Защита конфиденциальных и персональных данных от инсайдеров и внешних атак – первоочередная задача ИБ-подразделения компании. Степень важности угроз для сохранности информации возрастает с ростом технической оснащенности злоумышленников, и службы корпорации должны быть готовы оценить и предотвратить новые угрозы. Стройность защитной системы зависит от комплексности ее разработки и внедрения.
Виды угроз
Корпоративные системы подвержены различным угрозам информационной безопасности – от хищения данных сотрудниками до внешнего вмешательства с целью уничтожить работоспособность средств защиты. Это побуждает предприятия выстраивать собственную модель угроз, опирающуюся на бизнес-задачи и характеристику системы. Для небольшого бизнеса забота о корпоративной безопасности предприятия не менее актуальна в связи с трендом на цифровизацию деловой активности, постепенным переводом деятельности в виртуальное пространство.
Защищать приходится:
- оплату товаров и услуг через Интернет;
- электронную почту;
- удаленные подключения;
- IP-телефонию;
- облачные хранилища;
- виртуальные серверы.
Центральной задачей ИБ-подразделения становится выстраивание такой системы корпоративной безопасности предприятия, которая могла бы справиться с наиболее распространенными типами угроз:
- вирусы (троянское ПО, шифровальщики, программы, направленные на взлом системы безопасности сети и хищение информации);
- шпионское и рекламное программное обеспечение;
- спам;
- фишинг;
- DDoS-атаки;
- подмена главной страницы сайта;
- социальный инжиниринг, побуждающий сотрудников рисковать ресурсами компании.
Модель угроз должна рассматривать риски, исходящие от внешних источников и инсайдеров. Последние часто виноваты в большинстве утечек информации, намеренном или ненамеренном заражении сети вредоносными программами.
Компании теряют существенные средства в следующих случаях:
- раскрытие конфиденциальной информации конкурентам, в результате которой происходит потеря рынков или клиентов;
- утрата персональных данных, приводящая к штрафам регуляторов;
- убытки от судебных исков;
- прямое хищение активов или средств с электронных счетов и карт, криптовалюты и других электронных активов;
- имиджевые потери.
Сегодня российские компании чаще всего атакуют хакерские группировки из России. Специалисты по компьютерной безопасности из Check Point предположили, что атаки на ресурсы российских компаний происходят в два раза чаще, чем в среднем по миру, и кроме кражи паролей, популярным способом кибератак становится использование информационных систем компаний для майнинга криптовалют. Российские компании в среднем атакуют 893 раза в неделю, в общемировой статистике этот показатель составляет 465.
Доля российских атак составляет 39 % от общего числа, американские хакеры атакуют российский бизнес и банки в 30 % случаев. В 86 % случаев источником заражения информационной сети оказывалась электронная почта, не защищенная должным образом. Интересно, что в России вирусы чаще упаковывают в формат .exe, в мире большинство заражений происходит от файлов в формате .doc. Это говорит о том, что персонал российских компаний продолжает скачивать и устанавливать на корпоративные компьютеры взломанные и зараженные программы. Почти 13 % заражений российских информационных систем в 2019 году пришлось на криптомайнер XMRig, он используется для создания криптовалюты Monero. Еще в 12 % инцидентов виновата программа – похититель паролей AgentTesla, она собирает данные с клавиатуры жертв.
Крайне серьезный риск для банков и организаций финансового рынка несет небрежность в обращении с персональными данными клиентов. Утечки, в основном из-за работы действий инсайдеров, происходят постоянно. Это приводит к оттоку клиентов и существенной потере прибыли. Результаты проверки системы корпоративной безопасности предприятия регулятором.
Оценивая риски, нельзя экономить на корпоративной информационной безопасности предприятия. Вложенные средства не всегда окупаются в полной мере, дополнительным риском становится некомпетентность ИТ-подразделений, настаивающих на незаменимости и заставляющих тратить существенные ресурсы на программные и технические средства, в приобретении которых нет необходимости.
Средства должны быть потрачены планомерно и целенаправленно на решение задач безопасности информации:
- конфиденциальность или защита от угроз утечки;
- целостность или отсутствие намеренных или ненамеренных повреждений, искажений;
- доступность, все информационные ресурсы должны быть всегда доступны для пользователей и клиентов компании.
Рекомендации по созданию защищенных систем можно найти в руководящих документах ФСТЭК России. Они подскажут оптимальные способы выбора сертифицированных и эффективных программных продуктов.
Способы решения задачи защиты
Особенности корпоративных систем защиты информации определяются структурой бизнеса и его разветвленностью. Часто в сети компании, банка, крупной общественной организации используются технические средства не только разных производителей, но и разных поколений. Это делает информационную систему малоуправляемой, а затраты на ее администрирование превышают степень эффективности вложенных средств.
Также необходимо учитывать неоднородность стандартной корпоративной информационной системы с точки зрения архитектуры сети. В ее формировании участвуют разные локальные и распределенные сети.
Нормативные акты и действия регуляторов
Информация с повышенной степенью конфиденциальности защищается нормативно-правовыми актами разной степени значимости. Основные законы, действующие в этой сфере: «Об информации», «О защите персональных данных», «О коммерческой тайне», «Об объектах критической информационной инфраструктуры». Отдельные вопросы регулирования оборота коммерческой тайны и преследования за ее незаконное распространение упомянуты в Гражданском и Уголовном кодексах.
Отдельной группой нормативных актов, регулирующих организацию корпоративной безопасности предприятия, стали рекомендации и приказы регуляторов – ФСБ России и ФСТЭК России. Для банков правила построения сети и системы безопасности разрабатывает Центральный Банк РФ. Они помогают увидеть направление развития информационной сети компании, выстроить ее архитектуру с точки зрения максимальной эффективности. В этой сфере действуют ГОСТы, нормативные акты Росстандарта.
Регуляторы требуют выстраивать концепцию безопасности, опираясь на следующие принципы:
- использование лицензионных сертифицированных технических средств и программ, приобретенных по официальным договорам с предоставлением дистрибутивов и организацией техподдержки;
- проведение проверки объектов информации на соответствие нормативным требованиям по защищенности;
- составление организационных документов с указанием перечня допустимых к применению программных средств и запрет на инсталляцию программ, не упомянутых в них;
- своевременное обновление операционных систем;
- применение и обновление рекомендуемых антивирусных программ;
- разработка систем дифференцированного доступа, присвоение меток конфиденциальности пользователям и ресурсам;
- создание системы идентификации и аутентификации;
- контроль за работой техподдержки и аутсорсинговых компаний, способных спровоцировать утечку информации;
- разработка методов хранения и восстановления зараженного ПО.
Реализация этих рекомендаций в полном объеме позволит защитить сеть от большинства угроз безопасности. Для защиты файлов в базе данных и исходящего трафика целесообразно использовать шифрование при помощи сертифицированных ФСБ РФ средств криптографической защиты.
Организационные, программные и технические средства
При построении системы необходимо использовать комплексный подход, учитывающий совместимость программных и технических средств и выстраивающий ее по единому плану. При «лоскутном» методе построения зачастую одни характеристики улучшаются за счет ухудшения других, ресурсов системы, кадрового и финансового потенциала не хватает на одновременное поддержание жизнеспособности всех узлов и модулей, обновление и техническое сопровождение программного обеспечения.
Выбор программных и технических средств для создания единой системы корпоративной безопасности предприятия индивидуален для каждой компании, а организационные едины почти для всех участников рынка, являющихся операторами персональных данных или работающих с конфиденциальной информацией высокой ценности.
Организационные меры
Регулятор предписывает оператору персональных данных создать стройную систему организационных мер, в которой они иерархически подчиняются друг другу. На верхнем уровне находятся два документа:
1. Политика или стратегия работы системы информационной безопасности, содержащая все необходимые параметры, определяющие механизм ее функционирования: порядок ранжирования ресурсов по степени конфиденциальности, методы избегания несанкционированного доступа, порядок определения степени допуска, правила по использованию ресурсов.
2. Политика обработки персональных данных, в которой описываются цели и методы обработки, права пользователей. Документ открывается для общего обозрения и размещается на интернет-странице компании. Нарушение этого требования может вызывать замечания, штрафы или предписания при проверках регулятора.
На более низком уровне регулирования системы корпоративной безопасности предприятия необходимо подготовить и утвердить:
- политику работы с бумажными носителями информации;
- перечень конфиденциальной информации;
- порядок работы со съемными носителями данных;
- порядок получения доступа к Интернету и электронной почте и их использования;
- порядок определения степени допуска пользователей к данным и правила его изменения.
Кроме документов, необходимо принять процедурные меры, направленные на защиту конфиденциальной информации, – установку электронных замков, введение пропускного режима, определение правил обучения пользователей. Вместе с решением этих задач происходит внедрение технических и программных мер защиты.
Программные и аппаратные средства защиты информации
ФСТЭК в руководящих документах определяет требования к составу программных средств, необходимых для обеспечения безопасности компании:
- межсетевые экраны, ограничивающие переход из одного охраняемого сектора в другой;
- антивирусные средства, позволяющие выявить все новые угрозы безопасности;
- средства доверенной загрузки;
- средства обнаружения вторжения;
- средства криптографической защиты.
- Помимо них, предприятия часто внедряют:
- системы мониторинга работоспособности сети;
- системы мониторинга уязвимостей;
- программы SIEM, способные выявлять инциденты информационной безопасности и уведомлять о них службу безопасности;
- DLP-системы, исключающие любые утечки данных из охраняемого информационного периметра и ограничивающие доступ к ресурсам высокой степени конфиденциальности.
Реализация этих решений поможет выстроить системы корпоративной безопасности предприятия на комфортном уровне, не перегружая ресурсы ИС и персонал и но гарантируя максимально возможную степень безопасности.
06.02.2020