Понятие безопасности информационных систем знакомо большинству пользователей. Актуальность построения системы информационной безопасности подтверждается постоянным ростом хакерских атак, нападений на банковские, корпоративные сети и компьютеры частных пользователей. Даже устройства «Интернета вещей» несут в себе риски при несанкционированном доступе. Все это порождает особое внимание к построению систем безопасности.

Правовое регулирование информационной безопасности

В России основные задачи информационной безопасности установлены в Концепции информационной безопасности, принятой в качестве единой государственной стратегии борьбы с основными видами угроз. Документ, подготовленный на уровне Совета Безопасности РФ, становится основой для разработки новых законов и подзаконных нормативных актов. Деятельность компаний в сфере защиты ИБ он не регламентирует. Если работа государственной или частной организации связана с информационными массивами, защита которых предусмотрена государственной политикой, например, с персональными данными, требования к ИБ, выбору аппаратно-программных и организационных мер защиты будут установлены рекомендациями и нормативными актами регуляторов – ФСТЭК РФ и ФСБ РФ. Для банков и организаций финансового сектора дополнительные требования разрабатывает Центробанк.

Виды ИБ-угроз 

Информационная безопасность на любом уровне предполагает реализацию трех составляющих:

• конфиденциальность информации или недоступность ее третьим лицам;
• целостность или отсутствие искажений или подмены;
• доступность или постоянная возможность для пользователя иметь доступ к нужным ему данным.

Хакеры могут быть заинтересованы в разрушении любой из этих составляющих в зависимости от целей, которые будут разными у организатора бизнес-шпионажа, злоумышленника, похищающего номера банковских карт, и иностранного государства, поставившего целью дезорганизовать систему управления противника с применением информационных технологий.

В зависимости от уровня сетей ранжируется и модель угроз. В Концепции информационной безопасности описываются основные типы угроз, стоящие перед государством, а значит, и перед обществом и бизнесом. Это:

• деятельность иностранных технических разведок, способных подорвать безопасность государства;
• международный терроризм, посягающий на информационные системы разных уровней;
• слабость национального кадрового потенциала, призванного решать задачи защиты ИС, и программного обеспечения.

Документ предлагает целостную систему защиты от рисков высшего уровня.

На частном уровне виды угроз конкретизируются. В различных исследованиях называются системные проблемы безопасности информационных систем:

• манипулирование доступом во внутреннее информационное пространство;
• кражи информации из корпоративных сетей и баз данных;
• изменение информации, подлоги документов в электронном виде;
• промышленный шпионаж;
• кражи средств с банковских счетов;
• вирусные угрозы.

Уязвимость программного обеспечения, наличие незадекларированных возможностей позволяют использовать различные способы взлома баз данных. На национальном уровне все чаще преимущество отдается российскому ПО, разрабатываемому с учетом актуальных угроз и не содержащему НД.

Составляющие информационной безопасности

Компания, желающая выстроить эффективную систему информационной безопасности, должна учитывать нарастание степени рисков. Постоянно растет уровень технологий, направленных на совершение нарушений в сфере ИБ, при этом падает квалификация исполнителей. Сейчас выстраивание системы ботнетов, организующих DDoS-атаки, способно обрушить ИС не самого защищенного уровня, а пользование ими доступно школьнику. Риски становятся не единичными, а массовыми, любой интернет-магазин, чья продукция не понравилась покупателю, рискует стать жертвой атаки.

Компания, желающая реализовать целостную концепцию безопасности информационных систем, должна использовать не менее трех уровней защиты:

• административный, предполагающий принятие локальных нормативных актов компании, регулирующих общий подход к задаче, например, называющих ответственное подразделение или утверждающих бюджеты и стратегии;
• организационный, на котором принимаются методики, определяющие частные задачи, например, перечень лиц с различным уровнем допуска к данным;
• технический, где принимаются и реализуются программные и аппаратные решения.

Реализуя эти меры, организация достигает следующих целей:

• защита интеллектуальной собственности и коммерческой тайны компании;
• выполнение требования законодательства о безопасности персональных данных;
• защита информационных ресурсов компании;
• эффективное использование ресурсов организации для решения задач безопасности информационных систем.

Экономия ресурсов становится ключевой задачей для компании. Так, РЖД может позволить себе создавать собственную сеть коммуникаций, Intranet, уровень защищенности которой снимает большинство рисков. Небольшая организация пользуется исключительно Интернетом, неся все последствия, связанные с незащищенностью систем общего доступа.

Построение системы ИБ

Строя работающую структуру безопасности информационных систем, организация должна начать с разработки, которая поможет оптимизировать и систематизировать выбранные меры и средства. Базой для ее построения становятся ответы на вопросы:

• надо ли защищаться чем-то, помимо штатных средств, и какие информационные массивы следует защищать;
• от кого надо защищаться, кто наиболее заинтересован во взломе системы безопасности;
• от чего, от какого типа угроз надо защищаться;
• как надо защищаться, какими средствами и с применением каких технологий, нужно ли применять ПО, сертифицированное для определенных целей;
• что, какие меры и кадровые ресурсы обеспечат эффективность защиты;
• какие финансовые средства необходимы для разработки, внедрения, эксплуатации, сопровождения, обновления и развития систем защиты.

Надо ли защищаться и что защищать

В простых ситуациях, для маленьких компаний задачу безопасности ИС решают штатные средства защиты, встроенные в операционные системы. Это брандмауэры, антивирусы, программы фильтрации электронной почты. Но НИИ окажется заинтересован в сохранности своих архивов от несанкционированного доступа, медицинскому учреждению нужно обеспечить защиту персональных данных клиентов, провайдер интернет-услуг озадачен постоянной доступностью сервера. Модель угроз готовится каждой организацией исходя из того, какие ее информационные ресурсы интересуют злоумышленника. 

Вторым шагом станет решение задачи, от какого типа угроз следует защищаться. Необходимо предложить меры, способные:
снять риск нарушения функционирования информационного пространства путем исключения воздействия на информационные системы;
обеспечить защиту от несанкционированного доступа к информации путем обнаружения и ликвидации попыток использования ресурсов информационного пространства, приводящих к нарушению его целостности;

• оберечь от разрушения встраиваемых средств защиты с возможностью доказательства неправомочности действий пользователей и обслуживающего персонала;
• выстроить схему защиты от внедрения вирусов и закладок (незадекларированных возможностей) в программные продукты и технические средства.

От кого необходимо защищаться

Модель угроз окажется индивидуальной в каждом случае. По мнению ИТ-специалистов большинства организаций, основная опасность исходит от хакеров или внешних злоумышленников. И действительно, большинство зафиксированных инцидентов происходит от того, что на информационные системы производятся атаки с внешних ресурсов. И такие риски угрожают не только конфиденциальности информации, они происходят редко и с четко поставленными целями пиара и демонстрации возможностей хакерских группировок. Большая угроза связана с тем, что внешние злоумышленники нападают на системы управления предприятий, организаций ЖКХ, сайты государственных структур с целью дестабилизации систем управления. Внешние угрозы характерны для банковской сферы, где происходят попытки воровства денег со счетов граждан. Массовые вирусные атаки также носят внешний характер, и их целью становится вымогательство средств за разблокировку ресурса, доступность которого утрачена. Любая информационная система в целях безопасности должна иметь один или несколько встроенных модулей защиты от угроз этого рода.

Но с точки зрения хищения внутренней корпоративной информации или обрабатываемых персональных данных гораздо опаснее оказываются сотрудники. В 70-80 % случаев, как показывают исследования, утечки организовывают сотрудники компании. Существует несколько психологических типов нарушителей:

• работники, недовольные организацией или руководством и желающие нанести ущерб ее интересам;
• сотрудники, финансово заинтересованные в предоставлении информации конкурентам, обычно руководители разных уровней;
• сотрудники, имеющие доступ к персональным данным или иной имеющей ценность в даркнете информации, мотивированные финансовым предложением посредников;
• не задумывающиеся о неправомерности своих действий работники, которые передают данные друзьям или знакомым по их запросам, иногда без финансовой мотивации.

Во многих случаях возможность организации утечки остается у сотрудника и после увольнения, если он сумел сохранить право на удаленный доступ к корпоративной системе. Часто служба информационной безопасности недооценивает эту степень риска. Наибольшую опасность представляет персонал ИТ-подразделений, имеющий доступ ко всем учетным записям и базам данных и способный не только похитить информацию, но и скрыть сведения о своих неправомерных шагах в системе. Даже если настроен аудит действий пользователей, большинство программных продуктов дают возможность затереть их следы в журналах регистрации.

Степень риска невозможно оценить в финансовом отношении, так как большинство компаний и банков, исходя из необходимости сохранения деловой репутации, оставляют в тайне данные о хищении ценной информации, имеющей отношение к клиентам. Чаще всего вскрытие таких инцидентов происходит случайно. В США факт утраты данных клиентов может привести к наложению многомиллионных штрафов на компанию, это служит дополнительной причиной молчания. Утрата конфиденциальных данных говорит о том, что фирма мало времени или средств уделяла работе с персоналом, позволила не менять пароли или иметь несанкционированный доступ к чужим учетным записям, а это значит, что она недостаточно заботится о клиентах.

Часто штатные средства обеспечения безопасности информационных систем не дают возможности разграничить доступ к данным различной степени конфиденциальности на уровне программных средств. Именно этот риск выявился при первом выходе на рынок Windows XP с поддержкой в ней технологии универсальной последовательной шины доступа (Universal Serial Bus, USB). После выявления уязвимости предложенный пользователям вариант обновления Service Pack 2 для Windows XP с множеством улучшений подсистемы безопасности не смог предложить средств разграничения доступа к портам USB и FireWire. Точно так же штатная система аудита действий пользователей, содержащаяся в Windows, не позволяет проводить эффективный поиск по операциям, совершаемым пользователями, и не исключает рисков того, что данные журналов регистрации действий будут удалены системными администраторами. 

Эти ситуации приводят к необходимости разрабатывать структуру безопасности, индивидуальную для каждой организации и учитывающую заявленные в модели угроз риски. Возникает необходимость приобретения более сложных, чем встроенные в операционные системы, продуктов безопасности. Часто решением для снятия рисков со стороны инсайдеров становится установка DLP-системы, комплексно решающей задачи организации утечек данных со стороны персонала.

От чего защищаться с точки зрения внешних угроз

При разработке архитектуры системы информационной безопасности необходимо предусмотреть способы защиты, которые минимизируют риски наиболее массовых проблем – вирусов и спама. Решается эта задача установкой:

• сетевых экранов (файрволов);
• антивирусов;
• программ фильтрации электронной почты.

Но если пользователь ненамеренно откроет вложение, содержащее вирус и пришедшее по почте от знакомого корреспондента или от того, чей адрес покажется знакомым, вирус или троянский конь сможет подорвать безопасность всей ИС. Поэтому основными задачами окажутся обучение и подготовка пользователей, установка программных средств, обеспечивающих защиту от непреднамеренных ошибок.

Как выстраивать систему безопасности

Часто руководители, информированные о существовании угроз, идут на поводу у сотрудников ИТ-подразделений и без анализа эффективности приобретают популярные программные продукты. Они не анализируют реальное соответствие предложенного ПО задачам организации.

Построение обоснованной стратегии поможет выбрать и внедрить программные продукты, которые будут соответствовать реальному уровню угроз. Это в наибольшей степени отвечает задачам экономической безопасности, так как затраты окажутся соответствующими угрозам, и компания не понесет дополнительного ущерба из-за неэффективности внедренного ПО.

Но выбор программного обеспечения не единственная задача. Без разработки системы организационных мероприятий ПО окажется бесполезным. Не только исходя из требований регулятора по защите персональных данных, но и опираясь на логику защиты сведений, необходимо определить:

• степени и группы защищаемой информации;
• лиц, ответственных за ее защиту и имеющих права доступа к ней.

В дальнейшем определение этих двух групп позволит соотнести уже на программном уровне, выстраивая степени дифференциации доступа, модель ограничения прав на работу с данными. Такая система выстраивается сначала на уровне принятия локального нормативного акта, далее на уровне программных решений. Но этого недостаточно. В компании необходимо принять и разработать такие документы, как:

1. Политика безопасности по работе с информацией.

2. Правила работы с Интернетом и внешней электронной почтой.

3. Правила обращения с носителями информации, порядок контроля их использования.

4. Правила обращения с бумажными документами, их сохранностью.

В ряде случаев необходимым становится контроль использования систем копирования, принтеров и ксероксов. В каждом из этих случаев современные программные решения позволяют минимизировать риск утечки информации на бумажных носителях. Для операторов персональных данных важны подготовка политики обработки ПД и размещение ее в открытом доступе.

Но чисто технических решений недостаточно, нужно внедрить работающий механизм привлечения нарушителя к ответственности. Для этого необходимо:

• издать в компании приказ о введении режима защиты коммерческой тайны, ознакомить с ним сотрудников;
• разработать перечень информационных ресурсов, относящихся к коммерческой тайне, включив в него персональные данные;
• внести в трудовые договоры с персоналом условие об ответственности за сохранность коммерческой тайны.

При реализации правового механизма обеспечения безопасности информационных систем любой случай преднамеренной или непреднамеренной утечки данных окажется основанием для проведения служебного расследования или привлечения правоохранительных органов. Виновный не только понесет дисциплинарную ответственность, вплоть до увольнения, но и будет обязан возместить причиненный ущерб, а в критичных случаях даже будет привлечен к уголовной ответственности. Убежденность персонала в том, что при любой попытке похитить информацию любой сотрудник понесет наказание, в большинстве случаев снижает степень риска. А если сотрудники будут знать, что все их действия в пределах информационного периметра компании отслеживаются, уровень безопасности информационной системы повысится дополнительно.

Технические средства защиты

Средства контроля за действиями персонала, способные блокировать любые попытки вывести данные за пределы организации, такие как DLP-системы, являются очевидным, но доступным не для всех организаций решением. Но ограничиваться ими нельзя, особенно в ситуации, когда существует риск внешних атак. Потребуются мощные технические средства, например, маршрутизаторы, их установка снизит расходы на брандмауэры.

Программное обеспечение, используемое для сохранения безопасности, должно соответствовать требованиям ФСТЭК РФ, криптографические средства защиты информации должны отвечать рекомендациям ФСБ. Простое шифрование исходящего трафика снимает риски перехвата данных.

Вся концепция работы с безопасностью информационных систем должна соответствовать требованиям регуляторов, а в ряде случаев и превосходить их, так как иногда разрабатываемые рекомендации не отвечают растущему уровню угроз.

16.01.2020