ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

Под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры. Пара строк с описанием нового продукта могут стоить предприятию миллионы рублей.

Обеспечить информационную безопасность - значить не дать, чтобы эта пара строк ушла в руки злоумышленника. Так что же такое информация, и как её можно и нужно защищать.

Информация — это переговоры начальников в курилке и письма, приходящие и отсылаемые с корпоративных ящиков ежедневно сотнями и тысячами. Технические задания изделий, служебная документация, особенности организации и работы организации. Это то, что выбрасывается в мусорные вёдра и забывается на столах у коллег.

Но далеко не все сведения имеют важность, а значит прежде чем перейти к защите, нужно понять, что защищать, а что нет.

Сведения, распространение или уничтожение которых нанесёт ощутимый вред предприятию, называются активами. Всего у активов выделяют три основных свойства:

  • конфиденциальность;
  • целостность;
  • доступность.

Под конфиденциальностью понимается, что актив недоступен лицам без соответствующего доступа. Доступность означает, что сведения используется только сотрудниками, имеющими на это право. Целостность — это неповреждённость сведений.

Таким образом, задача информационной безопасности сводится к обеспечению этих трёх свойств. Следующий этап после определения активов, которые требуется защищать — изучение угроз.

Угроза — это некоторые действия или события, в результате которых активам организации будет нанесён ущерб. Примеры угроз:

  • "слив" критически важной информации конкурентам;
  • внезапная смерть или уход специалиста, без которого проект нереализуем;
  • падение метеорита;
  • взлом компьютерной сети.

Если компьютерная сеть предприятия будет взломана, злоумышленник получит доступ к информации и нанесёт этим вред. При падении метеорита предприятие перестанет существовать.

По убыткам второе событие во много раз превышает первое, но организации не переезжают в подземные бункеры, а ставит антивирусы. Причина — в разнице вероятностей реализации этих двух угроз.

Действительно, вероятность падения метеорита на здание мала. И постройка подземного бункера обойдётся в сотни раз дороже, чем аренда или покупка офисного здания. Между тем, в мире часто проводятся кибернетические атаки, и в свете последних событий — массового заражения вирусом Wanna Cry — приобретение средств защиты информации имеет смысл.

На любом предприятии реализован некоторый уровень информационной безопасности.

Другой вопрос, насколько этот уровень высок. Работают ли сотрудники на компьютерах, защищённых паролями? Блокируют ли компьютеры, отходя от рабочего места? Легко ли постороннему человеку пройти на территорию организации?

На эти и другие вопросы отвечает аудит информационной безопасности.


АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Итак, необходимость достижения безопасности информации не требует доказательств. Пришло время узнать, насколько эта безопасность обеспечивается. Информацию о защищённости предприятия получают, проводя аудит в следующих направлениях:

  • аттестация всего, связанного с информацией и поддерживающей инфраструктурой;
  • контроль защищённости информации;
  • исследования устройств на наличие побочных электромагнитных излучений и наводок;
  • проектирование с учётом необходимости соответствия требованиям информационной безопасности.

Аттестация, как правило, проводится сторонними организациями. Цель аттестации — выявить, соответствует ли объект предъявляемым требованиям безопасности. При аттестации могут быть выявлены уязвимости - особенности автоматизированных систем, систем связи, технических средств и тому подобных объектов, которые могут быть использованы злоумышленником.

Под контролем защищённости понимается изучение способов доступа к информационным ресурсам, а также наблюдение за эффективностью средств, обеспечивающих защиту этого ресурса. Примеры способов доступа:

  • прослушивание помещений с помощью «жучков»;
  • кража пароля с целью получения доступа к компьютеру сотрудника;
  • изучение мусорной корзины;
  • отсылка письма с трояном сотруднику, чтобы получить удалённый доступ к корпоративной сети;
  • расспросы сотрудников с целью выведать конфиденциальную информацию.

Использование этих путей получения информации в корыстных целях — потенциальная угроза. Поэтому необходимо наблюдать за ними, а также за работой системы защиты информации, которая предотвращает реализацию этих угроз.

С помощью анализа и обработки побочных излучений можно получить информацию конфиденциального характера. К примеру, использование телефонов, переговорных устройств порождает электромагнитные излучения.

Эти излучения можно преобразовать в акустическую информацию. Затем и проводится аудит устройства на наличие таких излучений и подводок.

Некоторые помещения требуют повышенного уровня безопасности. Например, залы для переговоров, кабинеты высшего руководства. В таких помещениях важно учитывать расположение окон, дверей, силовых кабелей, розеток, толщина и исполнение стен.

Безопасно проектировать можно и автоматизированные системы: каким образом будут использоваться её составляющие, какие данные будут подаваться на вход и так далее. Безопасное проектирование — также важное направление аудита безопасности.

Различают внешний и внутренний аудит. И если внешний аудит проходит разово, желательно на регулярной основе, то внутренний проводится постоянно с целью актуализации информационной безопасности.

При проведении аудита следует руководствоваться политикой безопасности, регламентирующей в общих чертах что защищать и как. Речь об этом документе пойдёт в следующем разделе.


ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Уже были упомянуты активы, угрозы и уязвимости. Теперь пришло время разобраться, что такое риски и оценка рисков. Дело в том, что каждый актив имеет свою стоимость, а атака на актив — свои последствия.

Под угрозой понимается атака или событие (к примеру, природное явление), которое приносит ущерб активу. Но угрозе не совершиться, если нет уязвимости — особенности в защите предприятия, которую можно использовать ему во вред.

Риск — это вероятность совершения угрозы через существующую уязвимость, помноженная на сумму, в которую оценивается ущерб, нанесённый активу. Чем выше вероятность и выше стоимость, тем выше риск, и наоборот. Некоторые риски с высокой стоимостью ущерба, как падение метеорита, будут низкими из-за очень малой вероятности осуществления.

Поэтому в политике информационной безопасности не встретить ответственного за действия при падении метеорита лица — и при этом часто можно увидеть ответственного при кибернетической атаке.

Политика информационной безопасности предприятия — это документ, в котором:

  • определяются основные термины безопасности, например «информационная безопасность», «защита информации»;
  • прописываются основные риски и ситуации, возникающие при реализации рисков;
  • определяются общие требования для предотвращения реализации рисков, детектирования, реагирования и восстановления в случае, если риск всё-таки осуществится.

В политике безопасности можно встретить список действий при приёме сотрудника на работу, описание контрольно-пропускной системы, требования, предъявляемые при работе с автоматизированными системами, и другие жизненно важные моменты. Именно этот документ используется в первую очередь при организации защиты информации.


ЗАЩИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Следует разделять организационные и технические меры защиты. Ведь организация состоит в первую очередь из сотрудников, и только потом из зданий, мебели, компьютеров и другого имущества. Потому важная часть безопасности — это проведение семинаров, составление брошюр о защите собственных данных от утечки.

Это мотивация сотрудников, обеспечение им комфортных условий, а также наличие штрафных мер — важно балансировать между кнутом и пряником, чтобы не получить в результате сотрудника-злоумышленника.

Регулярное проведение аудитов и актуализирование политики безопасности также входит в организационные меры. Необходимо доводить до сотрудников изменения в политике для поддержания уровня защищённости. Уязвимости, выявленные при аудите технических средств, должны учитываться и при необходимости закрываться.

Под техническими методами понимается защита от несанкционированного доступа к информации. Среди технических методов распространены:

СЗИ позволяют контролировать корпоративную среду и быстро реагировать на события, отвечающие признакам реализации угрозы. Контрольно-пропускная система исключит возможность появления стороннего нарушителя, а система видеонаблюдения позволит среагировать или выяснить, если сотрудник делает то, что не должен делать, или находится там, где не должен быть.

Контроль доступа к информационным ресурсам не даст сотруднику безосновательно получить важные сведения, а блокировка излучений усложнит удалённое считывание информации.

Существуют комплексные СЗИ, при установке которые организация может быть уверена — она защищена со всех сторон. Но иногда достаточно установить качественный антивирус со встроенным межсетевым экраном, прочитать лекцию сотрудникам, нанять вахтёра и тем самым закрыть актуальные угрозы, не потратившись на излишний функционал.

Благодаря аудиту и политике информационной безопасности предприятие точно будет знать, что и как необходимо защитить. А значит, организует безопасность по принципу разумной достаточности.


© 2010-2024 г.г.. Все права защищены.
Материалы, представленные на сайте, имеют ознакомительно-информационный характер и не могут использоваться в качестве руководящих документов