Средства защиты информации и бизнеса

Средства защиты информации и бизнеса

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Средства защиты информации и бизнеса

Спецпроекты

    • CNews FORUM 9 ноября
    • CNews AWARDS 9 ноября
    • Инновации и стартапы
  • Решения KYOCERA
  • Эволюция тестирования ПО
  • NetApp: новое в СХД
  • БезопасностьЦифровая трансформация
  • ИТ в госсекторе
  • ИТ в банках
  • ИТ в торговле
  • Телеком
  • Интернет
  • ИТ-бизнес
  • Рейтинги

Обзор: Средства защиты информации и бизнеса 2020

Процесс управления уязвимостями связан с рядом сложностей, с которыми сталкиваются специалисты, отвечающие за ИБ. О том, на какие уязвимости необходимо обращать внимание в первую очередь, как организовать взаимодействие ИТ- и ИБ-отделов и контролировать уровень защищенность компании, в своей статье для CNews рассказали Евгений Полян, менеджер по развитию продуктов платформы MaxPatrol 10 и Анастасия Ляшенко, менеджер по продуктовому маркетингу компании Positive Technologies.

Когда дело доходит до работы с уязвимостями (vulnerability management, VM), их большое и постоянно растущее число — это первое, с чем сталкиваются специалисты по информационной безопасности. К примеру, базы MITRE CVE List и NVD содержат более 100 тыс. записей об отдельных уязвимостях, а за сутки в среднем регистрируется 13 новых записей.

Поэтому у специалистов по ИБ закономерно возникают вопросы: с чего начинается управление уязвимостями? Как понять, какие из них важны и влияют на состояние защищенности инфраструктуры? Как вовремя среагировать на новые уязвимости? Как при всем этом не замедлить работу организации? Как оценить, насколько защищена компания, если не получается закрыть все уязвимости сразу? При этом чем больше компания, тем сложнее организовать эти процессы. Управление уязвимостями должно проходить слаженно как в штатном режиме, опираясь на регламенты ИБ в организации, так и при выявлении критически опасных уязвимостей, на наличие которых необходимо срочно проверить сеть.

Чтобы помочь компаниям в тонкостях работы с уязвимостями, разберем наш подход к организации этого процесса.

5 шагов к защите

Сразу оговоримся: мы рассматриваем концепцию, которая подойдет компаниям, уже созревшим до оценки защищенности своей инфраструктуры и готовым внедрять процедуры управления уязвимостями. Они понимают необходимость надежного и безопасного решения для сканирования сети организации, имеют штат сотрудников, ответственных за информационную безопасность компании и регулярный мониторинг ИТ-инфраструктуры.

Грамотное управление уязвимостями включает пять этапов: инвентаризация ресурсов, анализ защищенности, приоритизация, устранение уязвимостей, проверка результатов. Далее мы разберем, что включает каждый из этих шагов, на что необходимо обращать внимание и какие возможности профессиональных средств анализа защищенности для этого существуют.

Актуализируйте данные об активах

Управление уязвимостями начинается с обнаружения и идентификации активов — элементов ИТ-инфраструктуры, подключенных к сети: это могут быть серверы, компьютеры, сетевое оборудование. Важно охватить ИТ-инфраструктуру полностью — идентифицировать все активы, получить исчерпывающие сведения об узлах и системах. В противном случае какие-то уязвимости могут быть не обнаружены и это может повлиять на общий уровень защищенности компании. Если запускать задачи сканирования только на заданный список узлов, полученный от ИТ-отдела, либо ориентироваться только на выгрузку из CMDB-систем, то с большой долей вероятности не будет известна часть сетевых узлов, в которых могут находиться опасные уязвимости.

Данные об активах необходимо собирать комплексно за счет следующих операций:

  • сканирования в режимах черного и белого ящика;
  • импорта данных из внешних каталогов (Active Directory, SCCM, гипервизоры);
  • обнаружения активов из данных других решений для ИБ (системы анализа событий SIEM и инструмента для исследования трафика NTA);
  • контроля недавно обнаруженных активов;
  • проверки активов, о которых давно не было информации (потенциально удаленных).

Все это можно осуществить с помощью систем класса vulnerability management.

После обнаружения активы нужно корректно идентифицировать: данные о них были получены из разных источников, и эту информацию стоит упорядочить. Это дает понимание ИТ-среды, помогает правильно классифицировать компоненты сети и задавать правила работы с ними. Чем больше параметров идентификации активов готова предоставить VM-система (FQDN, адреса MAC и IP, тип ОС, имя сетевого узла, признаки виртуальности узла), тем лучше: таким образом мы сможем избежать дублирования активов и ложных срабатываний средств защиты.

Но на сборе данных этот шаг не заканчивается, важно поддерживать информацию актуальной — обновлять сведения о новых узлах и устаревших системах. На практике ежедневно проводить полное сканирование всей ИТ-инфраструктуры не всегда представляется возможным по причине нагрузки на сеть, из-за нюансов согласований сканирований с ИТ-отделом и ограничений во времени, когда можно выполнить полное сканирование. Контролировать полноту собираемых данных по активам можно за счет выборочного и точечного сканирования активов, импорта данных об активах из внешних каталогов, проверки ошибок по задачам сканирования и активов с неполной информацией.

В результате эффективной работы подсистемы управления активами у пользователя всегда будет под рукой актуальная информация о том, какие активы есть в инфраструктуре и какова их конфигурация. На основании этих же данных будет обновляться информация об уязвимостях, обнаруженных на узлах в сети компании.

Читайте также  Двускатные теплицы

Классифицируйте и оценивайте активы

Каждому активу должен соответствовать определенный уровень его значимости. Рекомендуем заранее оценить, как актив влияет на конфиденциальность и целостность данных, работоспособность важных для бизнеса сервисов. Это поможет определить степень опасности найденных уязвимостей, варьировать сроки их устранения и рассчитывать свои финансовые расходы и трудозатраты. Для более наглядной и непрерывной оценки реальной степени защищенности инфраструктуры лучше оценивать наличие опасных уязвимостей на важных активах отдельно от уязвимостей на остальных активах.

Инструменты для анализа защищенности должны помогать управлять активами, упрощать работу с ними. На этом этапе мы рекомендуем вводить иерархию активов, например объединять их по принадлежности к структурным подразделениям, автоматизированным системам, к IP-сетям или по наличию определенных ОС. Это поможет автоматизировать процессы — вводить триггеры действий на определенные подгруппы и быстро провести идентификацию и сканирование уязвимых систем, если понадобится срочно проверить их на наличие конкретной уязвимости. Также необходимо контролировать, распределены ли все активы по группам и задана ли степень важности новым активам.

Выявляйте уязвимости и задавайте правила их обработки

Далее определение уязвимостей в VM-системе должно происходить автоматически на основании данных об инфраструктуре, постоянно актуализируемой информацией об активах. По результатам сканирования в режимах черного и белого ящика решение выявляет открытые сетевые порты и доступные службы, уязвимости в ПО, а также недостатки конфигурации оборудования, серверов и средств защиты. Данные по активам также следует соотносить с правилами, заданным в базе знаний VM. Разработчики систем используют общие базы уязвимостей (MITRE CVE List, NVD, OSVDB, БДУ ФСТЭК России), а также собственные базы знаний, которые постоянно обновляются на основе исследований. Актуализация данных об уязвимостях в VM-системе происходит при обновлении базы знаний в части уязвимостей, а также при актуализации информации об активах.

В инфраструктурах с большим количеством активов (более 1000) управлять уязвимостями вручную невозможно. Чтобы автоматизировать процесс, можно сортировать уязвимости, например по их опасности или статусу, и заводить регламент их обработки. На ручную обработку должны оставаться только самые опасные уязвимости для конкретной инфраструктуры, и система анализа защищенности должна позволять специалистам по ИБ определять такие уязвимости.

За устранение уязвимостей (обновление версий ПО, установка патчей) и применение компенсационных мер (выключение сервисов, закрытие портов на межсетевых экранах) отвечает ИТ-подразделение. Как можно больше систем и ПО ИТ-отдел должен обновлять самостоятельно. В свою очередь, специалисты по ИБ определяют задачи ИТ-отдела по обновлению версий ПО или установке патчей на активы, следят за полнотой и своевременностью выполнения этих действий. Лучше, если система управления уязвимостями будет позволять задавать и контролировать правила обработки уязвимостей. В этом случае специалисты по ИБ будут контролировать отсутствие уязвимостей и совместно с ИТ разбирать случаи нарушения договоренностей.

Еще один нюанс: по итогам сканирования специалисты по ИБ, как правило, сталкиваются с огромным списком уязвимостей, и на этом этапе важно определить, какие уязвимости необходимо устранить в первую очередь. Здесь есть несколько подходов.

Во-первых, можно опираться на оценку по CVSS искать дополнительную информацию: например, существуют ли доступные эксплойты для этой уязвимости и удавалось ли ее использовать в процессе тестирований на проникновение. Однако специалисту по ИБ придется соотносить каждую шкалу со своей инфраструктурой (уязвимости с более низким рейтингом — но на периметре сети — против уязвимостей с высоким рейтингом внутри сети), смотреть, можно ли их проэксплуатировать в данной системе.

Во-вторых, можно доверять оценке вендора, где найденные уязвимости ранжируются от более опасных к менее опасным, но при условии, что вендор действительно обладает такой экспертизой. Лучше, если это будет конечный список трендовых уязвимостей, а не переработанный список всех найденных уязвимостей. Ограниченный список особо важных уязвимостей будет помогать оценивать свою работу и правильно фокусироваться на срочных задачах.

