Термины «информационная безопасность в корпорации» и «корпоративная информационная безопасность» имеют разные значения. Во втором случае речь идет о любой компании, в первом – о корпорации, то есть об организации со сложной структурой, распределенной по различным филиалам и иногда юридическим лицам. Это порождает особые задачи, связанные с обеспечением безопасности данных, основанные на необходимости объединять в один контур управления множество локальных сетей.

Корпорация и компания: в чем разница

Не все четко осознают суть термина «корпорация». Он не является официальным, такой формы предприятия нет в Гражданском кодексе РФ, но в последние десятилетия понятие прочно вошло в деловой оборот. Под ним следует понимать компанию, в структуре которой существует множество филиалов или она управляет группой дочерних обществ. На роль головной организации приходится координация и управление дочерними обществами и филиалами, где и протекают производственные или коммерческие бизнес-процессы. Особенностью корпорации становится признание ее основной функцией управление бизнес-процессами дочерних структур. Аналогом корпорации является холдинг, в котором на головную компанию также возлагается управление «дочками» и налаживание там производства. Существует одно различие между холдингом и корпорацией – в первом ставятся во главу угла торговые задачи и при формировании архитектуры ИС упор делается на CRM и аналогичные системы, отвечающие за повышение продаж, в корпорации наиболее важным элементом ИС являются АСУ (автоматизированные системы управления).

В России предусмотрена особая форма государственной корпорации. Она предназначена для крупных холдинговых структур, управляющих множеством дочерних обществ, специализирующихся в одной важной для государства сфере, например, государственная корпорация «Ростехнологии».

Информационная безопасность в корпорации является не одной из побочных функций, сопровождающей бизнес-процессы, а одной из основных задач. Корпорация обязана настроить систему безопасности данных в дочерних подразделениях и филиалах, поддерживать ее на высоком уровне работоспособности.

Особенности архитектуры ИС в корпорации

Особенности архитектуры информационной системы корпорации или холдинга связаны с организационной структурой предприятия. Компьютерная сеть в корпорации практически всегда окажется сложной, с множеством филиалов, удаленных рабочих мест. В холдинговых структурах в сеть могут быть включены компьютеры и серверы, принадлежащие различным юридическим лицам, что создает проблемы с определением прав на программы, установленные на компьютеры нескольких фильм одновременно при том, что лицензия оформляется на одно юридическое лицо.

При выстраивании системы решаются следующие задачи:

• организация внутренней защищенной связи между компаниями и подразделениями с разными местами нахождения, предполагающей единую IP-телефонию, возможность организации телеконференций, селекторов;
• наличие отдельных участков сетей, контуров управления на каждом дочернем объекте с необходимостью их объединения в общую сеть;
• возможность для подразделений корпораций получать всю операционную информацию от дочерних структур или филиалов в режиме онлайн, с доступом на каждое рабочее место;
• работа с большим объемом ежедневно поступающих данных, требующий решения задач структурирования, обработки, хранения;
• структурирования и оптимизации единых бизнес-процессов при участии в них нескольких самостоятельных экономических субъектов;
• необходимость создания единой корпоративной базы знаний с большим количеством пользователей;
• создание единообразных правил и методик для пользователей ИС в каждом подразделении;
• нахождение основного блока системных администраторов в корпорации, тогда как персонал на местах имеет технические и поддерживающие функции;
• нахождение основных бизнес-приложений на серверах корпорации с организацией допуска к ним пользователей дочерних подразделении;
• решение проблем с использований технологий виртуализации, когда общий объем данных должен быть доступен для множества юридических лиц.

Эти особенности не допускают возможности бессистемного выстраивания архитектуры компьютерной системы, она должна создаваться по единой стратегии. Чаще всего создается единая ИТ-дирекция, в чьи функции входит автоматизация всех удаленных подразделений и рабочих мест – от торговой фирмы до нефтяной вышки. Базой для решения комплексных задач обычно становится ERP-система. Основной проблемой при автоматизации корпорации является стремление к экономии. При выполнении требований регуляторов один программный продукт часто приобретается на баланс одного юридического лица, а рабочие места находятся на компьютерах, принадлежащих нескольким, и при проверке становится сложно подтвердить правомерность приобретения лицензии. Масштабирование при решении задач в пределах корпорации, внедрение единых решений во всех подразделениях, аутсорсинг персонала ИТ-управления существенно снижает нагрузку на бизнес.

Система организации информационной безопасности в корпорации

Особенностями информационной безопасности в корпорации:

• сложная архитектура информационной сети, требующая настройки и взаимодействия ее компонентов;
• минимально три уровня обмена данными – внутри одной структурной единицы, между структурными единицами и внешними потребителями данных, между структурными единицами и головной компанией;
• постоянный входящий и исходящий информационный трафик при общении между удаленными подразделениями и необходимость его фильтрации с отслеживанием возможных утечек.

Если в структуру корпорации входят производственные предприятия, то особенности автоматизации производственных процессов порождают нюансы, которые нужно учитывать при формировании системы безопасности:

• большое количество различных типов потребителей информации – руководство, инженеры, наладчики, операторы. Пользовательских групп в этом случае больше чем в банке или торговой компании;
• наличие производственных объектов (станки, генерирующие установки, буровые вышки), являющихся самостоятельными объектами управления;
• особенности АСУ, затрудняющие использование многих современных решений, связанных с защитой информации;
• основной объем информации, необходимой для принятия управленческих решений, создается в рамках технологических процессов, и погрешности в данных, (например, критичное изменение температуры газовой смеси для выплавки стали может стать катастрофическим).

Это побуждает при решении задач безопасности данных больше внимания уделять безотказности системы и точности работы программного обеспечения, чем утечкам или внешним атакам. Отдельной задачей является защита системы от вирусных атак, когда вредоносные программы создаются с учетом особенностей АСУ.

В остальном проблемы информационной безопасности общие и для просто крупной компании, и для корпорации с разветвленной структурой. Но для корпорации как объединения производственных предприятий внутренние угрозы могут оказаться существеннее внешних.

Непреднамеренная ошибка персонала, ввод неправильного значения или отсутствие контроля за изменением показателей способны привести к остановке производственного процесса или к аварии. Это ставит на первое место в системе обеспечения безопасности данных обучение персонала и установку таких параметров работы системы, которые автоматически корректировали бы неверно введенные значения. 

Подготовка персонала корпораций

Большое число сотрудников корпораций, отсутствие между ними постоянных коммуникаций (зачастую многие не знают друг друга в лицо) не позволяет решать проблемы, связанные с безопасностью данных, в неформальном режиме. Необходима корпоративная программа обучения основам информационной безопасности, которая сможет снять большинство вопросов и исключить ошибки, допускаемые по незнанию. 

Требуется:

• разработка методик работы и планов реагирования на непредвиденные ситуации, ознакомление с ними пользователей;
• постоянное обучение пользователей;
• контроль действий пользователей при помощи программных средств;
• разъяснительная работа, имеющая эффект превентивных мер и позволяющая предотвратить намеренные и ненамеренные инциденты информационной безопасности.

Львиная доля этих задач возлагается на службу безопасности корпорации, но кадровые подразделения принимают в них серьезное участие, уже на этапе подбора рабочих и служащих обращая внимание на их подготовку в сфере компьютерной безопасности.

Служба безопасности в корпорации

Сложная и разветвленная организационная структура корпорации предполагает большую роль службы безопасности, на чью долю выпадает необходимость настройки сложного механизма взаимодействия подразделений, юридических лиц и филиалов и отслеживание потенциальных рисков. Помимо аспекта ИБ как вопроса, решаемого программными средствами, у службы есть еще две задачи:

• разработка организационно-правовой документации и отслеживание исполнения ее требований;
• наблюдение за кадровым составом, его взаимодействием, совместимостью, возможностями вступления в преступный сговор с целью причинения вреда интересам компании с использованием компьютерных технологий.

Но в служебные обязанности сотрудников, работающих с системой ИБ, должна быть вменена необходимость вникать во все особенности процессов и технологий, с тем чтобы вырабатываемые ими рекомендации и совершаемые действия не противоречили программным процессам и процедурам. 

Задачи информационной безопасности

Основные задачи информационной безопасности в корпорации будут связаны с обеспечением непрерывности и правильности бизнес-процессов и только во вторую очередь – с отражением внешних и внутренних угроз и предотвращением утечек информации. 

Функции ИТ-дирекции:

• разработка корпоративных политик безопасности, обеспечение информирования о них пользователей;
• разработка и согласование бюджетов на создание и поддержание системы информационной безопасности в корпорации и дочерних подразделениях;
• мониторинг системы информационной безопасности, анализ внешней среды, выявление новых типов угроз и изменений в области программного обеспечения, правового регулирования проблем ИБ;
• проведение аудита безопасности, анализ произошедших инцидентов в сфере информационной безопасности, выработка рекомендаций;
• выбор модели защиты, определение архитектуры системы безопасности, выбор программного обеспечения;
• организация направления входящих потоков информации в единый центр обработки, структурирования, анализа, хранения данных;
• организация выполнения требований регуляторов в области защиты персональных данных, обеспечения безопасности объектов критической информационной инфраструктуры;
• при необходимости – контроль за соответствием системы, процедур и процессов стандартам ISO и аналогичным;
• мониторинг ИС в целом, выработка рекомендаций по повышению ее эффективности.

Построение системы ИБ в корпорации

Началом построения системы корпоративной информационной безопасности становится изучение источников угроз, тех лиц и компаний, от которых можно ожидать информационных или кибератак. Часто внешние хакерские или внутренние инсайдерские негативные воздействия на ИС оказываются только инструментами в руках конкурентов. 

Возможных авторов угроз можно разделить на категории:

1. Конкуренты. Для крупной корпорации они могут работать не только на внутреннем, но и на иностранном рынке, задействуя для информационных атак иностранных хакеров и киберресурсы.

2. Акционеры, находящиеся в состоянии конфликта с основным собственником. Корпоративный конфликт легко перерастает в информационную войну.

3. Менеджмент, вступивший в конфликт с собственником.

4. Преступные группировки, заинтересованные в переделе бизнеса или отъеме доходов.

5. Обиженные или уволенные сотрудники.

6. Хакерские группировки, поставившие цель хищения ресурсов или приостановки производственного процесса.

Каждая из этих групп может с успехом задействовать в атаке на корпорацию информационное оружие. Для крупной корпорации, участвующей в обеспечении системы жизнедеятельности региона или активно работающей на международном рынке, одним из источников риска могут оказаться иностранные государства. Широко известна ситуация, когда связанные с правительством Китая хакеры несколько лет подряд взламывали облачные сервисы и похищали информацию у гигантов информационной индустрии – компаний Hewlett Packard Enterprise, IBM, Fujitsu.

После того как определены наиболее явные источники угроз или их группы необходимо составить модели угроз:

• для самой корпорации;
• для ее подразделений или филиалов (идентичные или различные, исходя из специфики бизнеса);
• для системы коммуникаций между бизнес-единицами.

На базе моделей угроз начинается формирование стратегии организации безопасности данных, в которой необходимо увязать все управленческие периметры и зоны риска.

Инфраструктурная безопасность корпорации

Для производственной корпорации в качестве составляющей можно выделить инфраструктурную информационную безопасность, задача которой концентрироваться на точках производственной и информационной инфраструктуры, являющихся самостоятельными объектами управления. Это:

• обеспечение выполнения требований закона в части внедрения рекомендуемых программно-аппаратных средств защиты и организации физической охраны объектов;
• прогнозирование, выявление, анализ и оценка угроз ИБ объектов, предупреждение и нейтрализация возникающих киберугроз;
• обеспечение противодействия террористическим актам и иным посягательствам, угрожающим безопасной работе корпорации;
• разработка и реализация целевых программ в области безопасности объектов инфраструктуры;
• внедрение защищенных современных версий АСУ;
• кадровое обеспечение безопасности;
• организация взаимодействия сотрудников безопасности и ИТ-служб корпорации с представителями органов государственной власти и обеспечения государственной безопасности (ФСБ, МВД, МЧС).

Решение этих задач обязательно, отказ от них может стать основанием для привлечения к уголовной ответственности.

Информационные атаки

Особой проблемой для крупной корпорации, чьи акции обращаются на рынках ценных бумаг, становятся информационные атаки. Хищение информации из охраняемого периметра и ее публикация могут стать основой не только для падения стоимости акций. Если хакерам удастся добыть доказательства того, что публичные отчеты эмитента основаны на недостоверных данных, это по законодательству США, если акции обращаются на их рынках, может привести к уголовной ответственности для руководства и акционеров корпорации. 

Риск создает необходимость решения двух задач:

1. Обеспечение защиты оперативной и финансовой информации, на которой основывается публичная отчетность, от утраты, намеренного или ненамеренного искажения, компрометации базы данных или источника ее поступления. Задача решается установкой защиты на базы данных в соответствии со стандартами ISO и регулярным внешним аудитом недоступности баз.
2. Организация полной защиты информационного периметра компании от утечек любого рода, в том числе устной информации.

Второй проблемой информационной безопасности, не носящей строго технического характера, является черный пиар, чем часто пользуются конкуренты, черпая негативную информацию из организованных утечек или внедряя инсайдеров.

Такие типы угроз подразделяются на:

• атаку на руководство или акционеров корпорации. Она может выражаться в виде черного пиара, широкой раскрутки неудачных высказываний, создания негативного имиджа;
• атаку на корпорацию в целом или одно из ее подразделений, разовую или постоянную, предполагающую серию вбросов, длительную вирусную и систематическую раскрутку темы.

В обоих случаях материалом для раскрутки становятся организованные утечки информации.

Хакерские атаки

Несмотря на реальную опасность для корпораций атак в информационном поле, наибольшую угрозу несут хакерские вторжения, направленные не на хищение информации, а на внедрение в системы управления предприятия. По данным «Лаборатории Касперского», не менее 46 % систем АСУ российских компаний становились мишенью внешних атак, направленных на перехват управления производственными процессами. Если подразделения корпорации находятся в зонах повышенного риска, в регионах с боевыми действиями, атаки хакеров могут быть направлены на намеренное создание крупных техногенных аварий с целью обвинить в них акционеров корпорации. 

Прерывание или изменение параметров технологических процессов может повлечь за собой:

• финансовые потери;
• техногенные аварии;
• перерыв в электро- и теплоснабжении жилых районов;
• экологические катастрофы;
• репутационные потери не только для компании, но и для страны в целом, если объект находится за рубежом.

Сложность топологии систем управления отдельными производственными объектами побуждает выстраивать все более совершенные системы. Для тех корпораций, в собственности которых есть объекты критической информационной инфраструктуры, возникает необходимость создания на своей базе центров ГосСОПКА, единой системы мониторинга и реагирования на компьютерные атаки.

Крупные производственные корпорации столкнулись с еще одной проблемой информационной безопасности, связанной с повсеместным внедрением Интернета вещей. Исследование Института Ponemon, направленное на изучение проблем состояния кибербезопасности в ТЭК, это показало, что корпорации не готовы к отражению атак, они не имеют знаний о возможностях кибербезопасности.

Если корпорация не достигла той степени роста, чтобы создать эффективную ИТ-дирекцию с профессионалами высокого уровня, способными решить задачи выстраивания надежной системы информационной безопасности корпорации, эксперты рекомендуют воспользоваться услугами аутсорсинга. Это эффективнее с технической и экономической точки зрения. Применительно к пяти крупным корпорациям, чьи акции обращаются на открытом рынке ценных бумаг, было проведено изучение эффекта от передачи задачи построения системы корпоративной безопасности на аутсорсинг за 5-летний период. Анализ показал, что компании, заключившие крупные сделки в сфере ИТ-аутсорсинга, добились более высоких показателей бизнеса в долгосрочной перспективе, чем конкуренты, компании, самостоятельно выстраивающие стратегию безопасности. Этим компаниям удалось сократить коммерческие, общие и административные расходы (SG&A), повысить окупаемость активов (ROA) и увеличить прибыль до уплаты процентов и налогов (EBИТ).

Плюсы аутсорсинга: 

• масштабирование успешных результатов;
• более глубокое понимание информационной среды, знание современного программного обеспечения;
• эффективная настройка бизнес-процессов защиты информации.

Минусы:

• компания, предлагающая услуги аутсорсинга, может быть не знакома с особенностями производственных процессов корпорации, потребуется время на ознакомление;
• вероятность утечек информации или программного кода инструментов безопасности повышается, особенно в случае, если сотрудников разработчика заинтересуют конкуренты.

Конкурентная разведка

Одной из особенностей корпоративной модели ИБ становится необходимость работы не только на защиту, но и на опережение. Конкурентный рынок требует использования таких методов экономической разведки, которые не противоречили бы закону, но позволили исключить угрозу внешних кибератак конкурентов. 

Этот уровень обеспечения информационной безопасности включает изучение:

• конкурентной среды;
• угроз, исходящих от конкурентов, и вариантов противостояния им;
• поставщиков и подрядчиков, их надежности;
• поведения конкурентов при помощи аналитических программ и открытых источников и прогнозирование атак с их стороны.

Комплексное решение проблем корпоративной информационной безопасности часто является задачей, поставленной перед ИТ-службами не только акционерами и руководством, но и государством. Специфика их работы в случае аварий и компьютерных инцидентов способна нанести ущерб охраняемым общественным интересам. Это побуждает решать задачи обеспечения безопасности наиболее эффективным путем, качественно выстраивая архитектуру информационной системы и используя проверенные решения.

21.01.2020