Основные принципы обеспечения информационной безопасности

Защита данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Служба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.

Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.

Утечка данных может случиться в самые различные моменты работы с ними. К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.

Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.

Основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.

Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.

Что такое информационная безопасность и какова ее цель

Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.

Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно. 

Процесс включает идентификацию:

  • основных средств и нематериальных активов;
  • источников угроз информационной безопасности и уязвимостей;
  • возможностей контроля и управления рисками.

На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.

Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.

Разработанная схема защиты должна гарантировать использование разного уровня доступов к корпоративной информации за счет идентификации личности или запрограммированной авторизации сотрудников, имеющих право доступа к информации и ее обработке. В рамках разработанной в компании политики безопасности сотрудники получат возможность использовать определенную документацию исключительно в рабочих целях. Документально оформленные и установленные ограничения помогут оперативно выявлять нарушителя, не допуская утечки информационных ресурсов за пределы предприятия.

Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей. Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.

Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными. 

Как обеспечить информационную безопасность для сотрудников компании

Специалисты в области ИБ рекомендуют использовать программные алгоритмы для обеспечения информационной безопасности: их выполнение позволяет надежно защитить информацию и своевременно отреагировать на возможные инциденты. Обучение сотрудников организации правилам работы с данными уменьшит количество инцидентов в сфере безопасности информации и финансовые потери от них.

Основные моменты, которые должны быть учтены при создании и функционировании системы информационной безопасности на предприятии:

  1. Начинать выстраивать многоэтапный процесс обучения сотрудников нужно как можно раньше. Этот принцип базируется на теории, что исполнительное звено команды задает тон всей компании, каждой группе (отделу, подразделению) и каждому проекту. Если собственник компании стремится, чтобы его программа действий по обеспечению ИБ была успешной, необходимо привлечь команду менеджеров, которые будут ответственными за обеспечение требований информационной безопасности на каждом этапе работы с данными, и предусмотреть в их должностных обязанностях выполнение этих функций.
  2. Необходимо непрерывно обучать сотрудников методам и требованиям обеспечения информационной безопасности на предприятии. Следуя этому принципу, нужно прививать персоналу культуру обращения с данными, когда каждый соблюдает правила информационной безопасности непосредственно на своем рабочем месте. Большинство экспертов сходятся во мнении, что подход «один раз – и готово» не позволяет обеспечить безопасность в информационной сфере. Важно включить «обучающие моменты» в повседневные деловые операции. Например, упражнения по симуляции атаки в основном обеспечивают наиболее реалистичный контекст для отработки действий по защите информации в реальных рискованных ситуациях, в которых оказываются сотрудники. Во время такого обучения часто удается прорабатывать и впоследствии внедрять наиболее ценные методы решения проблемы. 
  3. Использование актуальных решений в области информационной безопасности. Следуя этому принципу, нужно повышать осведомленность персонала, вносить изменения в его поведение на основании реальных, актуальных и убедительных примеров. Не нужно усложнять очевидные вещи, пытаться решать всевозможные ситуации основным методом. Только используя систему информационной защиты по всем направлениям, можно получить действительно качественный результат и минимизировать или остановить утечки информации за пределы предприятия.
  4. Выбор наилучшего подхода. Нужно показать сотрудникам, как можно выполнять различные операции с информацией безопасно, используя наиболее подходящий в конкретных ситуациях, правильный подход. Важно помнить: цель владельца компании состоит в том, чтобы привить персоналу профессиональные навыки и привычки, чтобы безопасность соблюдалась на интуитивном уровне, а не просто зазубрить правила на время.  
  5. Объяснения с вескими доказательствами и удачными примерами. Надо объяснять сотрудникам, почему учетные данные и документы пользователя так ценны, и насколько важно их защитить. Это гораздо лучше, чем просто разочароваться в количестве жалоб пользователей на политику защиты информации. Как только сотрудник поймет причину существования определенной меры безопасности, он с большей вероятностью будет уважать ее и применять аналогичные принципы информационной безопасности в любых новых ситуациях «высокого риска».
  6. Приоритетное обучение. Обучение информационной безопасности является наиболее значимым, когда оно тесно связано с ролью сотрудника на предприятии в контексте рисков, с которыми он сталкивается при выполнении этой роли.
  7. Нет инструмента обучения, который бы подходил для всех. Потребуется использовать новые способы, основанные на принципах креативности, для управления информационной безопасностью: бюллетени, плакаты, блоги, другие средства. Из этого принципа можно сделать вывод: нужно искать индивидуальный подход к каждому сотруднику.

Следуя этим принципам, руководитель легко сможет обеспечить информационную безопасность для сотрудников предприятия.

Цели обучения персонала вопросам информационной безопасности

Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое. 

Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:

  • отслеживание заявок в службу поддержки; сотрудники более чувствительны к подозрительным событиям и уверены в себе, когда сообщают о проблемах;
  • изучение нетрадиционных методов обучения, таких как имитационные упражнения. Они необходимы, чтобы проверить устойчивость работника к мошенничеству в социальной сфере, а затем измерять прогресс на ежеквартальной основе.

Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.

Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту. 

При разработке обучающих программ следует учитывать:

  • возможность учебы без отрыва от рабочего процесса;
  • регулярность обновления полученных знаний;
  • доступность и понятность предоставляемой информации.

Дистанционное преподавание является одним из продуктивных способов быстрого и простого обучения любого количества сотрудников без нарушения установленного режима рабочего времени и без снижения продуктивности их труда. Это могут быть ролики, фильмы, скринсейверы, мультфильмы или краткие новости от службы безопасности. Постоянное напоминание сотрудникам о важности информационной защиты позволяет привить стойкие навыки в вопросах реализации требований по защите информации.

Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.

Что нужно знать о фишинговых атаках

Для того чтобы достичь нужного уровня защиты в информационно-поисковой системе, нужно снизить количество инцидентов, базируясь на основных принципах обеспечения безопасности. Для начала нужно сосредоточиться на самом большом риске для сотрудников – фишинге.

Фишинг-атаки – это угрозы, которые являются наиболее распространенным способом манипулирования сотрудниками. Цель этих действий – подвергнуть компанию риску. Это мошенничество строится на методах социальной инженерии и ответственно за массовые нарушения, о которых сегодня можно услышать повсеместно. 

К примеру, создание хакером измененного адреса Facebook: пользователи, попадающие на страницу, не замечают изменений, входят в систему и предоставляют мошеннику свои личные данные. 

Фишинговые письма содержат психологические ловушки. Как правило, их адресуют конкретному сотруднику или компании. Если фишинговая рассылка охватывает большлй круг получателей, то письма менее специфичны.

Защита от этого типа атак строится на бдительности и осведомленности каждого сотрудника, иначе из-за одного открытого письма может пострадать доступ к информационным ресурсам, например, из-за подхваченного вируса. Нужно поощрять сотрудников, если они заметят подозрительное письмо и сообщат о нем. Так информация и программное обеспечение останутся целыми. 

Для того чтобы обеспечить нужный уровень защиты системы информационной безопасности, можно симулировать фишинговые атаки для обучения сотрудников правильному поведению при получении подозрительных писем и выявления пробелов в знаниях, неспособности защитить конфиденциальную информацию.

Необходимо помнить: целью такого рода нападения является в первую очередь получение сведений об электронных платежных системах, банковских счетах, переводах. Фишинг, который направлен на определенного сотрудника, можно предупредить при помощи установки ограничений на отправку и получение электронных писем, сообщений.

Несмотря на современные разработки в сфере борьбы с интернет-атаками, данный вид нарушения политики безопасности остается действенным. 

Виды атак: от чего необходимо защититься

Лучший способ выбрать соответствующий ответ на угрозу безопасности – это понять, какие типы атак могут быть использованы против вас. 

Список основных видов атак:

  • атака на внешний/съемный носитель выполняется с использованием съемного носителя (например, флэш-накопителя, компакт-диска, задевающего информационный ресурс) или периферийного устройства;
  • атака на электронный адрес выполняется с помощью письма со ссылкой или вложением (например, заражение вредоносным программным обеспечением);
  • атака на систему выполняется с использованием деградации или уничтожения системы, сети или службы, предоставляя злоумышленнику доступ к информации;
  • неправильное использование – это любой инцидент, вызванный нарушением правил организации уполномоченным пользователем;
  • атака с веб-сайта или веб-приложения;
  • утеря или кража оборудования.

Политика безопасности снижает большинство рисков, связанных с различными видами атак на информационном ресурсе.

Злоумышленники редко входят через «парадную дверь» или, в данном контексте, межсетевой экран оборудования. Но каждая атака, как правило, работает по определенной схеме или по «цепочке киберубийств». Систему защиты в данном случае выстраивать нужно постепенно, охватывая все каналы связи.

«Цепочка киберубийств» – это последовательность этапов, необходимых злоумышленнику для успешного проникновения в сеть и удаления из нее нужных ему данных или совершения других действий. Разработка плана мониторинга и реагирования на основе модели «цепочки киберубийств» является эффективным методом предотвращения таких действий со стороны злоумышленников, поскольку в нем основное внимание уделяется фактическим атакам, совершаемым злоумышленником удаленно. Цель нападающего – найти нужные данные и уничтожить их, перед этим совершив разведку и разработку плана атаки. 

О каких событиях безопасности действительно нужно беспокоиться

Чтобы классифицировать типы происшествий в сфере безопасности информационной системы, нужно сопоставить каждое из них с «цепочкой киберубийств», чтобы определить соответствующую приоритетность и стратегию реагирования на инциденты. 

Например, при сканировании порта многие проблемы игнорируются, если есть исходный IP-адрес, не имеющий плохой репутации, и с одного и того же адреса совершается несколько действий за короткий промежуток времени. Информационный ресурс в большинстве случаев остается нетронутым.

Вредоносную инфекцию, попавшую на устройство с программным обеспечением, нужно устранить немедленно. Основная методика лечения – сканирование сети на предмет наличия признаков компрометации, связанных с проблемой, и уничтожение их до того, как злоумышленники скопировали базу данных. На охраняемом объекте необходимо настроить веб-серверы для защиты от запросов HTTP и SYN. Во время атаки нужно скоординировать свои действия с провайдером, чтобы заблокировать исходные IP-адреса. 

Иногда нужно расследовать все связанные действия, чтобы предотвратить отвлечение мошенниками внимания от более серьезной попытки атаки. Информационное сопротивление в данном случае успешно при тесном сотрудничестве с интернет-провайдером или поставщиком услуг.

Нужно определить учетные записи привилегированных пользователей для всех доменов, серверов, приложений и критических устройств. Потребуется убедиться, что мониторинг включен для всех систем и для всех системных событий. Помимо этого, необходимо провести резервное копирование всех важных данных, тестировать, документировать и обновлять процедуры восстановления системы. Во время компрометации системы нужно тщательно собирать доказательства и документировать все этапы восстановления.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними