Организационные меры защиты информации на предприятии

Какие технологии применяются для защиты информации в компании. Разновидности угроз информационной безопасности. Методы защиты информации.

Организационные меры защиты информации на предприятии

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Меры по обеспечению информационной безопасности

Защита данных
с помощью DLP-системы

В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.

Как обеспечить информационную безопасность предприятия

Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.

Концепция безопасности

В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

В концепции обеспечения информационной безопасности предприятия определяются:

  • информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
  • основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;
  • модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя. Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
  • требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
  • методы и средства защиты информации.

Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.

После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.

Объекты защиты

Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия. Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств. Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.

Массивы информации становятся объектами защиты после признания их таковыми и отнесения к конфиденциальной информации.

Классификация осуществляется как по типу информации, так и по местам ее хранения.

Конфиденциальную информацию обычно классифицируют следующим образом:

  • персональные данные, подлежащие защите на основании норм федерального законодательства;
  • программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;
  • программные продукты, созданные или доработанные в интересах компании;
  • базы документооборота;
  • архивы электронной почты и внутренней переписки;
  • производственная информация, документы стратегического характера;
  • научная информация, данные НИОКР;
  • финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

Меры по обеспечению информационной безопасности

Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.

Читайте также  Методы защиты информации в компьютерных системах

Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:

  • доступность сведений. Под этим определением понимается возможность и для авторизованного субъекта в любое время получить требуемые данные, и для клиентов в регулярном режиме получать информационные услуги;
  • целостность информации. Это означает ее неизменность, отсутствие любых посторонних, неавторизованных вмешательств, направленных на изменение или уничтожение данных, нарушение системы их расположения;
  • конфиденциальность или абсолютная недоступность данных для неавторизованных субъектов;
  • отсутствие отказа или невозможность отрицать принадлежность действий или данных;
  • аутентичность или возможность достоверного подтверждения авторства информационных сообщений или действий в системе.

Организационные меры

К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

  • документирование и оптимизацию бизнес-процессов;
  • установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
  • создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
  • информирование или переобучение персонала;
  • организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
  • получение лицензий, например, на работу с государственной тайной;
  • обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
  • создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
  • установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
  • выполнение всех требований законодательства по защите персональных данных;
  • разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

Технические меры

К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.

К принципам построения такой системы относятся:

  • простота архитектуры, упрощение компонентов, сокращение числа каналов и протоколов межсетевого взаимодействия. В системе должны присутствовать только те элементы, без которых она окажется нежизнеспособной;
  • внедрение только протестированных программных решений, уже не раз опробованных другими предприятиями, плюсы и минусы которых очевидны;
  • минимальные доработки имеющихся лицензионных программных продуктов силами собственных или привлеченных исполнителей;
  • использование только лицензированного ПО, при возможности оно должно быть внесено в государственный реестр программ для ЭВМ и баз данных;
  • использование для построения системы только аутентичных компонентов, надежных и долговечных, не способных неожиданно выйти из строя и подорвать работоспособность системы. Все они должны быть совместимыми друг с другом;
  • управляемость, легкость администрирования как самой системы, так и применяемых программных продуктов, минимальное использование сторонней технической поддержки;
  • протоколирование и документирование любых действий пользователей, осуществляемых с файлами, содержащими конфиденциальную информацию, случаев несанкционированного доступа;
  • эшелонированность обороны. Каждый потенциальный канал утечки должен иметь несколько рубежей системы защиты, затрудняющих работу потенциального похитителя информации.

При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:

  • средства криптографической защиты, обеспечивающие шифрование на рабочих станциях и серверах, передаваемой по каналам связи;
  • средства антивирусной защиты;
  • SIEM-системы и DLP-системы, обеспечивающие закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика.

Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.

Конфиденциальная информация: как защитить корпоративные данные

С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Документы материальные и представленные в электронном виде.

Технические средства носителей информации и их обработки.

Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.

Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Запросы из государственных органов.

Проведение переговоров с потенциальными контрагентами.

Посещения территории предприятия.

Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Доступ к компьютерной сети.

Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

Оптимизировать защищаемые информационные потоки.

Определить формы представляемой информации.

Установить виды угроз защищаемой информации и варианты их реализации.

Установить, кому может быть интересна защищаемая информация.

Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

Удаленный доступ к информации.

Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

Настройка программного оборудования (особенно после обновления).

Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

Разграничение доступа к информации.

Дробление информации на части.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
  • Владельцам бизнеса;
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Читайте также  Основные информационные угрозы и методы защиты

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Организационные меры защиты информации на предприятии

5. Организационные меры обеспечения защиты информации

С чего начинается информационная безопасность компьютерных сетей предприятия? Теория говорит об анализе рисков, выработке политики и организации системы безопасности. И это правильно. Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных службах предприятия.

Вы должны уметь четко ответить на вопросы:

  • Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предприятии? Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
  • Вы сумеете узнать каждый компьютер «в лицо»?
  • Обнаружите ли вы «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей лошадкой оборудование на самом деле является троянским конем?
  • Какие задачи и с какой целью решаются на каждом компьютере?
  • Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопасности от него можно ожидать только вреда.
  • Каков порядок ремонта и технической профилактики компьютеров?
  • Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место?
  • Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Список вопросов можно продолжить. Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.
Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность — реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

  • появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;
  • необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
  • экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
  • принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);
  • использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.
Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационные меры:

  • разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
  • мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);
  • периодически проводимые (через определенное время) мероприятия;
  • постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия:

  • общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;
  • мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п. );
  • мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п. );
  • проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;
  • разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
  • внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п. ) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;
  • оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
  • определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
  • мероприятия по созданию системы защиты КС и созданию инфраструктуры;
  • мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);
  • организацию надежного пропускного режима;
  • определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;
  • организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
  • определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
  • создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;
  • определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

  • распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);
  • анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы,
  • мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
  • периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
  • мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

  • мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
  • мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т. п. );
  • мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д. ).

Постоянно проводимые мероприятия:

  • мероприятия по обеспечению достаточного уровня физической защиты всех компонентов КС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т. п. ).
  • мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;
  • явный и скрытый контроль за работой персонала системы;
  • контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;
  • постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Несколько детализируя методологию построения систем информационной безопасности относительно корпоративной сети, а также учитывая вышесказанное по возможным угрозам сети и имеющимся способам борьбы с ними, алгоритм построения системы информационной безопасности корпоративной сети может быть представлен следующим образом.
Весь объект защиты имеет несколько направлений возможных атак. Для каждого вида атаки существуют соответствующие способы и средства борьбы с ними. Определив основные способы борьбы, мы тем самым сформируем политику информационной безопасности. Выбрав в соответствии со сформированной политикой совокупность средств обеспечения информационной безопасности, объединив их системой управления, мы получим фактически систему защиты информации.
Аналогичным образом анализируются угрозы на уровне корпоративной сети. Она может быть представлена тремя основными составляющими – техническое обеспечение, информационное обеспечение и программное обеспечение. Каждый из этих компонент может далее детализироваться до степени, достаточной для формулировки основных угроз на этом уровне и возможных способов борьбы с ними.
Выбор конкретных способов и средств защиты информации на уровне сети также выливается в соответствующую политику и систему информационной безопасности, которые органически вливаются в общую политику и систему информационной безопасности всего объекта (см. ниже схемы “Вероятные угрозы”).

Читайте также  Стоимость нанесения огнезащиты на металлоконструкции

Защита информации на предприятии: методы и средства реализации задачи

Для современных предприятий характерно стремительное развитие их информационной среды. Постоянное накопление информации требует ее надлежащей обработки и хранения.

В результате работы с данными важной задачей является организация защиты информации на предприятии.

Если правильно не организовать работу в этом направлении, то можно потерпеть крах в современной экономической среде, которая не всегда отличается доброжелательной конкуренцией.

Зачастую все обстоит по-другому, конкурирующие фирмы стараются правильными и неправильными способами получить информацию о своем конкуренте, чтобы опередить его в развитии и продвижении на рынке.

На сегодня защита информации на предприятии представляет собой комплекс мер, которые направлены на то, чтобы сохранить целостность, уберечь от кражи и подмены следующих данных:

  1. база данных клиентов и партнеров;
  2. электронный документооборот компании;
  3. технические нюансы деятельности предприятия;
  4. коммерческие тайны.

Для успешного управления огромными потоками перечисленных данных предприятие должно иметь систему менеджмента информационной безопасности.

Она должна непрерывно работать на решение задачи защиты важной информации и отличаться хорошей защитой от внешних угроз и атак.

Оценка рисков

Система защиты информации на предприятии должна разрабатываться с учетом рисков, которые наиболее часто встречаются в информационной среде современных компаний.

К основным из них следует отнести:

  • попытки получения доступа к данным, которые недоступны для неавторизованных пользователей информационной системы предприятия;
  • несанкционированное изменение и подмена информации, которая может привести к потере предприятиями своей репутации и имиджа;
  • попытки получения доступа и кражи конфиденциальной, секретной и технической информации.

Исходя из перечисленных рисков, должны выбираться методы и алгоритмы защиты важной для предприятия информации.

Чтобы эту задачу решить положительно, на предприятии должна быть разработана и внедрена информационная политика, согласно которой производится градация данных, которая могут иметь открытый или только закрытый доступ.

Возможные источники проблем

Чтобы правильно выбрать методы защиты информации на предприятии и эффективно использовать их следует определиться с источниками возможных угроз потери данных.

К основным из них относятся:

  1. сбои в аппаратной системе предприятия, обеспечивающей обработку и хранения данных;
  2. мошенничество с целью получения доступа к информации;
  3. искажение данных с целью получения неправомерной выгоды или нанесения ущерба компании;
  4. подлог данных или их хищение с помощью различных аппаратных и программных средств;
  5. кража информации с помощью устройств, использующих для этого электромагнитное излучение, акустические сигналы, визуальное наблюдение.

Перечисленные угрозы могут исходить как от сторонних лиц, которым нужны определенные данные компании в личных интересах, конкурирующие фирмы или сотрудники организаций, которые небрежно выполняют свои функциональные обязанности, или решили передать важные данные конкурентам.

Если угроза исходит от сотрудников, то они, скорее всего, постараются незаметно скопировать информацию, воспользовавшись своими полномочиями, и передадут ее третьим лицам.

Когда данные стараются получить сторонние лица, в основном используются различные программные средства.

  • спам-рассылку с вредоносными ссылками;
  • вирусные программы;
  • троянские и шпионские плагины;
  • игровые закладки с измененным кодом под вирусный софт;
  • ложное программное обеспечение с измененными функциями.

Учитывая перечисленные угрозы, защита конфиденциальной информации на предприятии должна строиться как на аппаратном, так и программном уровне. Только в комплексе можно успешно защитить свои данные от киберзлоумышленников.

Примеры неправомерных действий

В качестве примера неправомерных действий, направленных на получение выгоды от подделки, замены, кражи информации можно привести следующие.

  1. Злоумышленник получает доступ к данным клиентов банка. Имея в наличии информацию о физлице, номерах его счетов, платежных карт, он может подделать документы или банковские карты и неправомерно снять деньги со счета другого человека.
  2. Если киберпреступник получит доступ к электронным копиям документов, он сможет подделать оригинальные документы и оформить кредит на другого человека.
  3. Во время расчета в интернет-магазине, злоумышленник, используя специальные плагины, может подменить реквизиты магазина, переведя деньги покупателя на свой счет, а не в магазин.
  4. При передаче важной технической информации каналами связи, кибершпионы, используя различные средства слежения и считывания, могут просканировать канал, по которому передается информационный трафик и получить доступ к техническим секретам предприятия.

Процесс организации защиты информации на предприятии

К основным этапам комплексной защиты информации на предприятии относятся:

  • формирование информационной политики предприятия, компании;
  • создание внутреннего правового поля использования информации;
  • формирование подразделения информационной защиты и безопасности.

Защитная деятельность компании должна вестись в следующих направлениях:

  1. защита данных, которые обрабатываются и хранятся в архивах;
  2. исключение вероятности несанкционированного проникновения в информационную среду компании;
  3. правильная работа с персоналом для исключения краж важных данных сотрудниками компании.

Меры защиты

Для повышения информационной безопасности предприятиями активно используются следующие меры безопасности.

Формирование системы доступа к данным внутри корпоративной сети

Предприятиями используются различные автоматизированные системы управления доступом к данным согласно приоритетам и статусам сотрудников компании.

Это упрощает процедуру отслеживания перемещения потоков данных и выявления утечек информации.

Антивирусная защита

Использование эффективного антивирусного программного обеспечения исключит вероятность кражи данных с помощью специального софта.

Он может попасть в информационную среду компании по сети интернет .

Зачастую практикуется параллельное использование двух программных продуктов, отличающихся разными алгоритмами определения шпионского и вирусного софта.

Системы обнаружения и защиты от кибератак

Подобного рода системы активно внедряются в информационные системы предприятий, поскольку позволяют защитить не только от распространения программ с вредоносным кодом, а и блокируют попытки остановки информационной системы предприятия.

Обучение персонала сетевой безопасности

Многие компании проводят для своих сотрудников семинары и конференции, на которых обучают безопасному поведению в локальной и глобальной сетевой среде, а также безопасному обращению с информацией во время выполнения своих ежедневных функциональных обязанностей.

Это существенно сокращает риски, того что информация будет утеряна или передана третьим лицам по небрежности сотрудников.

Заключение

Комплексная система защиты информации на предприятии – это сложная задача, которую предприятию самостоятельно решить достаточно сложно.

Для этого существуют специализированные организации, которые помогут сформировать системы информационной безопасности для любого предприятия.

Квалифицированные специалисты умело создадут структуру защиты, концепцию ее внедрения в конкретной компании, а также выберут подходящие аппаратные и программные средства для решения поставленной задачи.

Также ими проводится подготовка сотрудников компаний, которые потом будут работать с внедренной системой безопасности и поддерживать ее функциональность на надлежащем уровне.

Видео: Подход к защите информации на современном Предприятии

Алексей Бартош/ автор статьи
Понравилась статья? Поделиться с друзьями:
Gk-Rosenergo.ru
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: