Принципы корпоративной информационной безопасности возникают на основе корпорации, или организации, члены которой могут быть единым целым. Таким субъектом ИБ может оказаться крупная компания со своими, разработанными в соответствие с потребностями организации, ценностями, холдинговая структура, общественная организация. Главным отличием от обычной структуры ИБ становится повышенная роль персонала или членов корпорации в обеспечении защиты данных.

Текущие угрозы

Особенностью корпорации как объединения экономических субъектов становится наличие множества систем и локальных корпоративных сетей разного уровня, для которых необходимо разработать единые регламенты и методики безопасности. Задача требует отвлечения большого объема сил, ресурсов – человеческих, временных, финансовых, и не всегда решается успешно. Только опора на человеческий фактор, создание понимания информационной безопасности как единой ценности компании способны на 70 % устранить риски. Но степень угроз растет ежегодно, что требует от специалистов по ИБ особенно высокой квалификации.

Источник угроз сложно предсказать, если корпорация занимается торговой и производственной деятельностью, не является оператором персональных данных, не владеет объектами ключевой информационной инфраструктуры. Для этих субъектов рынка внешние угрозы всегда более опасны, чем конкуренты или инсайдеры. А для корпорации или компании среднего уровня конкуренты более опасны, чем глобальные хакерские группировки. Но наличие сервиса электронных платежей, например, при продаже товаров через Интернет сделает их компанией-целью для лиц, желающих завладеть не только информацией неопределенной ценности, но и денежными средствами. Основной риск для конфиденциальной информации несет человеческий фактор, уровень защищенности сетей от инсайдеров часто оказывается крайне низким.

Ключевыми задачами специалиста по ИБ в этих условиях станут:

• доступность приложений, обеспечивающих бизнес-процессы для пользователей, отсутствие рисков сбоя и выхода из строя системы;
• доступность интернет-приложений и сайтов с магазинами для клиентов, минимизация риска DDoS-атак;
• защита ключевой конфиденциальной информации от похищения в результате внешних атак или в результате деятельности инсайдеров. Наиболее уязвимым активом считаются клиентские базы данных, обычно переходящие из компании в компанию вместе с менеджером по продажам;
• целостность информации, ее сохранность и неизменность в результате внешних вмешательств или работы инсайдеров, желающих внести изменения в данные с целью скрытия неудостоверенных трансакций Нарушение целостности информации станет проблемой при аудите отчетности, если специалисты проверяющей организации выявят факты вмешательства в структуру данных бухгалтерского или финансового учета.

Риски информационной безопасности по механизму их проявления делят на:

• вредоносные программы (трояны, шифровальщики);
• спам;
• фишинговые письма;
• DDoS-атаки и отказ в обслуживании;
• внешние подключения к каналам связи с целью перехвата пакетов данных;
• подмена первой страницы сайта.

От этих болезней есть разные способы лечения – организационные, технические и программные. В корпорации с большим количеством персонала, где инсайдерские угрозы становятся первоочередными, особое внимание нужно уделять организационным мерам. Они помогают избежать инцидента, а не минимизировать его последствия и вести внутренние расследования с не всегда предсказуемым результатом без возможности получения доказательств, достаточных для привлечения виновника к ответственности.

Корпоративные методы защиты

Организационные и процедурные решения оказываются для системы корпоративной информационной безопасности наиболее востребованными. Но их внедрение должно сопровождаться профессиональной работой отделов кадров и службы безопасности компании Основная задача – не навязать коллективу корпорации регламенты, отвлекающие от сопровождения бизнес-процессов, а объяснить ценность конфиденциальной информации и общую заинтересованность в ее защите.

Организационные средства

Организационные средства защиты корпоративной информационной безопасности обычно начинаются с внедрения регламентов и политик, которые, если не поддержаны авторитетом высокого руководства, или молча игнорируются, или, в случае принуждения к их исполнению, вызывают агрессию. Иногда именно такие проявления говорят о том, что конфиденциальные данные находятся под угрозой, кто-то из менеджмента или топовых сотрудников использует их в своих целях и не намерен отказываться от привилегий. Первым шагом на этапе борьбы с этой проблемой становится создание единых этических ценностей, в рамках которых каждый сотрудник корпорации должен ощущать личную ответственность за сохранность данных и соблюдение всех требований регламентов.

Как отмечается в отчетах крупных консалтинговых компаний, вопрос реальности угроз корпоративной информационной безопасности до сих пор всерьез не стоит в российском бизнес-сообществе. Та часть бизнеса, которая столкнулась с киберугрозами, уже установила DLP- и SIEM-системы, прошла аудит работоспособности сети и имеет систему мониторинга угроз и реакции на инциденты кибербезопасности. Остальные по старинке считают, что единственным вопросом, который нужно решить, становится в ограничение использования Интернета сотрудниками, и в редких случаях блокировка USB-входов в компьютер. За все остальное отвечает штатный антивирус и файрвол Windows, иногда даже не лицензированный. Итогом становится массовое хищение клиентских баз данных и персональных сведений клиентов, мгновенно появляющихся на черном рынке информации в даркнете.

Часть компаний пк защите данных подталкивают регуляторы, которые выдвигают требования к операторам персональных данных. Несоблюдение требований ФСТЭК и Роскомнадзора к корпоративной информационной безопасности, грозит штрафами или приостановкой деятельности. 

Среди таких требований:

• использование технических средств защиты информации и ПО, прошедшего тестирование и сертификацию и гарантирующего необходимый уровень защиты данных;
• соответствие состояния информационной инфраструктуры законам и подзаконным нормативным актам;
• разработка стратегии своевременного обновления критичного ПО;
• наличие механизма реагирования на инциденты информационной безопасности;
• борьба с вирусами с использованием сертифицированных средств антивирусной защиты;
• шифрование данных;
• принятие пакета документации, регламентирующей все аспекты работ с ИС, обрабатывающими ПД.

Но даже для того, чтобы исполнялись требования регуляторов, персонал должен понимать, что при возникновении с его стороны рисков, угрожающих штрафами, денежными потерями в результате исков клиентов, он тоже оказывается в зоне риска с точки зрения выплаты мотивирующих надбавок, сохранения места работы. Необходимо проводить обучение, знакомя сотрудников с моделями рисков и основными способами реакции на них. Необходимость разработки регламентов компании по выполнению требований ИБ создается потребностями модели рисков и работой регуляторов.

Общая модель угроз

В каждой организации модель угроз бизнесу, должна входить в пакет корпоративных документов, с которыми знакомятся сотрудники при приеме на работу. 

Для понимания сотрудниками структура опасностей должна выглядеть так:

1. Угрозы бизнесу. Если это угрозы репутации – черный пиар, негативные публикации в СМИ, вызванные сливами и утечками данных, то они отразятся и на сотрудниках, из-за компании с негативной репутацией в резюме они будут испытывать трудности при устройстве на работу. Если это угрозы инвестициям – решения принимаются на основе неточной или подложной информации, и они неэффективны, то эти риски отразятся на премировании сотрудников.

2. Угрозы данным как таковым – и персональным, и конфиденциальной информации. Намеренные утечки информации могут привести к уголовной ответственности, а возможная приостановка деятельности компании грозит потерей рабочего места.

3. Угрозы сотрудникам. Помимо переманивания сотрудников или предложения им денежных компенсаций за предоставление информации конкуренты могут применять и более жесткие методы борьбы, например, открытое похищение мобильных устройств – носителей информации. Исключение риска нахождения данных на мобильных устройствах снизит степень таких угроз.

4. Угрозы ИС компании, вызывающие сбои в работе приложений, недоступность сервера влекут за собой приостановку деятельности и убытки, что отражается на зарплате всех сотрудников, а не только тех, кто допускает небрежности в пользовании электронной почтой и случайно инициирует работу вредоносных программ.

5. Финансовые угрозы. Намеренное искажение отчетности вызывает штрафы от ФНС, а действия, позволяющие злоумышленникам похитить средства компании, также Разъяснение, почему соблюдение правил информационной безопасности прежде всего нужно самим сотрудникам, – лучшая превентивная мера, обеспечивающая высокую степень ИБ. Они должны подкрепляться требованиями не разглашать конфиденциальную информацию, отражаемыми в должностных инструкциях и трудовых договорах. Это позволит при необходимости привлечь нарушителя к ответственности.

Программные и аппаратные средства

Помимо разъяснительной работы, технический аспект корпоративной информационной безопасности должен быть проработан не менее тщательно. Регуляторы рекомендуют подготовить два основополагающих документа – Стратегию ИБ и Модель рисков, в которых отразить:

• тип угроз и образ гипотетического злоумышленника;
• архитектуру системы, ее основные узлы и элементы;
• объекты защиты;
• классификацию уровней конфиденциальности информации;
• правила дифференциации допуска и назначения привилегий;
• требования к ПО и его обновлению;
• требования к программным и аппаратным средствам.

Далее наступает этап реализации программы обеспечения информационной безопасности. Для создания защиты от инсайдерских рисков реализуются следующие элементы информационной безопасности:

• система контроля доступа. Она должна существовать на физическом уровне, ограничивая допуск к серверам и рабочим станциям лиц, не имеющих на это права, и фиксируя все посещения серверной в журнале учета. На программном уровне она дифференцирует допуск к информации разных степеней конфиденциальности для сотрудников разных рангов;
• система аутентификации, при двухфакторной риск несанкционированного доступа снижается;
• фильтрация электронной почты, обеспечивающая защиту от спама, вирусов, фишинга;
• средства доверенной загрузки;
• контроль данных от утечек. Задача решается установкой DLP-системы.

Для защиты от внешних угроз применяются следующие решения:

• средства антивирусной защиты;
• файрволы (межсетевые экраны);
• средства защиты от вторжений;
• сканеры и другие средства мониторинга уязвимостей сети;
• средства криптографической защиты данных.

При передаче информации по внешним каналам применяется шифрование трафика и защищенные протоколы передачи данных, технологии VPN. Из технических устройств используются маршрутизаторы. Если компания обрабатывает персональные данные, выбор программных и технических решений ограничивается сертифицированными ФСТЭК и ФСБ РФ программными средствами защиты информации. Они могут не вписаться в бюджет компании, в этих случаях ФСТЭК при проверках дает время на приведение системы в соответствие со своими требованиями.   
Комплексное применение системы превентивных мер, основанных на контроле действий персонала и его обучении, вместе с аппаратными и программными средствами позволяет существенно поднять уровень информационной защищенности компании.

06.02.2020