Принципы организации КСЗИ.
Принципы организации КСЗИ на предприятии:
Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность сил и средств, принимаемых ими мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными законными средствами, методами и мероприятиями. Принцип комплексности указывает на то, что только совокупность объектов защиты, выделенных сил и средств, и принимаемых ими мер, проводимых мероприятий и действий позволяет получить оценки главных вопросов защиты: что защищается, кто защищает и как защищается?
Принцип своевременности означает, что меры защиты не должны «запаздывать».
Принцип разумной достаточности. Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Принцип простоты применения. Механизмы защиты должны быть интуитивно понятны и просты в использовании.
D uis non lectus sit amet est imperdiet cursus elementum vitae eros. Cras quis odio in risus euismod suscipit. Fusce viverra ligula vel justo bibendum semper. Nulla facilisi. Donec interdum, enim in dignissim lacinia, lectus nisl viverra lorem, ac pulvinar nunc ante.
Elsewhere
Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.
Классификация концепций информационной безопасности
Концепция информационной безопасности как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты должна в общем виде отвечать на три простых вопроса:
Ответы на данные вопросы, а следовательно, и концепции информационной безопасности делятся на два типа — технологические и нормативные.
Технологические КИБ. В технологических КИБ под объектом защиты понимается не абстрактная информация, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для ее сбора, передачи, обработки и хранения. Уже на этапе ее формирования КИБ технологического типа необходимо уже иметь четкое представление о том, как устроена информационная система компании, как распределены аппаратные и программные ресурсы (территориально и по подразделениям компании).
Нормативные КИБ. В нормативных КИБ определяется информация, подлежащая защите и ее ценность, т.е. размеры потерь от ее разрушения или разглашения. Нормативные КИБ учитывают специфику информации, проявляющуюся в том, что она не исчезает при потреблении и не передается полностью при обмене. Иными словами, нормативные КИБ учитывают не только циркуляцию информации внутри компании, но и обмен информацией с внешними организациями.
Вопрос «От чего защищать?» в нормативных КИБ рассматривается с точки зрения доступности информации, ее целостности и конфиденциальности, т.е. для каждого вида защищаемой информации определяются приоритеты и направления ее защиты.
Ответ на вопрос «Как защищать?» в нормативных КИБ состоит в определении места и роли организационных и технических мероприятий в процессе защиты информации, а также в формулировании требований к поставщикам оборудования и услуг защиты информации.
КИБ смешанного типа. Для КИБ обоих типов — технологического и нормативного — справедливо следующее утверждение: достоинства и недостатки одного типа КИБ являются зеркальным отражением недостатков и достоинств другого типа КИБ.
Для максимального использования достоинств обоих типов КИБ при разработке КИБ компании в настоящее время предлагается разрабатывать КИБ так называемого смешанного типа. Такая КИБ представляет собой фактически два документа:
При этом в ПИБ детализация требований к средствам защиты информации доходит до уровня общей функциональности, но не опускается до технических требований к оборудованию. Фактически, ПИБ во многом похожа на технологическую КИБ, но разрабатывается исключительно на основе предварительно разработанной КИБ.
При этом в нормативной части концепции (собственно КИБ) отражаются следующие вопросы:
Вторая часть — ПИБ, разрабатываемая на основе нормативной части концепции, отражает следующие вопросы:
На основе анализа существующих типов КИБ можно сделать следующие выводы:
Elsewhere
Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.
Основные принципы обеспечения информационной безопасности
Защита данных
с помощью DLP-системы
С лужба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.
Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.
Утечка данных может случиться в самые различные моменты работы с ними. К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.
Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.
Основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.
Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.
Что такое информационная безопасность и какова ее цель
Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.
Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно.
Процесс включает идентификацию:
На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.
Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.
Разработанная схема защиты должна гарантировать использование разного уровня доступов к корпоративной информации за счет идентификации личности или запрограммированной авторизации сотрудников, имеющих право доступа к информации и ее обработке. В рамках разработанной в компании политики безопасности сотрудники получат возможность использовать определенную документацию исключительно в рабочих целях. Документально оформленные и установленные ограничения помогут оперативно выявлять нарушителя, не допуская утечки информационных ресурсов за пределы предприятия.
Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей. Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.
Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными.
Как обеспечить информационную безопасность для сотрудников компании
Специалисты в области ИБ рекомендуют использовать программные алгоритмы для обеспечения информационной безопасности: их выполнение позволяет надежно защитить информацию и своевременно отреагировать на возможные инциденты. Обучение сотрудников организации правилам работы с данными уменьшит количество инцидентов в сфере безопасности информации и финансовые потери от них.
Основные моменты, которые должны быть учтены при создании и функционировании системы информационной безопасности на предприятии:
Следуя этим принципам, руководитель легко сможет обеспечить информационную безопасность для сотрудников предприятия.
Цели обучения персонала вопросам информационной безопасности
Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое.
Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:
Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.
Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту.
При разработке обучающих программ следует учитывать:
Дистанционное преподавание является одним из продуктивных способов быстрого и простого обучения любого количества сотрудников без нарушения установленного режима рабочего времени и без снижения продуктивности их труда. Это могут быть ролики, фильмы, скринсейверы, мультфильмы или краткие новости от службы безопасности. Постоянное напоминание сотрудникам о важности информационной защиты позволяет привить стойкие навыки в вопросах реализации требований по защите информации.
Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.
Что нужно знать о фишинговых атаках
Для того чтобы достичь нужного уровня защиты в информационно-поисковой системе, нужно снизить количество инцидентов, базируясь на основных принципах обеспечения безопасности. Для начала нужно сосредоточиться на самом большом риске для сотрудников – фишинге.
Фишинг-атаки – это угрозы, которые являются наиболее распространенным способом манипулирования сотрудниками. Цель этих действий – подвергнуть компанию риску. Это мошенничество строится на методах социальной инженерии и ответственно за массовые нарушения, о которых сегодня можно услышать повсеместно.
К примеру, создание хакером измененного адреса Facebook: пользователи, попадающие на страницу, не замечают изменений, входят в систему и предоставляют мошеннику свои личные данные.
Фишинговые письма содержат психологические ловушки. Как правило, их адресуют конкретному сотруднику или компании. Если фишинговая рассылка охватывает большлй круг получателей, то письма менее специфичны.
Защита от этого типа атак строится на бдительности и осведомленности каждого сотрудника, иначе из-за одного открытого письма может пострадать доступ к информационным ресурсам, например, из-за подхваченного вируса. Нужно поощрять сотрудников, если они заметят подозрительное письмо и сообщат о нем. Так информация и программное обеспечение останутся целыми.
Для того чтобы обеспечить нужный уровень защиты системы информационной безопасности, можно симулировать фишинговые атаки для обучения сотрудников правильному поведению при получении подозрительных писем и выявления пробелов в знаниях, неспособности защитить конфиденциальную информацию.
Необходимо помнить: целью такого рода нападения является в первую очередь получение сведений об электронных платежных системах, банковских счетах, переводах. Фишинг, который направлен на определенного сотрудника, можно предупредить при помощи установки ограничений на отправку и получение электронных писем, сообщений.
Несмотря на современные разработки в сфере борьбы с интернет-атаками, данный вид нарушения политики безопасности остается действенным.
Виды атак: от чего необходимо защититься
Лучший способ выбрать соответствующий ответ на угрозу безопасности – это понять, какие типы атак могут быть использованы против вас.
Список основных видов атак:
Политика безопасности снижает большинство рисков, связанных с различными видами атак на информационном ресурсе.
Злоумышленники редко входят через «парадную дверь» или, в данном контексте, межсетевой экран оборудования. Но каждая атака, как правило, работает по определенной схеме или по «цепочке киберубийств». Систему защиты в данном случае выстраивать нужно постепенно, охватывая все каналы связи.
«Цепочка киберубийств» – это последовательность этапов, необходимых злоумышленнику для успешного проникновения в сеть и удаления из нее нужных ему данных или совершения других действий. Разработка плана мониторинга и реагирования на основе модели «цепочки киберубийств» является эффективным методом предотвращения таких действий со стороны злоумышленников, поскольку в нем основное внимание уделяется фактическим атакам, совершаемым злоумышленником удаленно. Цель нападающего – найти нужные данные и уничтожить их, перед этим совершив разведку и разработку плана атаки.
О каких событиях безопасности действительно нужно беспокоиться
Чтобы классифицировать типы происшествий в сфере безопасности информационной системы, нужно сопоставить каждое из них с «цепочкой киберубийств», чтобы определить соответствующую приоритетность и стратегию реагирования на инциденты.
Например, при сканировании порта многие проблемы игнорируются, если есть исходный IP-адрес, не имеющий плохой репутации, и с одного и того же адреса совершается несколько действий за короткий промежуток времени. Информационный ресурс в большинстве случаев остается нетронутым.
Вредоносную инфекцию, попавшую на устройство с программным обеспечением, нужно устранить немедленно. Основная методика лечения – сканирование сети на предмет наличия признаков компрометации, связанных с проблемой, и уничтожение их до того, как злоумышленники скопировали базу данных. На охраняемом объекте необходимо настроить веб-серверы для защиты от запросов HTTP и SYN. Во время атаки нужно скоординировать свои действия с провайдером, чтобы заблокировать исходные IP-адреса.
Иногда нужно расследовать все связанные действия, чтобы предотвратить отвлечение мошенниками внимания от более серьезной попытки атаки. Информационное сопротивление в данном случае успешно при тесном сотрудничестве с интернет-провайдером или поставщиком услуг.
Нужно определить учетные записи привилегированных пользователей для всех доменов, серверов, приложений и критических устройств. Потребуется убедиться, что мониторинг включен для всех систем и для всех системных событий. Помимо этого, необходимо провести резервное копирование всех важных данных, тестировать, документировать и обновлять процедуры восстановления системы. Во время компрометации системы нужно тщательно собирать доказательства и документировать все этапы восстановления.
Комплексная защита информации
Защита данных
на базе системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
И нформация – важнейший ресурс любой организации, который находится под угрозой утечки. Благодаря комплексной системе защиты информации (КСЗИ) удается защитить ее от разглашения и несанкционированного доступа. Система представляет собой комплекс организационных и инженерно-правовых мероприятий.
Цели и задачи комплексной системы защиты информации
Основные цели средств защиты информации – обеспечение стабильного функционирования компаний и предупреждение угроз безопасности информации.
К задачам КСЗИ относятся:
Установите «систему видеонаблюдения» за событиями в IT-инфраструктуре! «СёрчИнформ SIEM» проводит мониторинг внутренней сети компании в реальном времени и сообщает об инцидентах. Узнать подробнее.
Внешние и внутренние угрозы информационной безопасности (ИБ)
Внешние угрозы (кибератаки) – реальная опасность, которая затрагивает интеллектуальную и физическую собственность организаций. Распространенная форма киберпреступности – применение специальных программ. Они способны нарушить целостность секретных документов.
Перечень угроз, которые провоцирует вредоносное программное обеспечение (ПО), широк. К ним относятся:
Как показывает практика, большую часть инцидентов провоцируют внутренние угрозы. Хищение интеллектуальной собственности, утечки коммерческой тайны и ущерб информационной системе могут нанести действия сотрудников. Такие действия могут быть совершены из корыстных соображений (злонамеренные), по неосторожности (случайные) или из-за некомпетентности человека.
По данным исследования «СёрчИнформ» за 2018 год, рядовые сотрудники виноваты в 74% инцидентов. Посмотреть все цифры.
Злонамеренные действия чаще всего совершают:
Но большинство инцидентов происходит по неосторожности и в результате технической безграмотности персонала.
Утечка информации может произойти по причине:
Особенности организационных и программно-аппаратных методик
Для обеспечения информационной безопасности существуют организационные и нормативно-правовые методики. Организационные методики включают в себя регламентацию деятельности предприятия в целом и деятельности сотрудников, связанной с обработкой данных, в частности. Это позволяет предотвратить незаконный доступ к засекреченным сведениям.
К организационным методикам относятся:
Во время принятия организационных мер и разработки соответствующей документации компании руководствуются гражданским кодексом РФ, федеральными законами и отраслевыми документами. Нормативно-правовые документы регламентируют обязанности сотрудников по обеспечению безопасности, список возможных угроз ИБ, состав информационной системы.
Если у организации нет ресурсов для создания полноценной службы ИБ, можно передать задачи по защите компании от внутренних угроз на аутсорсинг. Как это работает?
Наряду с организационными методиками прибегают к технической защите информации. Она представляет собой комплекс технических средств, выбор которых напрямую зависит от типа и количества объектов защиты. Инженерно-техническая защита включает применение защищенных подключений, средств шифрования. Дополнительно часто устанавливают системы охранно-пожарной сигнализации.
Основными методами защиты информации являются:
1. Антивирусная защита. Это специализированное программное обеспечение для обнаружения и уничтожения вирусов. Среди самых распространенных антивирусных программ выделяются Kaspersky и Dr.Web. Зачастую одна организация параллельно использует несколько антивирусов.
2. Шифрование (криптографические средства). Это процесс преобразования открытых данных в закрытые посредством секретного элемента – ключа шифрования. Шифрование гарантирует стабильную защиту информации.
3. Защита информации внутри сети (использование Virtual Private Network). Использование приватной сети для передачи данных включает несколько условий: туннелирование, шифрование и аутентификация. Туннелирование гарантирует передачу данных между узлами пользователей таким образом, что со стороны работающего программного обеспечения они будут выглядеть подключенными к одной сети. Пакет данных проходит сквозь различные узлы публичной сети. Для их защиты применяют электронную цифровую подпись. Это блок информационных ресурсов, который передается наряду с пакетом данных и формируется согласно криптографическому алгоритму. Он является исключительным для содержимого пакета и ключа электронной цифровой подписи отправителя. Блок информационных ресурсов дает возможность выполнить распознавание данных получателем, который знает ключ электронной цифровой подписи отправителя (аутентификация). Это гарантирует защищенность пакета данных.
4. Proxy servers. Обращения из локальной сети в глобальную сеть осуществляются посредством специальных серверов. Однако этот способ не дает 100% защиты против серьезных угроз (в частности, вирусов).
5. Межсетевые экраны (брандмауэры). Брандмауэры обеспечивают разделение сетей и предотвращают нарушения установленных правил безопасности пользователями. Контроль за передачей сведений происходит за счет фильтрации трафика;
формирование контролируемых зон и установка активных систем зашумления.
АУТСОРСИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Основы ИБ
Защита данных
с помощью DLP-системы
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного исследования «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Система ИБ
Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
Средства защиты информации
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз «СёрчИнформ ProfileCenter». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.