Современное предприятие располагает большими объемами информации, необходимой для устойчивой и эффективной работы. Основную ценность составляют технологические данные, ноу-хау, собственные разработки или приобретенные методики. Кроме этого, в компаниях хранятся сведения о финансовых операциях, кредитах.

Одним из важных аспектов деятельности службы информационной безопасности (ИБ-службы) становится техническая защита информации. Вне зависимости от размеров и специализации предприятия, информационные ресурсы интересуют конкурентов и заставляют их предпринимать враждебные действия. Методы злоумышленников разнообразны, поэтому ИБ-служба должна вести постоянный поиск каналов утечки информации, отслеживать цели и действия преступников.

Степень опасности. Оценка рисков

Для создания надежной системы защиты конфиденциальной информации необходимо рассортировать имеющиеся данные по специфике и уровню ценности. 

Как правило, на предприятии хранятся массивы информации следующих категорий:

• партнерские и клиентские базы данных;
• документация в электронном или бумажном виде;
• информация о технологиях, специфике производственного процесса, составе оборудования;
• финансовые сведения, составляющие коммерческую тайну.

Нередко основная опасность исходит не столько от внешних источников, сколько от сотрудников компании и даже от ее руководства. Первые имеют доступ к ценной информации, которую при определенных условиях способны предоставить посторонним лицам или злоумышленникам. Вторые не обращают должного внимания на системы обеспечения информационной безопасности, считая угрозу несущественной или мнимой. 

Если организовать контроль за действиями сотрудников относительно просто, то убедить руководство в необходимости технической защиты информации крайне сложно. Создание систем защиты данных – трудоемкое и затратное мероприятие. Многие владельцы или руководители, не имея печального опыта потери данных, склонны относиться к охране сведений слишком легкомысленно. Подобное отношение следует считать наиболее опасной угрозой для информации. Осознание важности охраны данных приходит только после потери сведений, когда приходится в срочном порядке восстанавливать нормальную работу предприятия. 

Оценка информационных рисков предприятий является базисом, на котором строятся системы технической защиты информации. К наиболее проблемным направлениям следует отнести:

• попытки несанкционированного доступа к защищаемой информации;
• преступные действия с данными (копирование, изменение, уничтожение), влекущие репутационные или финансовые потери;
• попытки доступа к технологиям, ноу-хау и собственным разработкам.

Пристального внимания требуют и действия работников предприятия. Основной ошибкой службы безопасности является разделение на «своих» и «чужих». Иногда считается, что сотрудники не представляют угрозы для конфиденциальной информации, а все проблемы могут прийти только извне. Важно понимать, что в случае с информационной безопасностью делить людей следует только на авторизованных (доверенных) и неавторизованных пользователей. 

Выделять подозрительных и опасных сотрудников из общего числа помогает поведенческий анализ. Например, автоматизированный профайлинг составляет психологические портреты на основе анализа рабочей переписки персонала. Как это работает.  

Вероятные источники угроз

Для организации максимально эффективных систем технической защиты информации необходимо четко представлять себе наиболее вероятные источники опасности. 

В список актуальных угроз входят:

• аппаратные сбои систем обработки, передачи или хранения информации;
• мошеннические действия с целью завладения данными;
• искажение информации, совершаемое для нанесения ущерба репутации предприятия или для извлечения преступного дохода;
• хищение, преступное изменение баз данных с помощью технических средств или программного обеспечения, в том числе с помощью устройств, использующих электромагнитное излучение, визуальное или акустическое наблюдение.

Перечисленные угрозы могут исходить как от посторонних лиц, так и от персонала. Нередко для получения нужных сведений конкуренты используют сотрудников, имеющих доступ к информации конфиденциального характера. 

Наиболее распространенным способом является копирование сведений с последующей их передачей заинтересованным лицам. Для исключения подобных действий следует тщательно контролировать носители информации, находящиеся в пользовании сотрудников. Чем выше уровень допуска, тем интенсивнее должен быть контроль, вплоть до полного запрета использовать флешки или внешние накопители. 

Отдельного внимания требуют мобильные телефоны. Современные модели обладают широкими возможностями передачи данных. Недобросовестный сотрудник может сфотографировать документы, скопировать данные в память своего гаджета и отправить файл заинтересованным лицам. Для сотрудников, работающих с конфиденциальной информацией, необходим запрет на использование мобильных телефонов внутри здания. 

Посторонние лица для получения информации чаще всего используют программные средства. Среди них наиболее распространены следующие:

• сообщения с вредоносным содержимым, отправленные на электронную почту;
• вирусное ПО;
• троянские или шпионские приложения;
• игры со встроенными участками кода, выполняющего шпионские функции.

Для создания эффективных систем технической защиты информации необходимо учитывать все существующие риски и методы злоумышленников. Потребуются как аппаратные, так и программные средства, использование комплексных систем обнаружения и предотвращения доступа злоумышленников в информационные системы.

Примеры преступных действий

Действия злоумышленников могут иметь различные формы. Наиболее распространенные схемы неправомерного использования информации:

• если злоумышленникам удается заполучить клиентскую базу банка, они могут располагать сведениями о номерах счета, реквизитах карт. Возникает возможность подделки документов и хищения средств с чужих счетов;
• располагая электронными копиями документов, мошенник может подделать их и оформить кредит на имя другого человека;
• в процессе оплаты товаров в интернет-магазине, изменив реквизиты при помощи специального ПО, преступник может перенаправить деньги на свой счет;
• вторжение в каналы связи позволит злоумышленнику получить доступ к ценной информации. Он может использовать ее в своих целях или, прерывая передачу, подменить правильные данные измененными сведениями. В результате база данных оказывается поврежденной, несущей ложные сведения, что наносит значительный ущерб работе предприятия.

В любом случае для совершения преступления злоумышленникам надо получить доступ к информации. Учитывая это условие, необходимо усилить систему безопасности предприятия с помощью следующих мер:

• ограничение доступа пользователей к исполнительным модулям (в данном контексте это все устройства, несущие информацию и позволяющие скопировать, обработать или уничтожить ее разными методами). Вводится система допусков, разделяющая сотрудников по уровню доверия и ответственности за использование данных;
• тестирование и сертификация ПО, используемого подразделениями предприятия;
• немедленное исправление или удаление обнаруженных ошибок или сомнительных функций программного обеспечения;
• усиление методов аутентификации и идентификации клиентов, совершенствование защиты удаленного доступа клиента от вторжений посторонних лиц;
• полное уничтожение информационного мусора предприятия, как физического (отработавшие документы), так и электронного;
• защита от хакерских атак. 

Приведенный перечень мер по усилению технической защиты информации нельзя назвать исчерпывающим, поскольку злоумышленники используют новые технические средства и методики. Мероприятия, проводимые для обеспечения безопасности данных, должны соответствовать уровню технической и теоретической оснащенности мошенников. Необходимо регулярное обновление технической базы, оборудования и ПО. Допускать отставание в этих направлениях нельзя, поскольку это равноценно отсутствию технической защиты информации на предприятии.

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

1. Всесторонний анализ имеющихся информационных ресурсов.
2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
3. Внедрение средств защиты.
4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

• составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
• определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
• используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
• составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
• создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?  

Основными задачами ИБ-службы являются:

• общая техническая защита информации;
• исключение доступа и несанкционированного использования конфиденциальных данных;
• обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

• криптографическая защита информации (шифрование);
• использование электронной подписи для подтверждения авторства доверенного пользователя; 
• резервное копирование баз данных и операционных систем;
• создание системы паролей для идентификации и аутентификации сотрудников;
• контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
• применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
• установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

Привлечение сторонних организаций для создания систем информационной безопасности

Самостоятельная разработка и внедрение систем защиты информации доступны не всем предприятиям. Существуют специализированные организации, которые оказывают помощь в создании комплексных охранных систем. Необходимо создать специальную группу, которая проводит аудит и оценивает риски. Определить наиболее опасные источники угроз, разработать план действий. Он обсуждается с руководством предприятия, после чего следует приступить к созданию (или реорганизации) подразделения информационной безопасности. 

Провести инструктаж всех сотрудников, по необходимости организовать обучающие занятия по информационной безопасности и использованию массивов данных. Все организационные мероприятия следует производить в соответствии со спецификой предприятия. Основной упор нужно сделать на опасные каналы утечки данных, проинформировать сотрудников об ответственности за преднамеренные несанкционированные действия с информацией. В течение первых месяцев работы потребуется консультационное сопровождение деятельности ИБ-службы, отработка важных методик и приемов работы.

09.10.2019