Корпоративная информационная безопасность

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Принципы корпоративной информационной безопасности возникают на основе корпорации, или организации, члены которой могут быть единым целым. Таким субъектом ИБ может оказаться крупная компания со своими, разработанными в соответствие с потребностями организации, ценностями, холдинговая структура, общественная организация. Главным отличием от обычной структуры ИБ становится повышенная роль персонала или членов корпорации в обеспечении защиты данных.

Текущие угрозы

Особенностью корпорации как объединения экономических субъектов становится наличие множества систем и локальных корпоративных сетей разного уровня, для которых необходимо разработать единые регламенты и методики безопасности. Задача требует отвлечения большого объема сил, ресурсов – человеческих, временных, финансовых, и не всегда решается успешно. Только опора на человеческий фактор, создание понимания информационной безопасности как единой ценности компании способны на 70 % устранить риски. Но степень угроз растет ежегодно, что требует от специалистов по ИБ особенно высокой квалификации.

Источник угроз сложно предсказать, если корпорация занимается торговой и производственной деятельностью, не является оператором персональных данных, не владеет объектами ключевой информационной инфраструктуры. Для этих субъектов рынка внешние угрозы всегда более опасны, чем конкуренты или инсайдеры. А для корпорации или компании среднего уровня конкуренты более опасны, чем глобальные хакерские группировки. Но наличие сервиса электронных платежей, например, при продаже товаров через Интернет сделает их компанией-целью для лиц, желающих завладеть не только информацией неопределенной ценности, но и денежными средствами. Основной риск для конфиденциальной информации несет человеческий фактор, уровень защищенности сетей от инсайдеров часто оказывается крайне низким.

Ключевыми задачами специалиста по ИБ в этих условиях станут:

  • доступность приложений, обеспечивающих бизнес-процессы для пользователей, отсутствие рисков сбоя и выхода из строя системы;
  • доступность интернет-приложений и сайтов с магазинами для клиентов, минимизация риска DDoS-атак;
  • защита ключевой конфиденциальной информации от похищения в результате внешних атак или в результате деятельности инсайдеров. Наиболее уязвимым активом считаются клиентские базы данных, обычно переходящие из компании в компанию вместе с менеджером по продажам;
  • целостность информации, ее сохранность и неизменность в результате внешних вмешательств или работы инсайдеров, желающих внести изменения в данные с целью скрытия неудостоверенных трансакций Нарушение целостности информации станет проблемой при аудите отчетности, если специалисты проверяющей организации выявят факты вмешательства в структуру данных бухгалтерского или финансового учета.

Риски информационной безопасности по механизму их проявления делят на:

  • вредоносные программы (трояны, шифровальщики);
  • спам;
  • фишинговые письма;
  • DDoS-атаки и отказ в обслуживании;
  • внешние подключения к каналам связи с целью перехвата пакетов данных;
  • подмена первой страницы сайта.

От этих болезней есть разные способы лечения – организационные, технические и программные. В корпорации с большим количеством персонала, где инсайдерские угрозы становятся первоочередными, особое внимание нужно уделять организационным мерам. Они помогают избежать инцидента, а не минимизировать его последствия и вести внутренние расследования с не всегда предсказуемым результатом без возможности получения доказательств, достаточных для привлечения виновника к ответственности.

Корпоративные методы защиты

Организационные и процедурные решения оказываются для системы корпоративной информационной безопасности наиболее востребованными. Но их внедрение должно сопровождаться профессиональной работой отделов кадров и службы безопасности компании Основная задача – не навязать коллективу корпорации регламенты, отвлекающие от сопровождения бизнес-процессов, а объяснить ценность конфиденциальной информации и общую заинтересованность в ее защите.

Организационные средства

Организационные средства защиты корпоративной информационной безопасности обычно начинаются с внедрения регламентов и политик, которые, если не поддержаны авторитетом высокого руководства, или молча игнорируются, или, в случае принуждения к их исполнению, вызывают агрессию. Иногда именно такие проявления говорят о том, что конфиденциальные данные находятся под угрозой, кто-то из менеджмента или топовых сотрудников использует их в своих целях и не намерен отказываться от привилегий. Первым шагом на этапе борьбы с этой проблемой становится создание единых этических ценностей, в рамках которых каждый сотрудник корпорации должен ощущать личную ответственность за сохранность данных и соблюдение всех требований регламентов.

Как отмечается в отчетах крупных консалтинговых компаний, вопрос реальности угроз корпоративной информационной безопасности до сих пор всерьез не стоит в российском бизнес-сообществе. Та часть бизнеса, которая столкнулась с киберугрозами, уже установила DLP- и SIEM-системы, прошла аудит работоспособности сети и имеет систему мониторинга угроз и реакции на инциденты кибербезопасности. Остальные по старинке считают, что единственным вопросом, который нужно решить, становится в ограничение использования Интернета сотрудниками, и в редких случаях блокировка USB-входов в компьютер. За все остальное отвечает штатный антивирус и файрвол Windows, иногда даже не лицензированный. Итогом становится массовое хищение клиентских баз данных и персональных сведений клиентов, мгновенно появляющихся на черном рынке информации в даркнете.

Часть компаний пк защите данных подталкивают регуляторы, которые выдвигают требования к операторам персональных данных. Несоблюдение требований ФСТЭК и Роскомнадзора к корпоративной информационной безопасности, грозит штрафами или приостановкой деятельности. 

Среди таких требований:

  • использование технических средств защиты информации и ПО, прошедшего тестирование и сертификацию и гарантирующего необходимый уровень защиты данных;
  • соответствие состояния информационной инфраструктуры законам и подзаконным нормативным актам;
  • разработка стратегии своевременного обновления критичного ПО;
  • наличие механизма реагирования на инциденты информационной безопасности;
  • борьба с вирусами с использованием сертифицированных средств антивирусной защиты;
  • шифрование данных;
  • принятие пакета документации, регламентирующей все аспекты работ с ИС, обрабатывающими ПД.

Но даже для того, чтобы исполнялись требования регуляторов, персонал должен понимать, что при возникновении с его стороны рисков, угрожающих штрафами, денежными потерями в результате исков клиентов, он тоже оказывается в зоне риска с точки зрения выплаты мотивирующих надбавок, сохранения места работы. Необходимо проводить обучение, знакомя сотрудников с моделями рисков и основными способами реакции на них. Необходимость разработки регламентов компании по выполнению требований ИБ создается потребностями модели рисков и работой регуляторов.

Общая модель угроз

В каждой организации модель угроз бизнесу, должна входить в пакет корпоративных документов, с которыми знакомятся сотрудники при приеме на работу. 

Для понимания сотрудниками структура опасностей должна выглядеть так:

1. Угрозы бизнесу. Если это угрозы репутации – черный пиар, негативные публикации в СМИ, вызванные сливами и утечками данных, то они отразятся и на сотрудниках, из-за компании с негативной репутацией в резюме они будут испытывать трудности при устройстве на работу. Если это угрозы инвестициям – решения принимаются на основе неточной или подложной информации, и они неэффективны, то эти риски отразятся на премировании сотрудников.

2. Угрозы данным как таковым – и персональным, и конфиденциальной информации. Намеренные утечки информации могут привести к уголовной ответственности, а возможная приостановка деятельности компании грозит потерей рабочего места.

3. Угрозы сотрудникам. Помимо переманивания сотрудников или предложения им денежных компенсаций за предоставление информации конкуренты могут применять и более жесткие методы борьбы, например, открытое похищение мобильных устройств – носителей информации. Исключение риска нахождения данных на мобильных устройствах снизит степень таких угроз.

4. Угрозы ИС компании, вызывающие сбои в работе приложений, недоступность сервера влекут за собой приостановку деятельности и убытки, что отражается на зарплате всех сотрудников, а не только тех, кто допускает небрежности в пользовании электронной почтой и случайно инициирует работу вредоносных программ.

5. Финансовые угрозы. Намеренное искажение отчетности вызывает штрафы от ФНС, а действия, позволяющие злоумышленникам похитить средства компании, также Разъяснение, почему соблюдение правил информационной безопасности прежде всего нужно самим сотрудникам, – лучшая превентивная мера, обеспечивающая высокую степень ИБ. Они должны подкрепляться требованиями не разглашать конфиденциальную информацию, отражаемыми в должностных инструкциях и трудовых договорах. Это позволит при необходимости привлечь нарушителя к ответственности.

Программные и аппаратные средства

Помимо разъяснительной работы, технический аспект корпоративной информационной безопасности должен быть проработан не менее тщательно. Регуляторы рекомендуют подготовить два основополагающих документа – Стратегию ИБ и Модель рисков, в которых отразить:

  • тип угроз и образ гипотетического злоумышленника;
  • архитектуру системы, ее основные узлы и элементы;
  • объекты защиты;
  • классификацию уровней конфиденциальности информации;
  • правила дифференциации допуска и назначения привилегий;
  • требования к ПО и его обновлению;
  • требования к программным и аппаратным средствам.

Далее наступает этап реализации программы обеспечения информационной безопасности. Для создания защиты от инсайдерских рисков реализуются следующие элементы информационной безопасности:

  • система контроля доступа. Она должна существовать на физическом уровне, ограничивая допуск к серверам и рабочим станциям лиц, не имеющих на это права, и фиксируя все посещения серверной в журнале учета. На программном уровне она дифференцирует допуск к информации разных степеней конфиденциальности для сотрудников разных рангов;
  • система аутентификации, при двухфакторной риск несанкционированного доступа снижается;
  • фильтрация электронной почты, обеспечивающая защиту от спама, вирусов, фишинга;
  • средства доверенной загрузки;
  • контроль данных от утечек. Задача решается установкой DLP-системы.

Для защиты от внешних угроз применяются следующие решения:

  • средства антивирусной защиты;
  • файрволы (межсетевые экраны);
  • средства защиты от вторжений;
  • сканеры и другие средства мониторинга уязвимостей сети;
  • средства криптографической защиты данных.

При передаче информации по внешним каналам применяется шифрование трафика и защищенные протоколы передачи данных, технологии VPN. Из технических устройств используются маршрутизаторы. Если компания обрабатывает персональные данные, выбор программных и технических решений ограничивается сертифицированными ФСТЭК и ФСБ РФ программными средствами защиты информации. Они могут не вписаться в бюджет компании, в этих случаях ФСТЭК при проверках дает время на приведение системы в соответствие со своими требованиями.   
Комплексное применение системы превентивных мер, основанных на контроле действий персонала и его обучении, вместе с аппаратными и программными средствами позволяет существенно поднять уровень информационной защищенности компании.

06.02.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними