партнерах разрешенными законодательством способами; 
  • обучение всего персонала основам ИБ, проведение профилактических и воспитательных бесед.

Основные проблемы в процессе защиты материалов

Решая вопрос защиты информации в корпоративных сетях, стоит обратить внимание на возможные перебои и нарушения в процессе доступа, способные уничтожить или исказить сведения. Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов: 

Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов: 

1. Нарушения работы системного оборудования: разрыв кабелей, перебои в электропитании, сбой в дисковой системе, нарушения функционирования серверов, сетевых карт, рабочих станций, системы архивации.

2. Уничтожение данных вследствие некорректной работы программного обеспечения: ошибки системы, заражение компьютерными вирусами.

3. Следствие несанкционированного доступа: пиратское копирование, устранение или фальсификация данных, работа посторонних с секретными материалами.

4. Неграмотное сохранение архивов.

5. Ошибки технического штата и пользователей сетевого ресурса: случайное искажение либо уничтожение информации, некорректное пользование программными продуктами.

В каждом из перечисленных случаев требуется устранить нарушения и усилить систему безопасности компьютерной сети.

Ввод системы в эксплуатацию

По результатам анализа и подготовительных работ составляется технический проект, на основании которого производится монтаж инженерных систем наблюдения, сигнализации, оповещения и контроля. Эти работы следует поручать организациям, имеющим лицензию ФСТЭК РФ (Федеральной Службы по Техническому и Экспортному Контролю), обладающим необходимым опытом и оборудованием

Важно обращать внимание на количество и состав рабочих бригад, проверять их допуск. После окончания работ помещения проверяют на наличие закладок (электронных средств слежения, прослушки, фото- и видеосъемки). Затем производится проверка работоспособности вновь созданных комплексов оборудования и устраняются обнаруженные ошибки

По результатам приемки составляется акт, в котором отражают состояние систем, вносят замечания и пометки о наличии недостатков. После этого инженерные средства защиты информации окончательно вводят в эксплуатацию

Затем производится проверка работоспособности вновь созданных комплексов оборудования и устраняются обнаруженные ошибки. По результатам приемки составляется акт, в котором отражают состояние систем, вносят замечания и пометки о наличии недостатков. После этого инженерные средства защиты информации окончательно вводят в эксплуатацию.

Определение информационной безопасности

Информационная безопасность оказывает влияние на конкурентоспособность организации, ее репутацию и увеличение прибыли в конечном итоге. Причем, ограничение доступа посторонних к секретным сведениям – лишь одна из задач ИБ.  

В стандарте ISO/IEC 27001 (международный стандарт СМИБ) информационная безопасность определена как охрана конфиденциальности, подлинности, доступности, достоверности и целостности секретных сведений.

Под конфиденциальностью понимается возможность доступа к информационным системам только сотрудников с соответствующими полномочиями.

Доступность информационных ресурсов – возможность ими пользоваться в любое время, когда это нужно.

Целостность и достоверность информации – это ее точность, полнота и выбор методов обработки.

Подлинность ресурсов информационных систем – возможность использования именно тех ресурсов, к которым обращается авторизованный пользователь.

СМИБ должна охватывать всю деятельность организации. Принятые положения при этом нужно регулярно контролировать, пересматривать и совершенствовать. 

Сохранность секретных сведений значима не только для построения стратегии бизнеса в целом и выпуска основной продукции, но и для вспомогательных направлений бизнеса. Например, проведение переговоров, формирование условий контрактов или ценовой политики. 

К секретным сведениям относят государственную, врачебную, военную, банковскую, нотариальную, налоговую тайны. Также тайны следствия, страхования, судопроизводства, усыновления и т.д.

За распространение секретных данных, правонарушителю грозит дисциплинарная, административная или уголовная ответственность. 

В границах системы менеджмента информационной безопасности проводятся работы в нескольких направлениях. 

Управление информационной безопасностью на предприятии
Формирование политики безопасности Организация департамента информационной безопасности Разработка системы мер по реагированию на инциденты Проведение адитов информационной безопасности

Информация и необходимость ее защиты

Информация представляет собой сведения, передающиеся в любой форме – устной речи, бумажного документа, файла. Она имеет ценность не только для ее владельца, но и для третьих лиц, способных использовать чужие конфиденциальные данные для получения конкурентного преимущества или личного обогащения.

Информационные массивы подразделяются на три группы:

  • данные, для которых отсутствует необходимость защиты от утечек, или общедоступные, раскрытие которых обусловлено нормами законов; 
  • защищаемые в качестве коммерческой тайны при условии введения режима коммерческой тайны и составления перечня сведений, относимых к ней;
  • те, которые необходимо охранять исходя из требований законодательства – банковская или государственная тайны, персональные данные.

В зависимости от категории данных компании выбирают необходимые средства из арсенала защиты. Они делятся на группы:

  • административные и организационные, выстраивающие систему управления в компании таким образом, чтобы исключить несанкционированный допуск к данным;
  • технические, аппаратными средствами блокирующие НСД (токены, при помощи которых происходит аутентификация, заглушки на USB-входы в компьютер);
  • программные, равно защищающие от несанкционированного доступа инсайдеров и от внешних атак.

Конкурентная разведка

Одной из особенностей корпоративной модели ИБ становится необходимость работы не только на защиту, но и на опережение. Конкурентный рынок требует использования таких методов экономической разведки, которые не противоречили бы закону, но позволили исключить угрозу внешних кибератак конкурентов. 

Этот уровень обеспечения информационной безопасности включает изучение:

  • конкурентной среды;
  • угроз, исходящих от конкурентов, и вариантов противостояния им;
  • поставщиков и подрядчиков, их надежности;
  • поведения конкурентов при помощи аналитических программ и открытых источников и прогнозирование атак с их стороны.

Комплексное решение проблем корпоративной информационной безопасности часто является задачей, поставленной перед ИТ-службами не только акционерами и руководством, но и государством. Специфика их работы в случае аварий и компьютерных инцидентов способна нанести ущерб охраняемым общественным интересам. Это побуждает решать задачи обеспечения безопасности наиболее эффективным путем, качественно выстраивая архитектуру информационной системы и используя проверенные решения.

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «СёрчИнформ КИБ» можно бесплатно в течение 30 дней.   

Функции СИБ

Деятельность служб информационной безопасности на предприятиях должна быть организована в рамках правовых норм. В зависимости от направления работы компании функции и штат служб ИБ могут сильно различаться.  

К основным обязанностям службы ИБ относится:

консультирование руководителей по вопросам обеспечения ИБ и привлечения кадров;
проверка кандидатов на замещение вакансий в других подразделениях, беседы с увольняющимися сотрудниками, а также периодический инструктаж персонала, повышение его уровня грамотности в сфере безопасности информации;
периодический анализ психологической обстановки в коллективе;
контроль активности персонала, учет нарушений правил безопасности сотрудниками;
классификация информации, определение уровня ее важности и роли в информационных системах;
разработка политики информационной безопасности;
разграничение доступа пользователей к секретной информации;
разработка инструкций по информационной безопасности для каждого структурного подразделения, контроль их выполнения (при формировании новых правил ИБ это должно быть отражено в нормативно-правовых документах);
контроль аутентификации сотрудников, периодическая смена паролей, контроль соблюдения запрета на передачи паролей лицам, не имеющим прав доступа к системам информации;
обеспечение безопасности информационных систем (ограничение удаленного доступа, установка агентов системы обнаружения атак на каждом сегменте информационной сети);
ведение регистрационных журналов по всем системам;
контроль и учет антивирусного и программного обеспечения;
ознакомление с правилами использования информации третьих лиц (например, партнеров компании) в случае необходимости их допуска к секретным данным;
хранение, учет и выдача носителей конфиденциальных сведений; 
организация физической охраны объекта;
принятие мер по сохранности информации при ее транспортировке;
взаимодействие с представителями правоохранительных органов в случае необходимости.

Также специалист по ИБ занимается обеспечением безопасного функционирования автоматизированных информационных систем (АИС). 

В комплекс мер по обеспечению безопасности АИС входит:

  • регулярное обновление системы и всех ее элементов;
  • проведение расследований по каждому нарушению, принятие необходимых мер по результатам расследования с целью избежать повторения инцидента;
  • инвентаризация программных и технических средств защиты АИС;
  • вычисление открытых портов, идентификация ОС и приложений;
  • проверка уровня безопасности web-приложений;
  • оценка систем управления информационными базами знаний и данных; 
  • анализ эффективности контроля сохранности автоматической информационной системы;
  • составление отчетов для руководства.

Служба ИБ также занимается созданием криптографической защиты данных. Проводит аудит информационных систем, проверяя возможность их взлома, наличие каналов утечки секретных данных.

Система ИБ

Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

  • статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
  • динамическое, подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.

Как выстроить систему корпоративной безопасности

Помимо службы безопасности, комплексные задачи защиты предприятия от внутренних и внешних угроз решает высший и средний менеджмент, финансовая дирекция, служба внутреннего контроля, КРУ, юридическое подразделение, службы персонала и ИТ. Возникает необходимость выстраивания их эффективного взаимодействия. 

Требуется выработать механизм борьбы с угрозами, состоящий из этапов:

1. Обнаружение. Сотрудники предприятия должны выработать механизм обнаружения угрозы таким образом, чтобы не возникло ложных срабатываний. Так, для ИТ-специалиста решением задачи станет настройка системы мониторинга ИТ-инфраструктуры, оповещающая о вторжениях, для внутреннего аудита – отклонение в результатах финансово-хозяйственной деятельности, отличающееся от обычных значений сезонных или иных колебаний. Например, когда пик продаж сельхозтоплива приходится не на начало посевной кампании, а на ее середину, возникает ситуация, в которой отклонение выглядит неестественным.

2. Анализ. Сотрудник должен предвидеть возможность угрозы, оценивать масштаб, находить источники и меры реагирования своими силами или с привлечением причастных подразделений.

3. Противостояние. Для каждого типа угроз должна быть разработана собственная политика или инструкция, позволяющая быстро принять меры самостоятельно, выбрать подходящее из дерева решений.

4. Регламентация. Все этапы работы с угрозами внутренней безопасности предприятия должны быть регламентированы в четких инструкциях, принятых на уровне руководства компании.

Все эти задачи не должны становиться самоцелью. Выявление угроз и реакция на них не могут быть основными задачами подразделений, чья деятельность связана с иными бизнес-процессами.

О каких событиях безопасности действительно нужно беспокоиться

Чтобы классифицировать типы происшествий в сфере безопасности информационной системы, нужно сопоставить каждое из них с «цепочкой киберубийств», чтобы определить соответствующую приоритетность и стратегию реагирования на инциденты. 

Например, при сканировании порта многие проблемы игнорируются, если есть исходный IP-адрес, не имеющий плохой репутации, и с одного и того же адреса совершается несколько действий за короткий промежуток времени. Информационный ресурс в большинстве случаев остается нетронутым.

Вредоносную инфекцию, попавшую на устройство с программным обеспечением, нужно устранить немедленно. Основная методика лечения – сканирование сети на предмет наличия признаков компрометации, связанных с проблемой, и уничтожение их до того, как злоумышленники скопировали базу данных. На охраняемом объекте необходимо настроить веб-серверы для защиты от запросов HTTP и SYN. Во время атаки нужно скоординировать свои действия с провайдером, чтобы заблокировать исходные IP-адреса. 

Иногда нужно расследовать все связанные действия, чтобы предотвратить отвлечение мошенниками внимания от более серьезной попытки атаки. Информационное сопротивление в данном случае успешно при тесном сотрудничестве с интернет-провайдером или поставщиком услуг.

Состав СИБ

Состав службы ИБ зависит от целей и размеров организации. Небольшим компаниям может быть достаточно и одного человека, который совмещает должности руководителя СИБ и ИБ-специалиста. 

Необходимо понимать, что служба, занимающаяся безопасностью информации, – это не сервисный отдел, а руководящий. Ее главной задачей является разработка правил информационной безопасности и контроль за их соблюдением. Например, требования служб ИБ об установке защитного программного обеспечения должны исполнять сотрудники IT-управления. Они же могут заниматься разработкой и обслуживанием ПО. Служба ИБ в этом случае выступает в роли координатора. 

Управлению ИБ в вопросах, относящихся к его компетенции, должны подчиняться все сотрудники организации. Управление, занимающееся созданием и обеспечением безопасности не должно входить в структуру других управлений. Оно должно работать обособленно, но при этом взаимодействуя со всеми остальными сотрудниками. 

Каждый сотрудник, начиная от рядового исполнителя и заканчивая руководством компании, должен четко понимать, что такое безопасность информации, осознавать важность сохранности секретных сведений. И наказание, которое последует за нарушение правил информационной безопасности. . Для обеспечения сохранности секретной информации можно обратиться за помощью к сторонней организации

В этой ситуации существует определенный риск – сведения, которые должны храниться в секрете, частично будут доступны приглашенным специалистам. Поэтому для закрытых организаций собственное управление ИБ предпочтительнее сервисных сотрудников.  

Для обеспечения сохранности секретной информации можно обратиться за помощью к сторонней организации. В этой ситуации существует определенный риск – сведения, которые должны храниться в секрете, частично будут доступны приглашенным специалистам. Поэтому для закрытых организаций собственное управление ИБ предпочтительнее сервисных сотрудников.  

Основные защитные средства от несанкционированного доступа

Такие методы могут быть административными и техническими. Грамотные организационные меры вкупе с эффективными программными средствами позволяют создать надежный механизм защиты информации от злоумышленников. 

Защиту информации можно обеспечить посредством внедрения архитектурно-планировочных решений, позволяющих защитить критичные помещения от прослушивания, и определения разных уровней доступа к секретным данным.

Чтобы регламентировать деятельность персонала, можно оформить запрос на доступ к Сети, внешней электронной почте и другим ресурсам. Это позволит контролировать действия внутренних пользователей. Защиту информации, передаваемой по электронным каналам, усиливает использование электронной цифровой подписи.

К административным средствам защиты информации также относят организацию:

  • физической охраны ИС;
  • аутентификации пользователей;
  • разграничения доступа к защищаемым компонентам;
  • регистрации всех обращений к данным под защитой.

Рабочие ПК предпочтительно размещать в надежно запираемых помещениях. В рабочее время за компьютерами должны наблюдать ответственные сотрудники, в частности, не оставлять ПК без парольной защиты, когда покидают рабочее место. При обработке конфиденциальной информации в офисе могут находиться только лица, допущенные к этому процессу. 

Владелец ИС должен удостовериться в том, что у рядовых пользователей есть доступ только к тем ресурсам (массивам информационных данных), которые нужны им для работы. 

Идентификация достоверно определяет легитимность всех обращений пользователей к ИС. Она проводится на этапе входа пользователя в ОС. 

Для этого применяются следующие методы, обеспечивающие защиту информации:

  • вход по учетной записи;
  • вход по индивидуальным физиологическим характеристикам (отпечатки пальцев, тембр голоса, сетчатка глаза, лицо);
  • вход с применением радиокодовых устройств;
  • вход с использованием электронных носителей.

Вход по учетной записи. Каждый зарегистрированной пользователь в системе, получает личный логин и пароль, которые обязан хранить в тайне и вводить при каждом обращении к ИС. Логин и пароль посредством специального ПО сравниваются с эталонами. Если вводные данные совпадают, пользователь получает доступ под защитой. 

Очевидным достоинством этого способа является простота, недостатком – возможность утери или подбора логина и пароля. К тому же существует вероятность несанкционированного проникновения в область хранения эталонных паролей.

Вход по биометрическим данным. Биометрия считается одним из самых надежных методов защиты от НСД, но пока он не получил широкого распространения из-за необходимости специальной аппаратуры и соответствующего программного обеспечения, гарантирующего защиту. 
Существуют, однако, и методы обхода биометрической защиты. Например, систему распознавания лиц, которая используется в смартфонах, журналист Forbes сумел обойти с помощью гипсового слепка головы. 

Вход с применением радиокодовых устройств. Идентификация по радиокодовым устройствам предполагает использование механизмов, способных передавать радиосигналы с персональными свойствами. ПК оборудуется программно-аппаратными средствами приема, регистрации и обработки сигналов. Каждый пользователь получает такое приспособление, а его параметры заносятся в запоминающее устройство средств защиты. 

Минус этого метода идентификации в том, что похищение такого механизма дает правонарушителю потенциальную возможность НСД. 

Вход с использованием электронных носителей. В этом случае используются специальные карточки с данными, которые позволяют быстро идентифицировать сотрудника, вошедшего в офис или защищенный кабинет. Информация вносится на носитель в зашифрованном виде. Ключ кодирования известен только владельцу карточки либо сотруднику, который отвечает за обеспечение информационной безопасности в компании. Также возможно уничтожение ключа сразу после использования. ИС должна быть оснащена устройствами считывания информации с карточки. Этот способ часто находит применение в крупных территориально распределенных сетях, например, в автоматизированных банковских системах.

Уязвимость этого метода идентификации в том, что потеря карточки владельцем открывает доступ в помещения посторонним.

Виды угроз

Угрозы информационной безопасности, характерные для производства, также имеют свою специфику. Злоумышленники, среди которых в последнее время появляются хакерские группировки, связанные с иностранными правительствами, и террористические группы, заинтересованы в создании нестабильности. Наилучшим способом для этого становится внешнее вторжение в информационные сети предприятия с целью прерывания производственных процессов. По данным «Лаборатории Касперского», более 46 % систем АСУ российских предприятий в последний год подвергались атакам.

Большое количество сетевых соединений облегчает управление удаленными и движущимися объектами, но создает дополнительные риски. Одна из крупнейших компаний в мире, занимающаяся разработкой производственных объектов, Siemens, предложила исчерпывающую классификацию угроз информационной безопасности на производстве:

  • несанкционированное использование удаленного доступа к процессу управления производственным объектом. Каналы связи АСУ обычно не имеют достаточной защиты;
  • хакерские атаки, направляемые через корпоративные (офисные) информационные сети. Между каналами управления АСУ и офисной информационной системой существуют соединения, которые могут быть использованы злоумышленниками;
  • атаки на стандартные компоненты инфраструктуры сетей управления АСУ. Операционные системы, серверы приложений, базы данных имеют уязвимости, которые не всегда своевременно устраняются разработчиками и хорошо известны хакерам. Если в архитектуре АСУ есть такие компоненты, они могут быть использованы для атаки;
  • DDoS-атаки. Массированные распределенные атаки отказа в обслуживании часто используются для разрушения сетевых соединений и для нарушения нормальной работы АСУ;
  • ошибки персонала, намеренный саботаж и повреждение компонентов системы управления. Риски в этой ситуации, при наличии у злоумышленника доступа к АСУ, серьезны и непредсказуемы;
  • внедрение вирусных и других вредоносных программ через съемные носители лицами, допущенными к обслуживанию оборудования, часто это сотрудники сервисных организаций. Примером реализации риска стало массовое заражение АСУ, в том числе объектов ядерной инфраструктуры Ирана, вирусом Stuxnet; 
  • чтение, запись и изменение сообщений в сетях АСУ. Компоненты АСУ поддерживают сетевой обмен данными с использованием незащищенных тестовых сообщений. Это создает возможность без затруднений считывать тестовые сообщения и вносить в них несанкционированные изменения;
  • несанкционированный доступ к ресурсам. Если в АСУ предусмотрена слабая система идентификации и аутентификации, третьи лица могут получить доступ к ресурсам;
  • атака на сетевые компоненты с распространением на объекты промышленной инфраструктуры;
  • технические неисправности, аварии, природные катаклизмы.

Перечень угроз широк, не все они специфичны именно для системы информационной безопасности на производстве, некоторые носят общий характер.

Текущие угрозы

Особенностью корпорации как объединения экономических субъектов становится наличие множества систем и локальных корпоративных сетей разного уровня, для которых необходимо разработать единые регламенты и методики безопасности. Задача требует отвлечения большого объема сил, ресурсов – человеческих, временных, финансовых, и не всегда решается успешно. Только опора на человеческий фактор, создание понимания информационной безопасности как единой ценности компании способны на 70 % устранить риски. Но степень угроз растет ежегодно, что требует от специалистов по ИБ особенно высокой квалификации.

Источник угроз сложно предсказать, если корпорация занимается торговой и производственной деятельностью, не является оператором персональных данных, не владеет объектами ключевой информационной инфраструктуры. Для этих субъектов рынка внешние угрозы всегда более опасны, чем конкуренты или инсайдеры. А для корпорации или компании среднего уровня конкуренты более опасны, чем глобальные хакерские группировки. Но наличие сервиса электронных платежей, например, при продаже товаров через Интернет сделает их компанией-целью для лиц, желающих завладеть не только информацией неопределенной ценности, но и денежными средствами. Основной риск для конфиденциальной информации несет человеческий фактор, уровень защищенности сетей от инсайдеров часто оказывается крайне низким.

Ключевыми задачами специалиста по ИБ в этих условиях станут:

  • доступность приложений, обеспечивающих бизнес-процессы для пользователей, отсутствие рисков сбоя и выхода из строя системы;
  • доступность интернет-приложений и сайтов с магазинами для клиентов, минимизация риска DDoS-атак;
  • защита ключевой конфиденциальной информации от похищения в результате внешних атак или в результате деятельности инсайдеров. Наиболее уязвимым активом считаются клиентские базы данных, обычно переходящие из компании в компанию вместе с менеджером по продажам;
  • целостность информации, ее сохранность и неизменность в результате внешних вмешательств или работы инсайдеров, желающих внести изменения в данные с целью скрытия неудостоверенных трансакций Нарушение целостности информации станет проблемой при аудите отчетности, если специалисты проверяющей организации выявят факты вмешательства в структуру данных бухгалтерского или финансового учета.

Риски информационной безопасности по механизму их проявления делят на:

  • вредоносные программы (трояны, шифровальщики);
  • спам;
  • фишинговые письма;
  • DDoS-атаки и отказ в обслуживании;
  • внешние подключения к каналам связи с целью перехвата пакетов данных;
  • подмена первой страницы сайта.

От этих болезней есть разные способы лечения – организационные, технические и программные

В корпорации с большим количеством персонала, где инсайдерские угрозы становятся первоочередными, особое внимание нужно уделять организационным мерам. Они помогают избежать инцидента, а не минимизировать его последствия и вести внутренние расследования с не всегда предсказуемым результатом без возможности получения доказательств, достаточных для привлечения виновника к ответственности

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector