Цифровой мир, окружающий человека последние десятилетия, во многом облегчает ему жизнь, способствует развитию экономики, помогает решать множество бытовых и профессиональных задач. Но вместе с тем увеличению уровня удобств сопутствует и возрастание количества угроз, направленных на личные интересы и права гражданина, на нормальное функционирование бизнеса. Соблюдение даже простых требований информационной безопасности способно защитить средства на картах и персональные данные физического лица. Компаниям, особенно работающим на конкурентных рынках, необходимо относиться к вопросам компьютерной безопасности более ответственно.

Необходимость защиты информации

Эксперты, разрабатывающие для компаний концепции компьютерной безопасности, начинают работу с подготовки модели угроз. Этот документ помогает определить архитектуру информационных систем и необходимые организационные и технические средства защиты. 

На уровне государства модель системных угроз формулируется в Доктрине информационной безопасности, и борьба с ними происходит в основном в правовом поле, путем принятия законов и установления стандартов и методик, определяющих основы информационной безопасности. Для компании же основные угрозы будут зависеть от того, на каких рынках она работает и какие категории информации обрабатывает. 

Среди тех угроз, которые чаще всего оказываются в моделях, можно назвать следующие:

• внешние. Это либо конкуренты, желающие получить сведения о бизнес-процессах или клиентских базах, либо хакеры, преследующие собственные цели;
• внутренние, инсайдерские. Как считают эксперты, более 70 % утечек информации происходит в результате действий сотрудников компании, обычных пользователей. Такие действия могут быть преднамеренными или случайными.

Основным принципом выстраивания системы защиты будет то, что абсолютной безопасности информации быть не может. Всегда необходимо соизмерять способы и средства защиты и их стоимость с действительной ценой информации. 

Бороться с внутренними угрозами проще, чем с внешними. Информирование сотрудников о базовых правилах работы с компьютером, установление режима коммерческой тайны, разграничение уровней допуска и информирование о случаях привлечения к ответственности за нарушение правил компьютерной безопасности способны снизить инсайдерские риски до минимума. Практически до нуля они уменьшаются в случае установки на рабочих компьютерах современной DLP-системы, но не все компании, работающие в секторе малого и среднего бизнеса, могут себе это позволить.

Чаще всего IT-специалисты ограничиваются несколькими типичными решениями:

• установка на компьютеры паролей;
• установка защиты от компьютерных вирусов;
• запрет на инсталляцию любого непротестированного или найденного в Интернете программного обеспечения;
• ранжирование уровня доступа пользователей определенным информационным массивам, хранящимся на компьютере.

Этого не всегда бывает достаточно. Если информация имеет ценность для третьих лиц, для ее защиты нужно применять комплекс организационных и технических мер, а также, при выявлении правонарушений в сфере безопасности информации, обращаться к правовым средствам. 

Все они должны быть направлены на обеспечение трех основных свойств безопасности информации:

• конфиденциальности. Любые сведения, в отношении которых установлен режим секретности (персональные данные, банковская или коммерческая тайна), должны быть доступны только авторизированным пользователям;
• целостности. Данные должны сохраняться на компьютерах и в информационных системах в первоначальном виде, не изменяться и не искажаться;
• доступности. Пользователь персонального компьютера или информационного ресурса должен получить необходимые сведения в момент запроса, их недоступность по тем или иным причинам (взлом сайта или появление на компьютере программы-вымогателя) не должна мешать работе.

Правовые средства защиты

Государство устанавливает нормы, призванные обеспечить безопасность информации, находящейся на компьютерах и серверах компании. На долю организаций остается или соблюдение правил и стандартов в случаях, предусмотренных законом, или обращение к государственным органам за привлечением к ответственности лиц, совершивших компьютерные преступления.

Стандарты и правила обеспечения информационной безопасности устанавливаются относительно определенных информационных объектов. Так, для защиты персональных данных или объектов критической информационной инфраструктуры приказами ФСТЭК РФ установлены программные средства, использование которых необходимо для защиты от утечек или перехвата управления.

В случае совершения инсайдером или третьим лицом компьютерного преступления гражданин или организация могут обратиться к правоохранительным органам с заявлением о возбуждении уголовного дела по статьям Уголовного кодекса о преступлениях в сфере компьютерной безопасности. Это:

• неправомерный доступ к компьютерной информации (ст. 272 УК РФ). Любая попытка воспользоваться конфиденциальной информацией, находящейся на компьютере, если она была зафиксирована, будет преследоваться по закону;
• разработка и распространение вредоносных программ (ст. 273 УК РФ). Под действие этой нормы попадают все авторы вирусов, червей, троянов, логических бомб;
• нарушение правил эксплуатации компьютеров и информационных систем (ст. 274 УК). Ответственность возникнет, если информация была скопирована, модифицирована или уничтожена, и это принесло убытки ее владельцу.

Правовые механизмы защиты начинают действовать только тогда, когда есть желание привлечь инсайдера к ответственности, не боясь того, что пострадают деловая репутация и стабильная работа компании.

Роль административных мер

В любой организации существуют правила и регламенты, разрабатываемые в целях структурирования работы компании. Создание такого свода правил для работы за компьютером способно устранить многие риски или не допустить их возникновения. В ряде случаев разработка внутренних политик станет обязательной. 

Например, оператору персональных данных, исходя из норм закона о персональных данных и постановлений правительства, нужно будет подготовить:

1. Политику обработки персональных данных.
2. Перечень лиц, имеющих допуск к информации.
3. Стандартное согласие на обработку.
4. Но помимо обязательного свода правил, многие компании разрабатывают:
5. Политику информационной безопасности и правила работы за компьютером.
6. Принципы работы в Интернете.
7. Принципы работы с материальными носителями.
8. Стандарты отнесения информации к тому или иному классу безопасности.

Со всеми документами сотрудники знакомятся под роспись, только это позволит впоследствии привлечь их к ответственности за нарушение правил компьютерной безопасности.

Дополнительно нормы о соблюдении регламентов и сохранении коммерческой тайны включаются в трудовые контракты с сотрудниками и договоры с поставщиками и подрядчиками. Часто наиболее критичные утечки информации происходят в момент ее передачи организации, оказывающей услуги, или в системы облачного хранения.

Технические средства

При работе на компьютере обычный пользователь сталкивается с единственным техническим средством защиты информации, а именно с антивирусной защитой. IT-подразделения корпорации имеют дело с существенно большим набором технических средств, призванных обеспечить защиту информации. Это:

• средства криптографической защиты, используемые для шифрования данных на компьютере и исходящего трафика;
• программы, позволяющие конвертировать конфиденциальные данные в графическую или звуковую форму;
• SIEM-системы;
• DLP-системы, гарантирующие перехват любых попыток передать конфиденциальную информацию по электронной почте, с использованием мессенджеров или социальных сетей, распечатать документ, сделать скрин с экрана компьютера или скопировать данные на съемный носитель;
• межсетевые экраны.

Дополнительно решается задача использования аппаратных средств. Производится установка такой архитектуры информационной системы, которая минимизирует риски утечки информации в процессе ее передачи, установка двухфакторной системы защиты компьютера паролями. Второй пароль ставится на уровне BIOS. Но пароли не всегда решают задачу. Некоторые производители зарубежных системных плат устанавливают функцию введения единого пароля для входа в систему. Обязательным действием станет резервное копирование данных, которые могут быть утрачены в случае технического сбоя, ошибки пользователя или хакерской атаки.

Вся совокупность средств защиты информации призвана обеспечить компьютерную безопасность на высоком уровне, даже без необходимости тратить на решение этой задачи существенные ресурсы.