Обеспечение информационной безопасности становится ключевой задачей организации, обрабатывающей данные, имеющие ценность для потенциальных злоумышленников. Для построения оптимальной модели информационной системы (ИС) необходимо выявить все условия, делающие риски более или менее вероятными.

Основные факторы, влияющие на подверженность ИС угрозам

Создавая собственную модель защиты данных, организация должна оценивать объективные явления, влияющие на степень риска. 

Под факторами понимают события и явления двух категорий:

• влияющие на процесс обработки информации таким образом, что это может повлечь ухудшение ее качественных характеристик – конфиденциальности, целостности, доступности;
• создающие условия, которые делают риски хищения или модификации информации более или менее вероятными. 

Широкий перечень рисков первой категории устанавливается ГОСТ Р 51275-99, который посвящен вопросам защиты данных.  

Стандарт предлагает такую классификацию рисков: 

• объективные внутренние. К ним относятся передача сигналов по незащищенным линиям связи, наличие электромагнитных, акустических, оптических излучений, которые могут быть перехвачены, дефекты, сбои и отказы оборудования и программ;
• внешние. Это явления техногенного характера, например, электромагнитные излучения, способные повредить информацию, аварии систем обеспечения, стихийные бедствия, термические риски – пожары, биологические – микробы или грызуны;
• субъективные внутренние. Это разглашение информации лицами, имеющими право доступа к ней, передача данных по открытым каналам связи, их обработка на незащищенных технических средствах, публикация информации в СМИ, ее копирование на неучтенный носитель, утеря носителя, любые неправомерные действия с данными – изменение, копирование, использование аппаратных закладок, неправильная защита информации, неправильное выстраивание механизма контроля, ошибки персонала;
• субъективные внешние. Это организация доступа к информации со стороны иностранных или конкурентных разведок, использование специальных средств для внешнего доступа к данным, действия криминальных групп, диверсионная деятельность.

Перечень ГОСТ практически никогда не ложится в основу построения системы ИС организации. В этом случае опираются на более глобальную систему выявления условий, создающих риски. 

В локальных нормативных актах организаций – политиках безопасности – к ним относится:

• отрасль, в которой функционирует организация;
• начальная степень защищенности информационной системы и сложность ее архитектуры;
• ценность обрабатываемой информации;
• тип гипотетического нарушителя;
• степень подготовки персонала.

Оценка этих параметров позволит разработать собственную модель управления рисками ИБ.  Выявление угроз, подходящих для конкретной организации, может производиться различными методами:

• статистическое наблюдение. Для применения метода необходимо наличие большого объема статистических данных об инцидентах информационной безопасности, в той же или схожих отраслях экономики;
• экспертная оценка. Крупные компании, занимающиеся информационной безопасностью, могут проанализировать ситуацию на конкретном предприятии, опираясь на накопленный опыт и используя различные методы анализа;
• эксперимент.

Чаще всего применяется комбинация первого и второго методов. Эксперимент доступен крупным корпорациям и на государственным организациям. В ходе эксперимента цифровую модель предприятия или объекта тестируют на устойчивость к атакам злоумышленников.

Отраслевые параметры

В зависимости от того, в какой отрасли экономики работает организация и по какому принципу строится ее бизнес, определяются параметры, создающие угрозу ИБ. Некоторые отрасли оказываются под большим риском, чем другие. 

Максимальное внимание вопросам информационной безопасности должны уделять:

• операторы персональных данных. ПД – самый популярный товар на черном рынке информации, а значит, они всегда под прицелом;
• банки и организации финансового сектора. Злоумышленников интересуют сведения о счетах граждан, возможность хищения чужих накоплений;
• компании, работающие в сфере инновационных и информационных технологий. Хакеры проявляют интерес к новым разработкам, сточки зрения своевременного создания средств противодействия. Известны случаи, когда хакеры годами молчаливо присутствовали в ИС разработчиков, фиксируя все их находки и решения;
• правительственные организации, нанесение ущерба которым создает пиар хорошую репутацию в рядах злоумышленников;
• правительственные электронные сервисы и компании, обеспечивающие их функционирование. В этом случае атаки нацелены на хищение персональных данных или сведений о штрафах граждан. Например, информационная инфраструктура правительства Москвы подвергается атакам каждые 20 секунд;
• компании, работающие в сфере защиты от хакерских атак. На их разработки существует повышенный спрос, их хищение помогает взламывать системы клиентов;
• предприятия телекоммуникационной сферы. Временное обрушение каналов связи используют в кибервойнах;
• организации жилищно-коммунальной инфраструктуры (водоканалы, АЭС и др.), аварии на которых позволяют лишить воды и электричества целые районы.

Понимая цели злоумышленников можно выявить условия, создающие угрозу ИБ, устранение которых потребуется в первую очередь.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.

Защищенность и архитектура системы

Отдельным вопросом становится оценка качества информационной безопасности для используемых информационных технологий. Результат такой оценки определяет готовность информационной системы к отражению внешних и внутренних атак. Сертификация ФСТЭК, выявляющая незадекларированные возможности, не всегда панацея, многие проблемы скрыты в используемых типовых операционных системах, уязвимости которых хорошо известны злоумышленникам. 

В ГОСТе факторы, создающие угрозу информационной безопасности и относящиеся к этому классу, определяются следующим образом:

• дефекты, сбои и отказы программного обеспечения;
• обработка информации на незащищенных серверах и рабочих станциях, ее передача по незащищенным линиям связи;
• копирование данных на незарегистрированный носитель информации;
• несанкционированное подключение к каналам связи, техническим средствам и системам обработки информации;
• использование дефектов средств обработки информации;
• использование программных закладок;
• применение вирусов.

Для устранения этих событий и действий, создающих угрозу информационной безопасности, и грамотной настройки ИС требуется системный подход.

Существует несколько стандартов, позволяющих оценить работу системы в целом и качество настройки программного обеспечения. Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» является ключевым. Применение норм стандарта дает рабочие инструменты, способные оценить безопасность и работоспособность технологий. Фактически это набор библиотек, содержащих стандарты безопасности и типовые профили защиты. От целевых атак эти решения спасут не всегда, но в 90% случаев избавят от внешних и внутренних рисков. В стандарте представлено 11 функциональных классов, 66 семейств, 135 компонентов информационной безопасности. Они знакомы многим системным администраторам, но на практике чаще реализуется только часть из них. 

В хорошо защищенной системе должны быть внедрены следующие программные механизмы:

• идентификация и аутентификация, часто двухступенчатая;
• защита данных пользователя от неправомерного завладения ими с целью входа в систему под чужой учетной записью;
• защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);
• управление безопасностью, ее атрибутами и параметрами, настройка мониторинга безопасности, аудита результатов управления, под которым подразумевается выявление, регистрация, хранение, анализ данных, связанных с обеспечением безопасности системы, меры реагировании на инциденты информационной безопасности, мониторинг;
• регламентация дифференцированного доступа к системе;
• приватность, защита данных и операций пользователя;
• криптографическая защита;
• организация связи по защищенному маршруту.

Для каждой из позиций предусмотрены свои методы защиты использованием конкретных технических и программных средств. Создание информационной структуры согласно по стандарту повышает уровень защиты информации. 

При работе с поставщиками решений, аутсорсинговыми организациями, получившими заказ на создание защищенной информационной системы, стандарт предлагает критерии доверенности, оценки работы, помогающие исключить возникновение рисков для ИБ. 

Действия разработчиков и инженеров внедрения должны дополнительно проверяться на каждом этапе создания архитектуры системы:

• разработка тестируется на каждом этапе – от краткой спецификации до полной реализации;
• поддержка жизненного цикла должна контролироваться с момента запуска;
• тестирование при введении в эксплуатацию осуществляется при участии независимых экспертов;
• при поставке требуется приемка;
• руководство пользователя тестируется на ясность и полноту;
• дополнительно проводится тестирование системы на соответствие профилям безопасности.

При заказе разработки ПО или ИС соблюдение требований по контролю за работой поставщиков информационных услуг поможет избежать множества ошибок. Расходы на привлечение внешних экспертов часто себя оправдывают.

Ценность данных

Отдельным вопросом становится ценность данных. Сложно выработать общие критерии оценки стоимости сведений и определить, как формируется тот предел, после достижения которого данные оказываются в зоне риска, а их стоимость становится ключевым параметром, создающим угрозу информационной безопасности. 

В любом случае существенной охране ввиду своей безусловной ценности подлежат:

• государственная тайна;
• банковская тайна;
• персональные данные граждан;
• научные разработки, имеющие высокую значимость;
• новые информационные технологии;
• разработки стартапов, имеющие коммерческий потенциал. Такие организации, еще не набравшие значительных ресурсов, не могут выстроить надежную систему ИБ. А на новые технологические и еще не запатентованные решения нацелено множество конкурентов, готовых их похитить и перепродать.

В работе обычной компании, не обладающей информацией этих классов, ценность сведений определяется интересом к ним конкурентов. Компания, работающая на насыщенном рынке, должна более внимательно охранять свои бизнес-планы, маркетинговые разработки, клиентские базы от хищения и утечек. Часто информационные системы оказываются под ударом, если компания участвует в тендере по госзакупкам. Известны случаи попыток устранения конкурента путем обрушения его информационной системы. Определенные риски фиксируются в работе компаний, устанавливающих и обслуживающих многочисленные устройства с выходом в Интернет – температурные датчики, видеокамеры. Эти устройства все чаще задействуются в качестве ботов при организации DDoS-атак.

Подготовка персонала

На практике степень подготовки персонала оказывается важнейшей из причин, создающих угрозу информационной безопасности. В Доктрине информационной безопасности России прямо озвучено, что одной из угроз информационной безопасности страны становится небольшое число опытных кадров, невысокий уровень образования и подготовки новых специалистов. 

При этом профессионалов быстро разбирают крупные отечественные или зарубежные корпорации. А малому и среднему бизнесу достаются сотрудники, обладающие низкими или средними навыками, редко способные выстроить качественную систему защиты, даже с упором на стандарты ФСТЭК России. 

ГОСТ прямо называет в числе факторов, ухудшающих качество ИБ:

• неправильное организационное обеспечение защиты информации. Под ним подразумевается отказ от организационных мер защиты или неправильное их применение;
• неправильная разработка требований к защите информации, неверный выбор программных продуктов, неточная настройка систем мониторинга;
• несоблюдение требований по защите данных, установленных регуляторами – ФСТЭК, ФСБ, Центробанком;
• неправильная организация контроля эффективности защиты данных, отказ от создания службы внутреннего контроля, ведения журналов учета действий пользователей;
• ошибки персонала, администраторов, компаний, оказывающих ИТ-услуги на аутсорсинге;
• ошибки при использовании технических и программных средств.

Помимо всех перечисленных в ГОСТе рисков, создающих угрозу информационной безопасности, существуют и дополнительные. Желание расходовать большие бюджеты, повышая значимость подразделения, и концентрируясь на сложных продуктах, а не на постоянном контроле за работоспособностью системы, увеличивает вероятность реализации угроз. 

Для минимизации влияния слабой подготовки персонала требуется регулярно проводить кадровый аудит и аттестацию, при необходимости организовывать дополнительное обучение. Привлечение на отдельные участки работы аутсорсеров должно осуществляться с соблюдением всех требований безопасности, включая внесение в договоры оговорки о защите коммерческой тайны с высоким уровнем материальной ответственности.

Тонкая настройка системы информационной безопасности компании с учетом влияющих параметров и степени их значимости позволит минимизировать риски и исключить возможность причинения ущерба организации. На практике факторный анализ сложнее, чем статистический, но он помогает создать более надежную систему защиты.

17.06.2020