Следование правилам информационной безопасности позволяет защитить информацию на предприятии и предотвратить сбои в работе существующей бизнес-системы. Прежде чем начать разработку стратегического плана безопасности, важно понять, какие цели должна преследовать система защиты и какие есть уязвимости деятельности предприятия.
Стратегия безопасности – это комплексный подход, состоящий из организационных, технических и инженерных мер, которые в конечном счете поддерживают работу системы безопасности.
Каждая сетевая услуга, которую использует или предоставляет организация, создает риски для всей системы и сети, к которой она подключена. Создание комплексной системы защиты невозможно без политики безопасности.
Политика безопасности – это набор правил, которые применяются ко всем функциям компьютеров и других коммуникационных ресурсов, принадлежащих организации. На практике правила создаются службой безопасности предприятия, администратором безопасности или компаниями, которые предоставляют услуги по защите данных.
Все правила, указанные в политике безопасности, должны применяться к сотрудникам, компьютерам и другим вычислительно-коммуникационным ресурсам, которые принадлежат организации.
Правила ИБ включают:
Политика безопасности определяет, что вы хотите защитить и что вы ожидаете от пользователей системы. Она обеспечивает основу для планирования безопасности при разработке новых объектов или расширения вашей текущей сети.
Правила ИБ описывают обязанности пользователя, такие как защита конфиденциальной информации и создание нетривиальных паролей. Также политика безопасности должна описывать, кто и как будет следить за эффективностью и своевременным выполнением мер безопасности. Такой мониторинг помогает определить, может ли кто-либо попытаться обойти существующую систему защиты.
Чтобы разработать свою политику безопасности, нужно четко определить цели безопасности. Цели – это конкретные шаги, которые в итоге реализуют правила ИБ. Эти шаги включают в себя обучение сотрудников и внедрение необходимого программного обеспечения, оборудования для соблюдения правил. Кроме того, когда вносятся изменения в вычислительную среду, нужно обновлять политику безопасности. Это необходимо для того, чтобы специалисты могли определить все новые риски, которые касаются нововведений.
Для создания и выполнения политики безопасности у руководителя должны быть четкие цели. Цели безопасности относятся к одной или нескольким из следующих категорий:
Схема защиты ресурсов должна гарантировать, что только авторизованные пользователи могут получить доступ к объектам системы. Возможность защиты всех типов системных ресурсов является основным показателем ее прочности. Служба безопасности должна определить разные категории пользователей, которые могут получить доступ к вашей системе. Кроме того, следует продумать, какую авторизацию доступа нужно предоставить этим группам юзеров в рамках создания политики информационной безопасности.
Аутентификация – это проверка того, что ресурс (человек или машина) на другом конце сеанса действительно соответствует своим характеристикам. Постоянная аутентификация защищает систему от риска взлома, при котором злоумышленник использует ложную идентификацию для доступа к системе.
Традиционно для аутентификации используются пароли и имена пользователей, цифровые сертификаты или параметры биометрии человека (отпечатки пальцев, скан лица). Когда вы связываете свою систему с общедоступной сетью, такой как Интернет, аутентификация пользователя принимает новые параметры. Важным различием между Интернетом и обычной локальной сетью является надежность. Интрасеть позволяет контролировать весь входящий трафик и действия пользователей, в то время как Интернет является средой возможной атаки злоумышленника.
Следовательно, вы должны серьезно подумать о том, как использовать более сильные методы проверки подлинности, чем предоставляют традиционные процедуры ввода имени пользователя и пароля. У проверенных пользователей могут быть разные типы разрешений на основе их уровней авторизации.
Авторизация – это уверенность в том, что лицо или компьютер на другом конце сеанса имеют разрешение на выполнение запроса. Авторизация подразумевает, что существует риск получения доступа к системным ресурсам со стороны. Как правило, авторизация выполняется в контексте аутентификации.
Целостность – это уверенность в том, что поступающая информация такая же, как и то, что было отправлено. Понимание целостности требует понимания понятий целостности данных и целостности системы.
Принципы целостности информации:
Секретные данные должны сохраняться. Злоумышленник не должен знать об их существовании. Конфиденциальность имеет решающее значение для обеспечения общей безопасности данных предприятия. Она достигается с помощью таких принципов:
Все это помогает обеспечить конфиденциальность при передаче данных через ненадежные сети. Политика безопасности организации должна включать детальное описание шагов, выполнение которых обеспечивает ИБ и конфиденциальность данных в локальной и глобальной сети.
Аудит безопасности – это мониторинг всех событий, которые связаны с получением доступа к сети. Всего рекомендуется использовать два типа записей – с указанием успешных авторизаций и подозрительных подключений. Неудачные попытки получения доступа являются первым сигналом попыток взлома.
Если уполномоченный сотрудник решил ознакомиться с результатами работы другого работника, такое действие должно быть внесено в журнал безопасности. Также нельзя выносить конфиденциальные данные за пределы охраняемого объекта. В случае необходимости передать бумажные копии нужно пользоваться услугами специальных курьерских компаний, которые занимаются передачей засекреченных данных между несколькими объектами.
Организация должна устанавливать цели информационной безопасности на всех уровнях. Цели ИБ в организации всегда соответствуют политике ИБ. Если это осуществимо на практике, риск взлома и хищения ценных данных будет минимальным.
Цели должны учитывать требования информационной безопасности и результаты оценки возможных рисков. Риски следует обработать и создать план противодействия, чтобы закрыть существующие каналы утечки. Важно отметить, что оценка опасности хищения должна быть экономически эффективной – затраты на устранение непредвиденных ситуаций не должны превышать максимальный убыток от действия злоумышленника.
В процессе планирования того, как достичь безопасности, организация должна дать ответ на такие вопросы:
Служба безопасности должна быть уверена в эффективности разработанной системы ИБ. После формирования перечня целей следует провести оценку их эффективности. К примеру, если вы создаете систему передачи рабочих данных между сотрудниками через облачное хранилище, нужно удостовериться в надежности сервиса и по возможности разработать дополнительные клиентские программы, которые могут шифровать данные и в нечитабельном виде отправлять на сервер.
Конечный результат создания политики безопасности должен быть задокументирован с указанием всех проделанных действий, материальных затрат и дальнейших рекомендаций по совершенствованию. Важно, чтобы систему можно было легко модифицировать после подключения новых вычислительных ресурсов.
Со временем могут возникать новые каналы утечки или способы взлома, которые ранее не были рассмотрены службой безопасности. Подобные происшествия нужно мониторить и устранять в максимально короткие сроки.
Для ознакомления сотрудников с правилами разграничения доступа и тонкостями организации безопасности следует регулярно проводить служебные тренинги или выдавать служебные инструкции по использованию техники и ведению документации.
Эффективное выполнение политики безопасности подразумевает создание системы защиты конфиденциальных данных предприятия с минимальными затратами и максимальным охватом всех возможных каналов утечки данных.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных