Информационная безопасность: защита информации в корпоративных сетях
Важно разработать стратегию корпоративной информационной безопасности, адаптированную под специфику и потребности конкретной организации, и регулярно обновлять и адаптировать ее к изменяющимся условиям и угрозам. Она включает в себя управление доступом, шифрование данных, мониторинг активности пользователей, обучение сотрудников правилам безопасности, регулярные проверки на уязвимости, обеспечение безопасности сетей и систем, а также кризисное управление в случае инцидентов безопасности.
Организационные инструменты защиты
Обеспечение безопасности чаще всего начинается с подготовки и введения в систему регламентов и политик. Но зачастую такая процедура может быть проигнорирована или вызвать агрессивную реакцию от принуждения её выполнения. Всё это зависит, от кого была выслана установка. Отказ и игнорирование правил подводит к вероятности похищения конфиденциальных данных, особенно, когда сотрудники или руководители используют их ради собственных нужд. Разработка единых этических ценностей станет главным решением такой проблемы, так как их целью станет донесение до персонала, что каждый будет нести ответственность за несоблюдение регламентов и сохранения информации компаний.
К сожалению, по сведениям из отчётов консалтинговых фирм, в России до сих пор не воспринимаются всерьёз угрозы информационной безопасности. Компании, которые уже столкнулись с хакерскими атаками, стали внедрять специальные средства по обнаружению и предотвращению кибератак (DLP, SIEM), проводить аудит сетей, а также устанавливать инструменты по мониторингу нестандартных активностей. Все организации, которые не столкнулись с проблемой, до сих пор думают, что для безопасности необходимо только ограничить доступ к интернету и иногда к использованию внешних накопителей. А всю остальную работу по обнаружению угроз сделает антивирус, в том числе нелицензированный. Итог такой халатности – утечка информационных данных компании, личной информации.
Защита информации считается важным аспектом для большинства предприятий. Поэтому регуляторами разработаны специальные условия у операторов персональных данных, несоблюдение которых может повлечь за собой серьезные последствия, такие как штрафы или даже приостановку деятельности.
Список требований защиты состоит из:
1. Установка программ обеспечения и технических средств, которые были протестированы, сертифицированы и дают гарантию необходимого защитного уровня.
2. Информационная система должна соответствовать нормам и актам.
3. Создание структуры по обновлениям критического состояния софта.
4. Установка системы для быстрого реагирования несанкционированных атак.
5. Установка лицензированных антивирусных программ.
6. Преобразование информации в шифр.
7. Получение и принятие комплекта документов, содержащего необходимые указания по работе с информационными системами, которые отвечают за персональные данные.
Для исполнения всех важных требований регуляторов компании должны понимать свои риски при возникновении угроз, а также донести до сотрудников, что они также могут попасть под сокращение или потерять мотивирующие надбавки. Предприятия обязаны проводить со своим персоналом различные обучения и тренинги по мерам безопасности, знакомить их с рисками и рассказывать о необходимой реакции. Регламенты организаций разрабатываются в соответствии с потребностями типов рисков и деятельности регулирующих органов.
Модель угроз
Комплект организационных документов должен включать в себя раздел с моделями угроз. Такой документ предоставляется сотрудникам, в том числе при приёме на работу.
Список и структура угроз:
1. Угроза бизнесу. К опасности репутации компании относятся чёрный пиар, отрицательные публикации в новостях, информация для которых была вызвана утечкой данных. Сотрудники компаний с плохой репутацией могут столкнуться с трудностями при смене работы. А в случае опасности инвестиций, под риски попадают сотрудники, которые могут не получить свои бонусы и премиальные награды, если решения принимаются на основе ложной информации или оказываются неточными.
2. Угрозы данным. Преднамеренная утечка сведений может привести к потере рабочего места в случае приостановки деятельности организации, а также к уголовной ответственности.
3. Угрозы сотрудникам. Мошенники могут не только переманивать персонал и привлекать их вознаграждением за передачу информации, но и находить другие способы, например, кража телефонов. Поэтому стоит предупредить сотрудников о том, чтобы они не хранили данные на своих смартфонах
4. Угрозы информационной системы. Сбои и недоступность сервера, приложений, софта являются причиной денежных потерь и приостановки рабочего процесса, последствия которых отражаются на сотрудниках не только тех, кто подвернул сетевой атаки, но и тех, кто соблюдал все меры безопасности.
5. Угрозы финансов. Если за подачу ложных сведений в финансовых отчётах, ФНС России выставляет штраф, то за ошибки, с помощью которых происходят хищения мошенниками данных или средств, ответственны компания и её сотрудники. Поэтому о правилах коллективной информационной безопасности необходимо сообщать персоналу и требовать их соблюдение. Они обязаны подписывать разделы о неразглашении конфиденциальной информации, которые находятся в должностных инструкциях, договорах. Такой метод поможет привлечь к ответственности.
Программные средства
Технические моменты информационной безопасности, также как и разъяснительные мероприятия, должны быть детально построены. По рекомендациям управляющих органов, компаниям желательно разработать несколько документов: стратегия безопасности и модели рисков. В них необходимо описать:
вид возможной угрозы, описание мошенников;
структура системы, в том числе узлы и компоненты;
защищаемый предмет;
уровневая структура конфиденциальности;
правила распределения доступа и привилегий;
требования к софту, обновлениям;
требования к аппаратным и программным средствам.
Следующим этапом является разработка ПО с защитой от внешних рисков. Для этого разрабатываются следующие элементы:
Программно-аппаратные средства контроля доступа. Цель системы – управление и ограничение доступа к серверам, рабочим местам тех людей, кто не имеет права. Все попытки вход в систему должны фиксироваться в учетных журналах. Программа распределяет доступ к разным конфиденциальным данным, в зависимости от ранга сотрудников.
Средства аутентификации. При двухфакторной идентификации снижается риск кражи данных мошенниками.
Обработка писем электронной почты, с помощью которой происходит защита системы от спама и вирусов.
Модули доверенной загрузки для защиты данных от рисков несанкционированного доступа.
Технологическое средство защиты (DLP) от утечки данных.
Решения по защите от злоумышленников:
лицензионный антивирус;
брандмауэр;
средства, предотвращающие нападение;
средства мониторинга сетей;
программы, шифрующие и дешифрующие информацию.
Если передача информации проходит через внешние каналы, то стоит использовать средства VPN, шифрование данных. В качестве технического устройства необходимо применять маршрутизатор. Для организаций, занимающихся обработкой персональных данных, все технические средства и программы должны быть сертифицированы ФСТЭК и ФСБ. Однако если такие программы не вписываются изначально в бюджет, то ФСТЭК идёт на встречу и при проверках даёт отсрочку для приведения системы в соответствии с требованиями компании.
Если комплексно применять все вышеперечисленные меры по безопасности, то можно быть уверенным в высоком уровне корпоративной информационной безопасности.
Комментарии 0