Устраняйте уязвимости

На практике устранение уязвимостей проходит так:

  • При проактивном подходе в компании ИТ-подразделение регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. В этом случае специалисты по ИБ лишь контролируют отсутствие уязвимостей через определенное количество дней после публикации информации о них.
  • При реактивном подходе ИТ-подразделение устанавливает патчи или обновления ОС и ПО после того, как служба ИБ предоставит информацию об обнаруженных уязвимостях, сформирует списки активов, ОС и ПО для реагирования. После проведенных работ специалисты по ИБ контролируют отсутствие уязвимостей через определенное число дней после их обнаружения на активе. Сроки устранения ИБ и ИТ обсуждают по каждой уязвимости или списку уязвимостей отдельно.

Проверьте, устранены ли уязвимости

Важно отслеживать динамику устранения критически опасных уязвимостей и контролировать соблюдение политики устранения уязвимостей.

Служба ИБ, как правило, контролирует отсутствие уязвимостей в соответствии с принятыми в компании договоренностями. Если появляются особо опасные уязвимости, реагирование и проверки происходят вне очереди.

Управление уязвимостями (vulnerability management) не может строиться только на выявлении уязвимостей (vulnerability assessment), оно обязательно включает в себя управление активами (asset management), соблюдение регламентов по сканированию, контроль устранения уязвимостей (vulnerability remediation), а также тесное сотрудничество службы ИБ с ИТ-подразделением.

Приглашаем присоединиться к онлайн-встрече, на которой мы представим средство управления уязвимостями нового поколения MaxPatrol VM. Мероприятие пройдет 16 ноября 2020 г. в 13:00. Мы расскажем, как грамотно выстроить процесс управления уязвимостями в компании и продемонстрируем отличия MaxPatrol VM от систем анализа защищенности. Чтобы присоединиться к мероприятию, необходимо зарегистрироваться по ссылке.

Информационная безопасность бизнеса

Защита данных
на базе системы

И нформационная безопасность бизнеса становится важнейшей составляющей его успешного ведения. Специалисты по кибербезопасности Cybersecurity Ventures сообщили, что в 2019 году хакерские атаки происходили каждые 14 секунд. Сбербанк спрогнозировал, что совокупные мировые убытки компаний от информационных рисков достигнут 2,5 триллионов долларов. Не меньший риск влекут за собой действия инсайдеров. При этом менеджмент компаний не всегда в полной мере может оценить риски и выстроить стратегию действий, способных минимизировать угрозы.

Информационные угрозы

Эксперты делают вывод, что угрозы информационной безопасности бизнеса становятся существеннее. Так, в 2019 году только количество случаев использования методов социальной инженерии выросло на 6 %. Кибермошенники атакуют российские компании в 1,6 чаще, чем в среднем компании по миру. Связано это может быть с тем, что отечественный бизнес меньше внимания уделяет оценке угроз и защите от них. В зоне риска находятся в большей степени организации финансового сектора. SAP CIS сообщает, что ежемесячно атаке подвергаются 1-2 банка и средняя стоимость ущерба от атаки составляет 2 миллиона долларов. Но так как персональные данные – наиболее ходовой товар на черном рынке информации, стоит задуматься о безопасности организаций, специализирующихся в сфере ритейла: операторов сотовой связи, транспортных и туристических компаний.

Крупные компании подвергаются атакам десятки раз в день, при этом кибермошенники постоянно сканируют периметр информационной безопасности, проводят мониторинг уязвимостей и тестируют новое вредоносное программное обеспечение. Если сама компания тратит существенные бюджеты на защиту от угроз информационной безопасности, то ее поставщики и подрядчики, небольшие фирмы, выполняющие отдельные заказы, оказываются более уязвимыми и вместе со своими данными теряют информацию заказчика. Инсайдерские риски не менее серьезны, если организация не использует систему ограниченного доступа и не выстраивает многоуровневую оборону.

Для обычной компании, чья информация не имеет существенной самостоятельной ценности для мошенников, наибольшими угрозами становятся:

  • вредоносное ПО различных модификаций (вирусы-шифровальщики, сетевые черви). Наибольшую угрозу несут шифровальщики, за возврат данных, не только относящихся к коммерческой тайне, но и операционных, требуется выкуп;
  • спам, затрудняющий обработку внешней корреспонденции и забивающий информационные потоки;
  • действия инсайдеров, похищающих или изменяющих данные;
  • фишинговые атаки, связанные с подменой адресов сайтов;
  • бизнес-разведка, заказанная конкурентами;
  • сетевые атаки;
  • DDoS-атаки, вызывающие отказ в обслуживании;
  • кража оборудования и мобильных устройств, содержащих конфиденциальную информацию;
  • таргетированные атаки;
  • саботаж сотрудников.

Инсайдерские угрозы, намеренные и непреднамеренные, могут также быть классифицированы:

  • пропущенные из-за некомпетентности сотрудников уязвимости в ПО или в технической части системы;
  • случайные утечки информации;
  • намеренные утечки, вызванные подкупом конкурентов, посредников на рынке краденых данных или совершаемые из мести;
  • утечки данных, связанные с обменом конфиденциальной информацией через мобильные устройства;
  • потеря мобильных устройств или компьютеров;
  • утечки информации у поставщиков услуг, иных контрагентов.

Чаще всего похищается информация следующих типов:

  • общедоступная внутренняя операционная информация;
  • персональные данные клиентов;
  • базы данных клиентов компании;
  • закрытая финансовая информация, управленческая отчетность;
  • интеллектуальная собственность;
  • маркетинговые исследования, исследования о конкурентах;
  • платежная информация, данные о банковских трансакциях.

К отдельному риску относится среда виртуализации. Компании используют облачные технологии в целях экономии при хранении данных и при применении бизнес-приложений. Далеко не всегда поставщики услуг могут обеспечить необходимый уровень защиты информации, особенно если речь идет о персональных данных, где необходимо соблюсти требования регулятора.

Сложно подсчитать действительный ущерб бизнеса от угроз информационной безопасности. Его можно рассчитать, исходя из имеющихся цифр и аналитики скрытой части проблемы, большинство компаний стараются скрыть данные о происходящих инцидентах, стремясь избежать репутационных издержек. Эксперты считают, что за один год бизнес теряет от атак сумму, сравнимую со стоимостью реализации всего проекта «Цифровая экономика» за шесть лет (1,5 триллиона рублей только за 2019 год, по расчетным данным).

  • фактическим, в виде пропавших денег со счетов, сумм, выплаченных вымогателям, заразившим систему вирусами, ущерба от приостановки бизнес-процессов. Особой статьей расходов становятся штрафы, выплаченные в бюджет, и ущерб, компенсированный клиентам в результате выигранных процессов в связи с утратой компанией ценной информации;
  • расчетным, когда суммы неполученной прибыли от утечки ценной информации можно рассчитать исходя из финансовых показателей деятельности компании и из сумм, потраченных на спешное обновление системы информационной безопасности;
  • репутационным – компания теряет рынки, клиентов, стоимость ее акций падает в ситуации, когда становится известно о ее неосмотрительном поведении и недостаточной защите важных данных.

Ущерб может проявиться лишь спустя длительное время, например, когда ноу-хау было похищено инсайдером и появилось в распоряжении конкурентов через годы.

Позиция менеджмента

Руководство компаний придерживается двоякой позиции в вопросе об информационной безопасности бизнеса. Иногда угрозы переоцениваются, иногда недооцениваются.

«Лаборатория Касперского» приводит такие цифры:

  • 41 % компаний считает основным приоритетом защиту данных от целевых атак;
  • 91 % недооценивает риски от применения вредоносного ПО;
  • большинство предприятий считает единственной необходимой защитой только антивирусное ПО;
  • внутренние угрозы, инсайдеры становятся причинами утечек в 87 % случаев.
Читайте также  Нужно ли ставить УЗО на освещение по ПУЭ

Отсутствие четкого понимания собственной модели угроз становится причиной или перерасходования бюджетов на безопасность, когда тратятся суммы на новейшее программное обеспечение, или недооценки необходимого финансирования, и тогда ущерб становится причиной непрофессиональных действий менеджмента.

Избираемые способы обеспечения информационной безопасности бизнеса зависят от модели угроз. В банках и организациях финансового сектора наибольшему риску подвергается информация о вкладах и счетах клиентов. У операторов сотовой связи хакеров интересуют персональные данные клиентов или детализация звонков. Для промышленности целью хакеров может стать перехват управления информационной системой предприятия и остановка его работы.

Перечень способов защиты зависит от различных факторов:

  • уровня защищаемой информации;
  • рекомендаций регуляторов;
  • имеющихся в наличии временных, финансовых, человеческих ресурсов.

Основой выстраивания стратегии обеспечения информационной безопасности бизнеса часто становятся не реально существующие модели угроз, а то, как руководители самостоятельно, на основе изучения прессы или аналитической информации или же под влиянием ИТ-персонала, представляют себе риски.

  • защита данных от таргетированных атак на конфиденциальную информацию компании – 41 %;
  • защита данных от утечек вне зависимости от их характеристик – 34 %;
  • предотвращение DDoS-атак (вне зависимости от модели бизнеса) – 29 %;
  • выстраивание системы защиты от компьютерных сбоев – 23 %;
  • возврат инвестиций, вложенных в ИТ-инфраструктуру, – 20 %;
  • принятие решения о дальнейшем финансировании ИТ-инфраструктуры.

Отдельным вопросом, не относящимся к приоритетам менеджмента именно с точки зрения бизнеса, но имеющим значение для принятия решения о системе мер защиты, становится выполнение требований регуляторов, связанных с охраной государственной или банковской тайны, персональных данных.

Меры и способы обеспечения информационной безопасности бизнеса

То, как российский бизнес выстраивает систему информационной безопасности, можно узнать из опросов. Редко кто считает необходимым использовать весь спектр программных, технических и организационных мер, даже если они предписаны регуляторами. Чаще всего используются заменяющие варианты аппаратных и программных средств с обещанием установить необходимые при первой возможности.

Большинство предприятий выстраивает систему приоритетов исходя из модели бизнеса и имеющихся финансовых ресурсов. Среди основных:

  • антивирусная защита и иная защита от вредоносного ПО на компьютерах;
  • контроль за обновлением ПО, устранением пробелов в защите, выявляемых в новых версиях, приобретение сертифицированного ПО;
  • управление архитектурой сети, выделение и защита критически важных зон;
  • контроль над использованием съемных носителей;
  • обеспечение безопасного использования мобильных устройств;
  • контроль за безопасностью облачных сервисов;
  • внешний аудит безопасности;
  • внедрение систем мониторинга работоспособности элементов ИТ-системы;
  • контроль за утечками и установление DLP-систем;
  • управление информацией и инцидентами, установка SIEM-систем;
  • использование средств криптографической защиты;
  • системы управления жизненным циклом ИТ (PC Lifecycle Management);
  • системы управления мобильными устройствами (MDM).

Решения по защите чаще разрабатываются компаниями без опоры на требования регуляторов, рекомендующих меры по обеспечению безопасности персональных данных. Они обусловливаются потребностями бизнеса и бюджетом, и даже риск проверок не заставляет предприятия применять всю рекомендованную систему мер. Возможно, именно это становится причиной частых атак хакеров, понимающих уязвимости большинства систем информационной безопасности бизнеса. Для банков повышенная степень опасности от кибератак порождает необходимость разработки собственных систем безопасности в соответствии с международными стандартами и требованиями регулятора – Центробанка.

Отдельной задачей становится объединение интересов отдельных бизнес-субьектов в борьбе с глобальными угрозами, так как самостоятельная борьба с кибертерроризмом невозможна. Крупные корпорации создают объединения, в рамках которых организовывают обмен опытом и технологиями в сфере реагирования на кибератаки. Это же происходит в рамках государственного проекта ГосСОПКА, где на кибератаки совместно реагируют собственники объектов критической информационной инфраструктуры. Совместная работа еще больше снижает риск ущербов от действий хакеров.

Средства защиты информации и бизнеса

7 МИН

Чек-лист кибербезопасности: как малому бизнесу защитить данные

Объём российского рынка средств киберзащиты по итогам 2019 года увеличился до 90,6 млрд рублей: рост на 14 % по отношению к 2018 году. Бизнес тратит на информационную безопасность всё больше денег. Но что делать, если ваш бюджет в разы меньше, чем у крупных корпораций? О правилах киберзащиты для малого бизнеса рассказал IT-эксперт.

Услуги злоумышленников дешевеют и становятся доступнее:

  • порядка 7000 рублей может стоить конкуренту DDoS-атака на ваш сайт.
  • 50 000 рублей потребуют хакеры за кражу паролей к соцсетям и почте, спам-рассылку и слив частной переписки.
  • 70 000 рублей — за подрыв репутации: плохие отзывы о компании, чёрный PR, удаление сайта.

При этом аудит — проверка того, насколько вы уязвимы в плане информационных угроз — обойдётся в сумму от 400 тысяч до нескольких миллионов рублей. Однако базовая система киберзащиты не требует столь крупных инвестиций. Сооснователь и коммерческий директор компании «Акстел-Безопасность» Владимир Соловьев сформулировал 5 правил информационной безопасности, а мы дополнили чек-лист ещё одним важным пунктом.

6 советов по кибербезопасности для бизнеса

Определите, какая именно информация требует защиты

Чаще всего приходится защищать:

  • сведения о клиентах, поставщиках, новых разработках и ноу-хау,
  • содержание договоров с партнёрами,
  • себестоимость продуктов и услуг,
  • аналитические и маркетинговые исследования, их результаты и выводы,
  • данные о финансовом состоянии компании и о зарплатах.

Оцените реальную стоимость вашей информации

Система защиты информации не должна стоить дороже, чем сама информация. То есть тратить десять рублей на каждый заработанный компанией рубль нерационально. Задача собственника — изучить список потенциальных объектов атаки, оценить риски и возможные потери, рассчитать стоимость покрытия этих рисков и уже после принять решение, каким образом их минимизировать.

Позаботьтесь о дополнительной защите данных на удалёнке

2020 год запомнится молниеносным переходом на удалённую работу. Взломать домашнюю интернет-сеть или личный ноутбук легче. А значит, подключаться к корпоративным ресурсам — системам CRM и ERP, почте, хранилищам файлов, внутренним мессенджерам — опаснее. Доступ к домашнему интернет-каналу открывает злоумышленнику доступ и к данным, которые через этот канал передаются.

Важно соблюдать базовые правила информационной безопасности:

  • Установите надёжный пароль на домашнем Wi-Fi-роутере. Вариант «123» не подойдёт.
  • Установите на домашний компьютер антивирус, либо последнюю версию операционной системы, в которую уже входит антивирус.
  • Не игнорируйте сообщения с призывом обновить антивирус, эта программа должна быть актуальной.
  • Используя личную электронную почту для работы, не открывайте вложения из писем с незнакомых адресов, не переходите по ссылкам из них: это может быть фишинг.

Фишинговые рассылки — это письма и СМС, которые выглядят как сообщения от надёжных источников. Например, банков, интернет-провайдеров, платёжных систем, известных компаний. Чаще всего в них содержатся две вещи: просьба обновить или прислать какие-то личные данные (номер карты, пароль) и завуалированная угроза («Если данные о карте не поступят в течение недели, ваш счёт будет заблокирован»).

Формируйте культуру информационной безопасности

Для малого бизнеса наиболее подходящее по затратам и эффективности решение — обучать сотрудников и владельцев. Предотвращать кибератаки и минимизировать их последствия учат офлайн — например, в Сибирской академии информационной безопасности, и онлайн — на площадках вроде «Нетологии» или «Инфобезопасности».

На таких курсах рассказывают, как правильно пользоваться программами антивирусной защиты, учат создавать и правильно обновлять пароли, объясняют особенности работы с корпоративной почтой, жёсткими дисками, флешками и другими носителями.

Используйте специальные облачные сервисы

Для малого бизнеса подойдут облачные сервисы вроде DataFort и McAfee Web Gateway Cloud Setvice. Они защищают информацию от сетевых угроз примерно на том же уровне, что и аппаратные устройства, которые обычно используют для этого в офисах, но тратиться на техобслуживание не придётся. В дополнение к таким сервисам можно подписаться на антивирусную защиту или систему контроля за утечкой информации.

Совет от Сбербанка: выпустите цифровую подпись

Её можно использовать для регистрации или авторизации на интернет-сайтах, а также в качестве ключа доступа к файлам и базам данных, защищённым паролем. Квалифицированная электронная подпись (КЭП) наиболее совершенна в плане безопасности. Это ключ, сформированный с помощью криптографических средств, который записывается на USB-носитель.

КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности владелец устанавливает сам. Данные будут защищены, даже когда срок действия ключа истечёт.

Простой способ оформить квалифицированную подпись — подать заявку через Сбербанк Бизнес Онлайн: потребуется минимум документов, а получить подпись можно курьерской доставкой.

Короче

Вредоносные коды, программы, фишинговые рассылки, утечка данных, взломы сайтов и программ — способы, при помощи которых киберпреступники крадут деньги и данные, а также просто портят настроение, деловую репутацию, отношения с клиентами и партнёрами.

Потенциальная угроза информационной безопасности — сотрудники. Открытое на рабочем компьютере фишинговое письмо, установка сомнительных программ и приложений, заражённая вирусами флешка — самые частые ошибки.

Игнорирование принципов информационной безопасности может привести к серьёзным финансовым и репутационным потерям.

Если у вас небольшая компания и ограниченный бюджет, начните с обучения сотрудников основам информационной безопасности.

Изучите популярные схемы кибермошенничества и действуйте по инструкции, чтобы ваш бизнес не пострадал.

Средства защиты информации от несанкционированного доступа

Тест на прочность: чему нас учат недостатки СЗИ?

Защитить информацию от несанкционированного доступа можно с помощью любого из популярных специализированных средств. Главное — знать его сильные и слабые стороны, чтобы в случае необходимости нейтрализовать негативные последствия. Мы провели эксперимент, чтобы посмотреть, как ведут себя различные решения в ситуации несанкционированного доступа.

Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ.

Цель нашего эксперимента — понять, какие дополнительные меры безопасности необходимо принять, чтобы обезопасить информацию от кражи.

Моделируемая ситуация: в компьютере финансового директора обрабатывается очень важная информация, интерес к которой имеет недовольный зарплатой сотрудник. В обеденный перерыв директор заблокировал свой компьютер и ушел. У злоумышленника есть только час на то, чтобы незаметно похитить нужную ему информацию.

Тестируемые средства

№ Наименование СЗИ Производитель Цена за одно автоматизированное рабочее место, руб.
Программные
1 Secret Net 7 (автономный) ООО «Код Безопасности» 7 000
2 «Аура 1.2.4» НИО ПИБ 3 000
3 Dallas Lock 8.0 — К
(для корпоративных заказчиков)
ООО «Конфидент» 6 000
4 «Страж NT» (версия 3.0) ЗАО НПЦ «Модуль» 7 500
Программно-аппаратные
5 Аккорд-АМДЗ ОКБ САПР 12 589
6 Secret Net 7 +
Secret Net Card (плата PCI Express) — комплект с DS1992
ООО «Код Безопасности» 7 000 + 3 610
Читайте также  Сом. Разведение сома

Действия злоумышленника: Предположим, что на компьютере установлено одно из вышеуказанных СЗИ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:

  1. установит в BIOS загрузку с внешнего накопителя;
  2. загрузится с Live USB и скопирует всю нужную ему информацию;
  3. перезагрузит компьютер и покинет место преступления.

Совет № 1. Запретите загрузку с внешних носителей и используйте пароли на BIOS.

Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. И в этом заключается их главный недостаток. Единственным программным СЗИ, которое не удалось обойти таким образом, оказался «Страж NT».

В СЗИ «Страж NT» идентификация и аутентификация пользователя производится до загрузки операционной системы, что позволяет исключить возможность получения доступа к информации, содержащейся на жестком диске компьютера без успешного прохождения процедуры аутентификации.

Программа идентификации и аутентификации содержится в главной загрузочной записи (MBR) жесткого диска и вызывается автоматически после прохождения процедуры POST BIOS: пользователю предлагается предъявить персональный идентификатор и ввести пароль.

Модификация главной загрузочной записи, выполняемая СЗИ при его инициализации, предотвращает попытки несанкционированного доступа при загрузке компьютера с внешнего носителя, так как любая операционная система «повиснет» при попытке монтирования раздела, на котором установлена СЗИ «Страж NT». Таким образом, для злоумышленника исключается несанкционированный доступ к содержимому жесткого диска, несмотря на гипотетическую возможность загрузки персонального компьютера с внешнего носителя или подключения жесткого диска к другому компьютеру.

Вне эксперимента нам удалось с помощью программы восстановления потерянных разделов TestDisk восстановить загрузочный сектор. Но на эту процедуру ушло больше часа.

При использовании остальных СЗИ рекомендуем в настройках BIOS выставить единственное загрузочное устройство — локальный жесткий диск. Необходимо установить пароль на BIOS. Можно установить ПАК «Соболь» или Secret Net Card, которые обеспечат доверенную загрузку.

Совет № 2. При использовании любых СЗИ, кроме «Страж NT», опечатывайте или опломбируйте корпус системного блока.

При тестировании программных СЗИ мы увидели, что добыть информацию можно и без физического вмешательства в системный блок. В случае с рассматриваемыми программно-аппаратными комплексами «Аккорд» и Secret Net способ загрузки в обход операционной системы не сработал из-за наличия установленной платы, которая не давала доступа к настройкам BIOS и не позволяла изменить источник первичной загрузки.

При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки. Таким образом, мы настоятельно рекомендуем использовать такую меру защиты как опломбирование системных блоков и закрытие на ключ.

Совет № 3. Используйте встроенные или дополнительные средства шифрования данных.

Мы рассматриваем ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация для всех рассмотренных средств защиты информации следующая — использовать средства шифрования данных. При таких условиях у злоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.

Так, например, в СЗИ Dallas Lock средство шифрования данных является встроенным, а для Secret Net есть возможность приобрести лицензию с возможностью сокрытия выбранных разделов на жестком диске. Для остальных СЗИ остается использовать только дополнительные средства шифрования от сторонних производителей.

Совет № 4. Используйте комплекс мер: дополняйте технические средства административными мерами.

Прежде чем принимать решение о применении того или иного средства защиты, необходимо продумать и смоделировать все возможные варианты утечки информации. В каждой конкретной ситуации это будут различные меры. В случае, описанном в начале статьи, мы бы порекомендовали не оставлять открытым помещение с важной информацией, установить системы видеонаблюдения. Для особо важной информации необходимо использовать средства защиты, позволяющие шифровать информацию «на лету» и т д.

Совет № 5. Не переплачивайте: стоимость средств защиты не должна превышать стоимость самой информации.

Если руководитель поручил защитить информацию на конкретных компьютерах, необходимо понять, какова ценность информации «в цифрах». И только после этого принимать решение о выборе СЗИ. Правда, есть один нюанс: для информации, охраняемой законодательством, это правило не работает — защищать придется даже информационные системы обработки персональных данных, содержащие сведения о пяти сотрудниках.

Вадим Галлямшин, руководитель проектов внедрения систем информационной безопасности «СКБ Контур».
Станислав Шиляев, руководитель группы технической защиты информации проекта «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Информационная безопасность

«АСТ» имеет опыт проектирования, внедрения и сопровождения решений для обеспечения информационной безопасности различных масштабов с различной функциональной нагрузкой. Специалисты компании имеют как опыт в области ИБ, так и отраслевые компетенции, что позволяет говорить о комплексности и адресности внедрений и предоставляемых услуг.

Вы можете доверить компании АСТ решение следующих задач:

  • Аудит информационной безопасности Аудит информационной безопасности (ИБ) – крайне важный процесс, позволяющий получить объективную информацию о текущем состоянии средств обеспечения ИБ на предприятии, [. ]
  • Аутсорсинг информационной безопасности Согласно данным аналитических отчетов современные кибер-атаки становятся все более таргетированными, а их проведение заметно упрощается и уже не требует от злоумышленников [. ]
  • Безопасность ИТ-инфраструктуры В основе всех без исключения информационных систем и функциональных ИТ-решений лежит ИТ-инфраструктура. Она является базой и от ее надежности всецело зависит эффективность, [. ]
  • Обеспечение соответствия требованиям Многие компании работают с конфиденциальной информацией, сбор, обработка и хранение которой ограничены и контролируются со стороны государственных, отраслевых или [. ]

В современном мире стоимость информации порой выше, нежели стоимость физических активов. В капитализации некоторых крупных мировых компаний доля информации и информационных ресурсов составляет до 80%. А у небольших сетевых бизнесов и интернет- стартапов информация – это 95-97% активов. В мировой же практике есть случаи, когда утечка «инсайда» приводила к таким потерям бизнеса, что компании навсегда прекращали свое существование, а публичные персоны навсегда теряли доверие и репутацию. Роль информации хорошо иллюстрирует небезызвестный Wikileaks.

Именно такая ключевая роль информации в бизнесе требует ее тщательнейшей защиты на всех этапах жизненного цикла – от создания, использования, хранения, до уничтожения и забвения. Информация имеет стоимость, а значит, всегда есть желающие ее украсть и использовать с целью получения собственной выгоды. На любом этапе в любой системе может произойти утечка, которая будет стоить очень дорого в финансовом или репутационном плане. Мировой ущерб от деятельности только хакеров в корпоративном секторе сегодня оценивается более чем в 30 миллиардов долларов в год, а от всех потерь информации – более чем в 2 триллиона долларов!

Информационная безопасность должна стать если не первым приоритетом бизнеса, то точно – вторым. Существует множество решений для защиты на каждом этапе жизненного цикла информации, а грамотное их сочетание и эксплуатация позволяют в достаточной мере обезопасить бизнес как от внешних угроз, так и от инсайдерских несанкционированных действий.

«АСТ» имеет опыт проектирования, внедрения и сопровождения решений для обеспечения информационной безопасности различных масштабов с различной функциональной нагрузкой. Специалисты компании имеют как опыт в области ИБ, так и отраслевые компетенции, что позволяет говорить о комплексности и адресности внедрений и предоставляемых услуг.

Деятельность компании «АСТ» осуществляется на основании лицензий ФСБ России и ФСТЭК России, подтверждающих право на проведение работ по разработке, внедрению и технической поддержке создаваемых информационных систем.

Лицензии ФСБ России

  • На осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны
  • На осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
  • На осуществление работ, связанных с использованием сведений, составляющих государственную тайну
  • На право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны
  • Аттестат аккредитации испытательной лаборатории
  • Аттестат аккредитации

Лицензии ФСТЭК России

  • На осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам)
  • На деятельность по технической защите конфиденциальной информации
  • На проведение работ, связанных с созданием средств защиты информации
  • На осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации)
  • На деятельность по разработке и (или) производству средств защиты конфиденциальной информации

В состав услуг в области ИБ входят все виды задач – от оценки текущей ситуации и определения угроз, до проектирования, внедрения, сопровождения систем ИБ и аутсорсинга комплексного обеспечения ИБ предприятия.

  • Аудит систем и процессов ИБ, оценка состояния и уровня соответствия потребностям и стандартам
  • Аудит и приведение систем ИБ к требованиям стандартов и нормативных документов, включая международные и региональные требования и стандарты (ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, PCI DSS, NIST, 152-ФЗ, стандарты Банка России и пр.)
  • Консультирование и разработка стратегии развития политик и систем ИБ предприятия
  • Мониторинг и анализ событий ИБ, определение угроз в текущей работе разнородных систем, выявление подозрительных, инородных событий и действий
  • Расследование инцидентов информационной безопасности
  • Обслуживание систем ИБ и инфраструктуры, в которой существует информация, включая современные геораспределенные и гетерогенные среды
  • Управление аутентификацией, идентификацией и авторизацией
  • Защита конфиденциальных данных в среде ее существования, IRM (information rights management)
  • Диагностика и устранение неисправностей в работе систем информационной безопасности, аварийное восстановление систем
  • Мониторинг активности и обеспечение безопасности баз данных
  • Регламентные и профилактические работы без остановки систем и без снижения уровня защищенности
  • Централизованное управление и контроль за ИБ
  • Консультирование и поддержка пользователей, организация первой линии технической поддержки пользователей

Источник: gk-rosenergo.ru

Оцените статью
klub-winx
Добавить комментарий