Служба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.
Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.
Утечка данных может случиться в самые различные моменты работы с ними. К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.
Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.
Основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.
Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.
Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.
Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно.
Процесс включает идентификацию:
На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.
Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.
Разработанная схема защиты должна гарантировать использование разного уровня доступов к корпоративной информации за счет идентификации личности или запрограммированной авторизации сотрудников, имеющих право доступа к информации и ее обработке. В рамках разработанной в компании политики безопасности сотрудники получат возможность использовать определенную документацию исключительно в рабочих целях. Документально оформленные и установленные ограничения помогут оперативно выявлять нарушителя, не допуская утечки информационных ресурсов за пределы предприятия.
Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей. Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.
Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными.
Специалисты в области ИБ рекомендуют использовать программные алгоритмы для обеспечения информационной безопасности: их выполнение позволяет надежно защитить информацию и своевременно отреагировать на возможные инциденты. Обучение сотрудников организации правилам работы с данными уменьшит количество инцидентов в сфере безопасности информации и финансовые потери от них.
Основные моменты, которые должны быть учтены при создании и функционировании системы информационной безопасности на предприятии:
Следуя этим принципам, руководитель легко сможет обеспечить информационную безопасность для сотрудников предприятия.
Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое.
Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:
Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.
Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту.
При разработке обучающих программ следует учитывать:
Дистанционное преподавание является одним из продуктивных способов быстрого и простого обучения любого количества сотрудников без нарушения установленного режима рабочего времени и без снижения продуктивности их труда. Это могут быть ролики, фильмы, скринсейверы, мультфильмы или краткие новости от службы безопасности. Постоянное напоминание сотрудникам о важности информационной защиты позволяет привить стойкие навыки в вопросах реализации требований по защите информации.
Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.
Для того чтобы достичь нужного уровня защиты в информационно-поисковой системе, нужно снизить количество инцидентов, базируясь на основных принципах обеспечения безопасности. Для начала нужно сосредоточиться на самом большом риске для сотрудников – фишинге.
Фишинг-атаки – это угрозы, которые являются наиболее распространенным способом манипулирования сотрудниками. Цель этих действий – подвергнуть компанию риску. Это мошенничество строится на методах социальной инженерии и ответственно за массовые нарушения, о которых сегодня можно услышать повсеместно.
К примеру, создание хакером измененного адреса Facebook: пользователи, попадающие на страницу, не замечают изменений, входят в систему и предоставляют мошеннику свои личные данные.
Фишинговые письма содержат психологические ловушки. Как правило, их адресуют конкретному сотруднику или компании. Если фишинговая рассылка охватывает большлй круг получателей, то письма менее специфичны.
Защита от этого типа атак строится на бдительности и осведомленности каждого сотрудника, иначе из-за одного открытого письма может пострадать доступ к информационным ресурсам, например, из-за подхваченного вируса. Нужно поощрять сотрудников, если они заметят подозрительное письмо и сообщат о нем. Так информация и программное обеспечение останутся целыми.
Для того чтобы обеспечить нужный уровень защиты системы информационной безопасности, можно симулировать фишинговые атаки для обучения сотрудников правильному поведению при получении подозрительных писем и выявления пробелов в знаниях, неспособности защитить конфиденциальную информацию.
Необходимо помнить: целью такого рода нападения является в первую очередь получение сведений об электронных платежных системах, банковских счетах, переводах. Фишинг, который направлен на определенного сотрудника, можно предупредить при помощи установки ограничений на отправку и получение электронных писем, сообщений.
Несмотря на современные разработки в сфере борьбы с интернет-атаками, данный вид нарушения политики безопасности остается действенным.
Лучший способ выбрать соответствующий ответ на угрозу безопасности – это понять, какие типы атак могут быть использованы против вас.
Список основных видов атак:
Политика безопасности снижает большинство рисков, связанных с различными видами атак на информационном ресурсе.
Злоумышленники редко входят через «парадную дверь» или, в данном контексте, межсетевой экран оборудования. Но каждая атака, как правило, работает по определенной схеме или по «цепочке киберубийств». Систему защиты в данном случае выстраивать нужно постепенно, охватывая все каналы связи.
«Цепочка киберубийств» – это последовательность этапов, необходимых злоумышленнику для успешного проникновения в сеть и удаления из нее нужных ему данных или совершения других действий. Разработка плана мониторинга и реагирования на основе модели «цепочки киберубийств» является эффективным методом предотвращения таких действий со стороны злоумышленников, поскольку в нем основное внимание уделяется фактическим атакам, совершаемым злоумышленником удаленно. Цель нападающего – найти нужные данные и уничтожить их, перед этим совершив разведку и разработку плана атаки.
Чтобы классифицировать типы происшествий в сфере безопасности информационной системы, нужно сопоставить каждое из них с «цепочкой киберубийств», чтобы определить соответствующую приоритетность и стратегию реагирования на инциденты.
Например, при сканировании порта многие проблемы игнорируются, если есть исходный IP-адрес, не имеющий плохой репутации, и с одного и того же адреса совершается несколько действий за короткий промежуток времени. Информационный ресурс в большинстве случаев остается нетронутым.
Вредоносную инфекцию, попавшую на устройство с программным обеспечением, нужно устранить немедленно. Основная методика лечения – сканирование сети на предмет наличия признаков компрометации, связанных с проблемой, и уничтожение их до того, как злоумышленники скопировали базу данных. На охраняемом объекте необходимо настроить веб-серверы для защиты от запросов HTTP и SYN. Во время атаки нужно скоординировать свои действия с провайдером, чтобы заблокировать исходные IP-адреса.
Иногда нужно расследовать все связанные действия, чтобы предотвратить отвлечение мошенниками внимания от более серьезной попытки атаки. Информационное сопротивление в данном случае успешно при тесном сотрудничестве с интернет-провайдером или поставщиком услуг.
Нужно определить учетные записи привилегированных пользователей для всех доменов, серверов, приложений и критических устройств. Потребуется убедиться, что мониторинг включен для всех систем и для всех системных событий. Помимо этого, необходимо провести резервное копирование всех важных данных, тестировать, документировать и обновлять процедуры восстановления системы. Во время компрометации системы нужно тщательно собирать доказательства и документировать все этапы восстановления.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных