Основные информационные угрозы и методы защиты
Технологии защиты информации в компании
Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
- Нежелание обучаться работе с информационными системами.
- Отсутствие у сотрудника необходимой подготовки.
- Отсутствие техподдержки, что приводит к сложностям с работой.
- Умышленное или неумышленное нарушение правил работы.
- Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
- Ошибки при переконфигурировании.
- Отказ ПО.
- Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
- Ввод неправильных данных.
- Изменение сведений.
- Подделка заголовка.
- Подделка всего текста письма.
- Отказ от исполненных действий.
- Дублирование информации.
- Внесение дополнительных сведений.
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
- Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
- Использование одних и тех же паролей в различных системах.
- Размещение информации в среде, которая не обеспечивает конфиденциальность.
- Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
- Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
- Хранение сведений на резервных носителях.
- Распространение информации по множеству источников, что приводит к перехвату сведений.
- Оставление ноутбуков без присмотра.
- Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
- Защита помещения компании от действий злоумышленников.
- Защита хранилищ информации от действий заинтересованных лиц.
- Защита от удаленного видеонаблюдения, прослушивания.
- Предотвращение перехвата сведений.
- Создание доступа сотрудников в помещение компании.
- Контроль над деятельностью сотрудников.
- Контроль над перемещением работников на территории компании.
- Защита от пожаров.
- Превентивные меры против последствий стихийных бедствий, катаклизмов.
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
- Защита конфиденциальности сведений, которые передаются по открытым каналам.
- Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
- Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
- Сохранение целостности данных при их передаче и хранении.
- Подтверждение отправки сообщения с информацией.
- Защита ПО от несанкционированного применения и копирования.
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
- Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
- Инструменты для шифрования данных.
- Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
- Инструменты для уничтожения сведений на носителях.
- Сигнализация, срабатывающая при попытках несанкционированных манипуляций.
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Информационная безопасность. Виды угроз и защита информации
В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня — ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз предприятия много: это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.
Понятие информационной безопасности
На сегодняшний день существует множество определений информационной безопасности. Приведем лишь пару из них.
Информационная безопасность (англ. «») — защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий, сопровождающихся нанесением ущерба владельцам или пользователям информации.
Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.
Цель защиты информации — минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.
Угрозы информационной безопасности
Основные типы угроз информационной безопасности:
- — несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).
- — несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).
- — ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки ).
Источники угроз информационной безопасности:
- :
- ошибки пользователей и сисадминов;
- ошибки в работе ПО;
- сбои в работе компьютерного оборудования;
- нарушение сотрудниками компании регламентов по работе с информацией.
- :
- несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т. п.);
- компьютерные вирусы и иные вредоносные программы;
- стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной и ценной информацией).
Методы и средства защиты информации
Методы обеспечения безопасности информации в информационной системе:
- — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
- — регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т. д. (например, когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
- — шифрование и защита информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи; или хранение информации в блокчейне).
- (англ. «malware») — предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т. д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т. п.).
- — создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т. д.).
- — установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т. п.).
- — призыв к персоналу не нарушать установленные порядки по работе с информацией, т. к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).
Средства защиты информации:
- — сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, вход в здание или помещение по ключ-карте, электронные ключи и т. д.
- — программы-шифровальщики данных, антивирусы, брандмауэры, бэкап-системы, системы аутентификации пользователей и т. п.
- — комбинация аппаратных и программных средств.
- — правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.
Полезные ссылки
- ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
- Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне»
- Курс лекций по IT в экономике
© Копирование любых материалов статьи допустимо только при указании прямой индексируемой ссылки на источник: Галяутдинов Р.Р.
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
- Угроза непосредственно информационной безопасности:
- Доступность
- Целостность
- Конфиденциальность
- Компоненты на которые угрозы нацелены:
- Данные
- Программы
- Аппаратура
- Поддерживающая инфраструктура
- Случайные или преднамеренные
- Природного или техногенного характера
- Внутренние
- Внешние
Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
- Внутренний отказ информационной системы;
- Отказ поддерживающей инфраструктуры.
Основными источниками внутренних отказов являются:
- Нарушение (случайное или умышленное) от установленных правил эксплуатации
- Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
- Ошибки при (пере)конфигурировании системы
- Вредоносное программное обеспечение
- Отказы программного и аппаратного обеспечения
- Разрушение данных
- Разрушение или повреждение аппаратуры
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
- Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
- Разрушение или повреждение помещений;
- Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
- Ввести неверные данные
- Изменить данные
Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1.
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
- Что защищать?
- От кого защищать, какие виды угроз являются превалирующими: внешние или внутренние?
- Как защищать, какими методами и средствами?
Принимая все выше сказанное во внимание, Вы можете наиболее полно оценить актуальность, возможность и критичность угроз. Оценив всю необходимую информацию и взвесив все «за» и «против». Вы сможете подобрать наиболее эффективные и оптимальные методы и средства защиты.
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».
Конфиденциальная информация: как защитить корпоративные данные
С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?
Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.
Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.
Источники конфиденциальной информации
- Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
Документы материальные и представленные в электронном виде.
Технические средства носителей информации и их обработки.
Производственные и промышленные отходы и т.д.
Угрозы конфиденциальной информации
- Утечка информации.
Отсутствие доступа к информации.
Каналы утечки конфиденциальной информации (через организацию деятельности)
- Деятельность с контрагентами на основе гражданско-правовых договоров.
Запросы из государственных органов.
Проведение переговоров с потенциальными контрагентами.
Посещения территории предприятия.
Реклама, выставки, публикации в печати, интервью для прессы.
Каналы утечки конфиденциальной информации (через технические средства)
По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.
- Акустический канал утечки информации.
Доступ к компьютерной сети.
Побочные электромагнитные излучения и наводки.
Каналы утечки конфиденциальной информации (через человеческий фактор)
- Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
Через уволившихся сотрудников.
7 важных мер по защите информации
Есть семь основных направлений работы по защите корпоративных данных от утечек:
- Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
- Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
- Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
- Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
- Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
- Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
- Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).
Подготовительные мероприятия: что нужно сделать для настройки системы защиты
- Определить, какая информация подлежит или нуждается в защите.
Оптимизировать защищаемые информационные потоки.
Определить формы представляемой информации.
Установить виды угроз защищаемой информации и варианты их реализации.
Установить, кому может быть интересна защищаемая информация.
Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
Определить сроки актуальности защищаемой информации.
На что обратить внимание
- Использование гаджетов на территории предприятия.
Удаленный доступ к информации.
Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
Настройка программного оборудования (особенно после обновления).
Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
Разграничение доступа к информации.
Дробление информации на части.
5 принципов информационной безопасности
«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.
«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.
«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.
«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.
«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.
Запомнить
- Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
- Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
- Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
- Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.
Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:
- Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
- Владельцам бизнеса;
- Начальникам структурных подразделений.
Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов
Как защитить свои данные
В статье расскажем, какие способы защиты информации используют в 2020 году, какие работают на 100%, а какие не эффективны, а также как защититься при подключении к незапароленному Wi-Fi.
Способы защиты информации
Начнём с того, как защитить информацию как таковую. О способах защиты рассказал эксперт RTM Group Евгений Царёв.
Физические средства защиты информации
Это сейфы, в случае с компанией – системы контроля доступа, запираемые шкафы и прочее. Подходят для безопасности тех носителей, которые не используются, но хранятся продолжительное время. Важно отметить, что металлические шкафы не подходят для хранения магнитных носителей (жёсткие диски), т.к. могут размагничивать носитель. Для жёстких дисков следует применять специальные сейфы.
Аппаратные средства защиты информации
Электрические, электронные, оптические, лазерные и другие устройства. Многие пользуются токенами. Например, для доступа в интернет-банк это самое популярное аппаратное средство защиты информации. Это надёжные средства, если используются правильно, но с удобством есть проблемы. Аппаратные средства можно потерять, сломать и прочее, нужно поддерживать систему управления, причём с элементами логистики.
Программные средства защиты информации
Это простые и комплексные программы. Пример – антивирусы, установленные на большинстве компьютеров.
DLP-система (от англ. Data Leak Prevention)
Это специализированное ПО, которое блокирует передачу конфиденциальной информации и даёт возможность наблюдать за ежедневной работой сотрудников, чтобы найти слабые места в безопасности и предотвратить утечки. Система анализирует циркулирующую внутри компании информацию. Если появляется угроза опасности, информация блокируется, о чём автоматически уведомляют ответственного сотрудника. DLP и SIEM – решения высокого класса, требуют наличия качественной системы обеспечения информационной безопасности. Используются средними и крупными компаниями. Важна правильная настройка. Это основной инструментарий в работе служб информационной безопасности.
Криптографические средства
Кодирование, шифрование, сюда же относится электронная подпись. Как говорил Эдвард Сноуден: «Криптография работает!». Но её использование часто недооценивают. Даже банальное шифрование флешек используют единицы, хотя на них хранится подчас ценная информация.
Храните данные удалённо
Удалённое хранение информации – часто залог сохранности, уверен Луис Корронс, ИБ-евангелист компании Avast: «Лучший способ защитить информацию – хранить непосредственно на устройствах, не загружая на внешние хранилища. Тогда, чтобы украсть данные, злоумышленникам придётся получить доступ к конкретному физическому устройству.
Но такой способ хранения информации трудно применим на практике, а потому не 100% эффективен. Пользователи обмениваются информацией, личными сведениями, часто требуется удалённый доступ.
Второй вариант противоположен первому – использование только облачных хранилищ. Провайдеры с широкими возможностями, например Google, Microsoft, отвечают потребностям большинства людей: предлагают надёжную защиту, пользователь получает доступ к информации из любого места, может обмениваться, совместно работать».
Итак, подведём итог. Обычному человеку достаточно установить на компьютер антивирус. Если информация хранится на флешке (что лучше всего), носитель можно зашифровать или убрать в сейф. Что касается компаний, лучшее решение – нанять эксперта по информационной безопасности. Не стоит экономить на таких сотрудниках. Ценную информацию следует хранить на флешках и жёстких дисках в сейфе, а на рабочие компьютеры установить ПО, отслеживающее угрозы безопасности.
Как защитить информацию при денежных переводах
Как для рядовых граждан, так и для предпринимателей актуальным остаётся вопрос защиты платёжных данных. Ведь в случае кражи будет нанесён прямой финансовый ущерб. Не всегда для защиты средств достаточно 3D-Secure. О правилах сохранности информации рассказал директор по внешним связям в Восточной Европе и Средней Азии координационного центра RIPE NCC Максим Буртиков: «Одних только фишинговых сайтов уже тысячи в одном только Рунете. Копируют сайты банков, авиакомпаний, развлекательных мероприятий. Если не хотите потерять часть сбережений, будьте внимательны, когда собираетесь отправить личную финансовую информацию в интернет, обращайте внимание на названия и ссылки. Создатели фишинговых сайтов используют доменные имена с изменениями, при этом дизайн и функциональность сайта не будет отличаться от оригинала. Эта схема рассчитана на невнимательность увлечённого пользователя.
Прежде чем воспользоваться переводом денег через онлайн-банк, закройте остальные приложения. Это нужно, чтобы исключить использование программы сканера. Её можно подцепить с недобросовестным скаченным приложением и не заметить. Выглядит сканер как прозрачный экран и ничем себя не выдаёт. До тех пор, пока не открываются банковские программы. Тогда пароли копируются в этом прозрачном экране и сохраняются. Через какое-то время приложение банка может начать жить своей жизнью уже без помощи пользователя и неприятно удивлять».
Отдельно стоит упомянуть о передаче данных при подключении к бесплатному незапароленному Wi-Fi. Если подключились к такой сети, лучше не передавайте конфиденциальную информацию (например, номер карты), не совершайте и не оплачивайте покупки – информация о карте не защищена и доступна мошенникам.
Несмотря на то, что банки блокируют подозрительные операции, лучше перестраховаться. Чтобы не переживать за сохранность информации, пользуйтесь специальным программным обеспечением. Например, бесплатным сервисом Hotspot Shield, который создан для организации виртуальной частной сети, гарантирующей безопасную передачу данных по зашифрованному соединению.
Как защитить информацию в почте и соцсетях
Гиганты, такие как Google, Яндекс, придумывают новые способы защитить данные, хранящиеся в почтовых ящиках пользователей. Например, в гугл-почту пользователи теперь заходят через разблокировку смартфона (при попытке зайти в почту на экране мобильного выскочит просьба подтвердить личность), используется двухфакторная аутентификация (такая же опция доступна, к примеру, в Инстаграм) и т.д.
Ещё недавно защита аккаунтов посредством введения кода из СМС (двухфакторная аутентификация) считалась надёжным методом. Однако эксперты говорят, что время этого способа защиты информации ушло.
Комментирует владелец компании Интернет-Розыск Игорь Бедеров: «Двухфакторная идентификация пользователей посредством СМС-сообщения постепенно становится ненадёжной. СМС-сообщения перехватываются, сим-карты пользователей копируются или перевыпускаются злоумышленниками. Сегодня к контрольному сообщению привязаны почты, соцсети, мессенджеры, онлайн-сервисы, банки. Перевыпустить же сим-карту стоит не больше 200 долларов США. Значит, пора искать более эффективный способ защиты аккаунтов. И он существует.
Это шифроблокнот – система кодов, которую невозможно взломать, если только не добраться до самого шифроблокнота. Какими способами такой шифроблокнот технически реализуется сегодня? Это токены для доступа к тем или иным ресурсам, аутентификаторы, которые стали внедрять в почтовые сервисы и соцсети. Принцип работы тут одинаков: у пользователя в непосредственном доступе некий предмет (токен) или запись (аутентификатор), или список кодов. Удалённо такой код не подобрать и не перехватить».
Такую опцию запустил и Инстаграм. На практике это выглядит так. Пользователь скачивает приложение, которое генерирует уникальные коды. Коды нужно записать или сделать скриншот. По ним, а не по коду из СМС, пользователь попадёт в аккаунт, если возникнут проблемы с доступом.
Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля
Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.
1. Заручиться поддержкой руководства.
Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.
Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».
Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.
Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.
На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».
2. Определить состав рабочей группы.
Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.
Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.
3. Определить риски.
После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:
- идентифицировать информационные активы, представляющие ценность;
- провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
- провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
- провести анализ источников угроз;
- проанализировать сами угрозы;
- оценить возможный ущерб;
- подготовить отчет для презентации руководству.
После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.
После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.
4. Принять организационные меры.
На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.
5. Выбрать и внедрить меры и средства защиты информации.
На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.
При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.
6. Довести информацию до заинтересованных лиц.
Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.
7. Провести мониторинг и оценку.
После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.
Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.
Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Источник: