Корпоративная безопасность предприятия

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Защита конфиденциальных и персональных данных от инсайдеров и внешних атак – первоочередная задача ИБ-подразделения компании. Степень важности угроз для сохранности информации возрастает с ростом технической оснащенности злоумышленников, и службы корпорации должны быть готовы оценить и предотвратить новые угрозы. Стройность защитной системы зависит от комплексности ее разработки и внедрения.

Виды угроз

Корпоративные системы подвержены различным угрозам информационной безопасности – от хищения данных сотрудниками до внешнего вмешательства с целью уничтожить работоспособность средств защиты. Это побуждает предприятия выстраивать собственную модель угроз, опирающуюся на бизнес-задачи и характеристику системы. Для небольшого бизнеса забота о корпоративной безопасности предприятия не менее актуальна в связи с трендом на цифровизацию деловой активности, постепенным переводом деятельности в виртуальное пространство. 

Защищать приходится:

  • оплату товаров и услуг через Интернет;
  • электронную почту;
  • удаленные подключения;
  • IP-телефонию;
  • облачные хранилища;
  • виртуальные серверы.

Центральной задачей ИБ-подразделения становится выстраивание такой системы корпоративной безопасности предприятия, которая могла бы справиться с наиболее распространенными типами угроз:

  • вирусы (троянское ПО, шифровальщики, программы, направленные на взлом системы безопасности сети и хищение информации);
  • шпионское и рекламное программное обеспечение;
  • спам;
  • фишинг;
  • DDoS-атаки;
  • подмена главной страницы сайта;
  • социальный инжиниринг, побуждающий сотрудников рисковать ресурсами компании.

Модель угроз должна рассматривать риски, исходящие от внешних источников и инсайдеров. Последние часто виноваты в большинстве утечек информации, намеренном или ненамеренном заражении сети вредоносными программами. 

Компании теряют существенные средства в следующих случаях:

  • раскрытие конфиденциальной информации конкурентам, в результате которой происходит потеря рынков или клиентов;
  • утрата персональных данных, приводящая к штрафам регуляторов;
  • убытки от судебных исков;
  • прямое хищение активов или средств с электронных счетов и карт, криптовалюты и других электронных активов;
  • имиджевые потери.

Сегодня российские компании чаще всего атакуют хакерские группировки из России. Специалисты по компьютерной безопасности из Check Point предположили, что атаки на ресурсы российских компаний происходят в два раза чаще, чем в среднем по миру, и кроме кражи паролей, популярным способом кибератак становится использование информационных систем компаний для майнинга криптовалют. Российские компании в среднем атакуют 893 раза в неделю, в общемировой статистике этот показатель составляет 465.

Доля российских атак составляет 39 % от общего числа, американские хакеры атакуют российский бизнес и банки в 30 % случаев. В 86 % случаев источником заражения информационной сети оказывалась электронная почта, не защищенная должным образом. Интересно, что в России вирусы чаще упаковывают в формат .exe, в мире большинство заражений происходит от файлов в формате .doc. Это говорит о том, что персонал российских компаний продолжает скачивать и устанавливать на корпоративные компьютеры взломанные и зараженные программы. Почти 13 % заражений российских информационных систем в 2019 году пришлось на криптомайнер XMRig, он используется для создания криптовалюты Monero. Еще в 12 % инцидентов виновата программа – похититель паролей AgentTesla, она собирает данные с клавиатуры жертв.

Крайне серьезный риск для банков и организаций финансового рынка несет небрежность в обращении с персональными данными клиентов. Утечки, в основном из-за работы действий инсайдеров, происходят постоянно. Это приводит к оттоку клиентов и существенной потере прибыли. Результаты проверки системы корпоративной безопасности предприятия регулятором. 

Оценивая риски, нельзя экономить на корпоративной информационной безопасности предприятия. Вложенные средства не всегда окупаются в полной мере, дополнительным риском становится некомпетентность ИТ-подразделений, настаивающих на незаменимости и заставляющих тратить существенные ресурсы на программные и технические средства, в приобретении которых нет необходимости. 

Средства должны быть потрачены планомерно и целенаправленно на решение задач безопасности информации: 

  • конфиденциальность или защита от угроз утечки;
  • целостность или отсутствие намеренных или ненамеренных повреждений, искажений;
  • доступность, все информационные ресурсы должны быть всегда доступны для пользователей и клиентов компании.

Рекомендации по созданию защищенных систем можно найти в руководящих документах ФСТЭК России. Они подскажут оптимальные способы выбора сертифицированных и эффективных программных продуктов.

Способы решения задачи защиты

Особенности корпоративных систем защиты информации определяются структурой бизнеса и его разветвленностью. Часто в сети компании, банка, крупной общественной организации используются технические средства не только разных производителей, но и разных поколений. Это делает информационную систему малоуправляемой, а затраты на ее администрирование превышают степень эффективности вложенных средств.

Также необходимо учитывать неоднородность стандартной корпоративной информационной системы с точки зрения архитектуры сети. В ее формировании участвуют разные локальные и распределенные сети.

Нормативные акты и действия регуляторов

Информация с повышенной степенью конфиденциальности защищается нормативно-правовыми актами разной степени значимости. Основные законы, действующие в этой сфере: «Об информации», «О защите персональных данных», «О коммерческой тайне», «Об объектах критической информационной инфраструктуры». Отдельные вопросы регулирования оборота коммерческой тайны и преследования за ее незаконное распространение упомянуты в Гражданском и Уголовном кодексах.

Отдельной группой нормативных актов, регулирующих организацию корпоративной безопасности предприятия, стали рекомендации и приказы регуляторов – ФСБ России и ФСТЭК России. Для банков правила построения сети и системы безопасности разрабатывает Центральный Банк РФ. Они помогают увидеть направление развития информационной сети компании, выстроить ее архитектуру с точки зрения максимальной эффективности. В этой сфере действуют ГОСТы, нормативные акты Росстандарта. 

Регуляторы требуют выстраивать концепцию безопасности, опираясь на следующие принципы:

  • использование лицензионных сертифицированных технических средств и программ, приобретенных по официальным договорам с предоставлением дистрибутивов и организацией техподдержки;
  • проведение проверки объектов информации на соответствие нормативным требованиям по защищенности;
  • составление организационных документов с указанием перечня допустимых к применению программных средств и запрет на инсталляцию программ, не упомянутых в них;
  • своевременное обновление операционных систем;
  • применение и обновление рекомендуемых антивирусных программ;
  • разработка систем дифференцированного доступа, присвоение меток конфиденциальности пользователям и ресурсам;
  • создание системы идентификации и аутентификации;
  • контроль за работой техподдержки и аутсорсинговых компаний, способных спровоцировать утечку информации;
  • разработка методов хранения и восстановления зараженного ПО.

Реализация этих рекомендаций в полном объеме позволит защитить сеть от большинства угроз безопасности. Для защиты файлов в базе данных и исходящего трафика целесообразно использовать шифрование при помощи сертифицированных ФСБ РФ средств криптографической защиты.

Организационные, программные и технические средства

При построении системы необходимо использовать комплексный подход, учитывающий совместимость программных и технических средств и выстраивающий ее по единому плану. При «лоскутном» методе построения зачастую одни характеристики улучшаются за счет ухудшения других, ресурсов системы, кадрового и финансового потенциала не хватает на одновременное поддержание жизнеспособности всех узлов и модулей, обновление и техническое сопровождение программного обеспечения.

Выбор программных и технических средств для создания единой системы корпоративной безопасности предприятия индивидуален для каждой компании, а организационные едины почти для всех участников рынка, являющихся операторами персональных данных или работающих с конфиденциальной информацией высокой ценности.

Организационные меры

Регулятор предписывает оператору персональных данных создать стройную систему организационных мер, в которой они иерархически подчиняются друг другу. На верхнем уровне находятся два документа:

1. Политика или стратегия работы системы информационной безопасности, содержащая все необходимые параметры, определяющие механизм ее функционирования: порядок ранжирования ресурсов по степени конфиденциальности, методы избегания несанкционированного доступа, порядок определения степени допуска, правила по использованию ресурсов.

2. Политика обработки персональных данных, в которой описываются цели и методы обработки, права пользователей. Документ открывается для общего обозрения и размещается на интернет-странице компании. Нарушение этого требования может вызывать замечания, штрафы или предписания при проверках регулятора.

На более низком уровне регулирования системы корпоративной безопасности предприятия необходимо подготовить и утвердить:

  • политику работы с бумажными носителями информации;
  • перечень конфиденциальной информации;
  • порядок работы со съемными носителями данных;
  • порядок получения доступа к Интернету и электронной почте и их использования;
  • порядок определения степени допуска пользователей к данным и правила его изменения.

Кроме документов, необходимо принять процедурные меры, направленные на защиту конфиденциальной информации, – установку электронных замков, введение пропускного режима, определение правил обучения пользователей. Вместе с решением этих задач происходит внедрение технических и программных мер защиты.

Программные и аппаратные средства защиты информации

ФСТЭК в руководящих документах определяет требования к составу программных средств, необходимых для обеспечения безопасности компании:

  • межсетевые экраны, ограничивающие переход из одного охраняемого сектора в другой;
  • антивирусные средства, позволяющие выявить все новые угрозы безопасности;
  • средства доверенной загрузки;
  • средства обнаружения вторжения;
  • средства криптографической защиты.
  • Помимо них, предприятия часто внедряют:
  • системы мониторинга работоспособности сети;
  • системы мониторинга уязвимостей;
  • программы SIEM, способные выявлять инциденты информационной безопасности и уведомлять о них службу безопасности;
  • DLP-системы, исключающие любые утечки данных из охраняемого информационного периметра и ограничивающие доступ к ресурсам высокой степени конфиденциальности.

Реализация этих решений поможет выстроить системы корпоративной безопасности предприятия на комфортном уровне, не перегружая ресурсы ИС и персонал и но гарантируя максимально возможную степень безопасности.

06.02.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними