Основные составляющие информационной безопасности — Информационная безопасность
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.
Поясним понятия доступности, целостности и конфиденциальности.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
угрозы, средства и способы обеспечения информационной безопасности
Компьютерные и информационные технологии сегодня охватили все отрасли экономики. Для любой современной компании информация становится одним из главных ресурсов, сохранение и правильное распоряжение которым имеет ключевое значение для развития бизнеса и снижения уровня разнообразных рисков. Актуальной проблемой для предприятия становится обеспечение информационной безопасности.
Что означает понятие «информационная безопасность предприятия»
Под информационной безопасностью предприятия или компании понимают комплекс мер организационного и технического характера, направленных на сохранение и защиту информации и ее ключевых элементов, а также оборудование и системы, которые используются для работы с информацией, ее хранения и передачи. Этот комплекс включает технологии, стандарты и методы управления информацией, которые обеспечивают ее эффективную защиту.
Обеспечение информационной безопасности помогает защитить информацию и информационную инфраструктуру предприятия от негативных воздействий. Такие воздействия могут носить случайный или преднамеренный, внутренний или внешний характер. Результатом таких вмешательств может стать потеря важной информации, ее несанкционированное изменение или использование третьими лицами. Поэтому информационная безопасность — это важный аспект защиты бизнеса и обеспечения его непрерывности.
Принципы эффективного внедрения в компании систем информационной безопасности:
- Конфиденциальность.
Под конфиденциальностью понимают организацию и поддержку эффективного контроля для обеспечения достаточной степени безопасности данных, активов и информации на различных этапах бизнес-процессов для исключения несанкционированного или нежелательного раскрытия. Поддержка конфиденциальности обязательно применяется при сохранении и транзите информации в любом формате.
- Целостность.
Целостность охватывает элементы управления, которые обеспечивают внутреннюю и внешнюю последовательность информации. Обеспечение целостности позволяет исключить возможность искажения данных на любом из этапов деловых операций.
- Доступность.
Доступность поддерживает полноценный и надежный доступ к информации для должностных лиц, которые имеют соответствующие полномочия. Ключевым моментом здесь является предсказуемость процессов, протекающих в сетевой среде, чтобы пользователи имели возможность доступа к необходимым данным в нужный момент времени. Одним из важных факторов доступности информации является возможность быстрого и полного восстановления системы после сбоев, чтобы не допустить его негативного влияния на функционирование компании.
Осуществление контроля информационной безопасности предприятия
Обеспечить полноценную и надежную информационную безопасность предприятия можно только при условии применения комплексного и системного подхода. Система инфобезопасности должна быть построена с учетом всех актуальных угроз и уязвимостей, также с учетом тех угроз, которые могут возникнуть в будущем. Поэтому важно обеспечить поддержку непрерывного контроля, который должен действовать ежедневно и круглосуточно. Необходимым условием является обеспечение контроля на каждом из этапов жизненного цикла информации, начиная с момента ее поступления в инфраструктуру компании и заканчивая потерей ее актуальности или уничтожением данных.
Существует несколько видов контроля информационной безопасности, внедрение которых позволяет компании снижать риски в этой сфере и поддерживать их на приемлемом уровне. В том числе различают:
- Административный контроль.
Административный контроль информационной безопасности — это система, состоящая из комплекса установленных стандартов, принципов и процедур. Этот вид контроля определяет границы для осуществления бизнес-процессов и управления персоналом. Он включает законодательные и нормативные акты, принятую на предприятии политику корпоративной безопасности, систему найма сотрудников, дисциплинарные и другие меры.
- Логический контроль.
Логический контроль предусматривает использование средств управления (средств технического контроля), которые защищают информационные системы от нежелательного доступа. Эти средства объединяют специальное ПО, брандмауэры, пароли и т. д.
- Физический контроль.
Физический контроль сосредоточен на среде рабочих мест и средствах вычисления. В том числе он предусматривает обеспечение эффективного функционирования инженерных систем зданий предприятия, работа которых может повлиять на хранение и передачу информации. К таким системам относятся отопление и кондиционирование, противопожарные системы. Другой важной составляющей физического контроля являются системы контроля и управления доступом на объекты.
Виды угроз информационной безопасности
Информационная инфраструктура предприятия постоянно подвергается многочисленным угрозам, которые по своему происхождению делятся на несколько видов:
- Естественные. Угрозы, вызванные причинами, не зависящими от человека. К их числу относятся ураганы, пожары, удары молнии, наводнения, другие природные катаклизмы.
- Искусственные. Комплекс угроз информационной безопасности созданных человеком. Искусственные угрозы, в свою очередь, делят на преднамеренные и непреднамеренные. К преднамеренным угрозам относят действия конкурентов, хакерские атаки, вредительство обиженных работников и т. д. Непреднамеренные угрозы возникают в результате действий, совершенных из-за недостатка компетентности или по неосторожности.
- Внутренние. Угрозы, которые возникают внутри информационной инфраструктуры предприятия.
- Внешние. Угрозы, которые имеют происхождение за пределами информационной инфраструктуры предприятия.
В зависимости от характера воздействия угрозы информационной безопасности делятся на пассивные и активные. Пассивные угрозы — это факторы воздействия, которые не могут изменять содержание и структуру информации. Активные угрозы способны вносить такие изменения. К их числу относят, например, воздействие вредоносного ПО.
Главную опасность представляют искусственные преднамеренные угрозы. Учитывая все более возрастающую компьютеризацию всех сфер бизнеса и рост количества электронных транзакций, эти угрозы также бурно развиваются. В поисках способов получения секретных сведений и нанесения вреда компаниям злоумышленники активно используют современные технологии и программные решения. Их действия могут наносить значительный ущерб, в том числе в виде прямых финансовых потерь или утраты интеллектуальной собственности. Поэтому информационная безопасность предприятия также должна строиться на базе передовых технологий с использованием актуальных средств защиты данных.
Средства защиты информации
Средствами защиты информации называют устройства, приборы, приспособления, программное обеспечение, организационные меры, которые предотвращают утечку информации и обеспечивают ее сохранение в условиях воздействия всего спектра актуальных угроз.
В зависимости от используемых способов реализации, средства защиты информационной безопасности бывают следующих типов:
- Организационные. Комплекс мер и средств организационно-правового и организационно-технического характера. К первым относят законодательные и нормативные акты, локальные нормативные документы организации. Второй тип — это меры по обслуживанию информационной инфраструктуры объекта.
- Аппаратные (технические). Специальное оборудование и устройство, предотвращающее утечки, защищающее от проникновения в ИТ-инфраструктуру.
- Программные. Специальное ПО, предназначенное для защиты, контроля, хранения информации.
- Программно-аппаратные. Специальное оборудование с установленным программным обеспечением для защиты данных.
Наиболее широкое распространение сегодня получили программные средства защиты информации. Они в полной мере отвечают требованиям эффективности и актуальности, регулярно обновляются, эффективно реагируя на актуальные угрозы искусственного характера.
Для защиты данных в современных сетях применяется широкий спектр специализированного программного обеспечения. Можно выделить следующие типы программных средств защиты:
- Антивирусное ПО. Специализированный софт для обнаружения, нейтрализации и удаления компьютерных вирусов. Обнаружение может выполняться во время проверок по расписанию или запущенных администратором. Программы выявляют и блокируют подозрительную активность программ в «горячем» режиме. Кроме того, современные антивирусы могут возобновлять файлы, зараженные вредоносными программами.
- Облачные антивирусы (CloudAV). Сочетание возможностей современных антивирусных программ с облачными технологиями. К таким решениям относятся сервисы Crowdstrike, Panda Cloud Antivirus, Immunet и многие другие. Весь основной функционал ПО размещен в облаке, а на защищаемом компьютере устанавливается клиент — программа с минимальными техническими требованиями. Клиент выгружает в облачный сервер основную часть анализа данных. Благодаря этому обеспечивается эффективная антивирусная защита при минимальных ресурсных требованиях к оборудованию. Решения CloudAV оптимально подходят для защиты ПК, которые не имеют достаточной свободной вычислительной мощности для работы стандартного антивируса.
- Решения DLP (Data Leak Prevention). Специальные программные решения, предотвращающие утечку данных. Это комплекс технологий, которые эффективно защищают предприятия от потери конфиденциальной информации в силу самых разных причин. Внедрение и поддержка DLP — требует достаточно больших вложений и усилий со стороны предприятия. Однако эта мера способна значительно уменьшить уровень информационных рисков для IT-инфраструктуры компании.
- Системы криптографии. (DES — Data Encryption Standard, AES — Advanced Encryption Standard). Преобразуют данные, после чего их расшифровка может быть выполнена только с использованием соответствующих шифров. Помимо этого, криптография может использовать другие полезные приложения для защиты информации, в том числе дайджесты сообщений, методы проверки подлинности, зашифрованные сетевые коммуникации, цифровые подписи. Сегодня новые приложения, использующие зашифрованные коммуникации, например, Secure Shell (SSH), постепенно вытесняют устаревающие решения, не обеспечивающие в современных условиях требуемый уровень безопасности, такие как Telnet и протокол передачи файлов FTP. Для шифрования беспроводной связи широко применяются современные протоколы WPA/WPA2. Также используется и достаточно старый протокол WEP, который уступает по безопасности. ITU-T G.hn и другие проводные коммуникации шифруются при помощи AES, а аутентификацию и обмен ключами в них обеспечивает X.1035. Для шифрования электронной почты используют такие приложения как PGP и GnuPG.
- Межсетевые экраны (МСЭ). Решения, которые обеспечивают фильтрацию и блокировку нежелательного трафика, контролируют доступ в сеть. Различают такие виды файерволов, как сетевые и хост-серверы. Сетевые файерволы размещаются на шлюзовых ПК LAN, WAN и в интрасетях. Межсетевой экран может быть выполнен в формате программы установленной на обычный компьютер или иметь программно-аппаратное исполнение. Программно-аппаратный файервол — это специальное устройство на базе операционной системы с установленным МСЭ. Помимо основных функций, межсетевые экраны предлагают ряд дополнительных решений для внутренней сети. Например, выступают в качестве сервера VPN или DHCP.
- Виртуальные частные сети VPN (Virtual Private Network). Решение, использующее в рамках общедоступной сети частную сеть для передачи и приема данных, что дает эффективную защиту подключенных к сети приложений. При помощи VPN обеспечивается возможность удаленного подключения к локальной сети, создания общей сети для головного офиса с филиалами. Непосредственно для пользователей VPN дает возможность скрытия местоположения и защиты выполняемых в сети действий.
- Прокси-сервер. Выполняет функцию шлюза между компьютером и внешним сервером. Запрос, отправляемый пользователем на сервер, вначале поступает на proxy и уже от его имени поступает на сервер. Возврат ответа производится также с прохождением промежуточного звена — proxy. Преимуществом является то, что кэш прокси-сервера доступен всем пользователем. Это повышает удобство в работе, поскольку наиболее часто запрашиваемые ресурсы находятся в кэше.
- Решения SIEM — системы мониторинга и управления информационной безопасностью. Специализированное ПО, которое берет на себя функцию управления безопасностью данных. SIEM обеспечивает сбор сведений о событиях из всех источников, поддерживающих безопасность, в том числе от антивирусного ПО, IPS, файерволов, а также от операционных систем и т. д. Также SIEM выполняет анализ собранных данных и обеспечивает их централизованное хранение в журнале событий. На основании анализа данных система выявляет возможные сбои, хакерские атаки, другие отклонения и возможные информационные угрозы.
Учитывая широкое распространение мобильных устройств, которые сотрудники часто используют за пределами предприятия в корпоративных целях, в системе информационной безопасности обязательно должен учитываться и этот фактор. Для контроля мобильных устройств персонала и защиты информации предприятия могут применяться такие программные продукты, как Blackberry Enterprise Mobility Suite, IBM MaaS360, VMware AirWatch и другие.
Как выбрать инструменты обеспечения безопасности корпоративной информации
Обеспечение информационной безопасности сегодня является насущной потребностью, пренебрежение которой может иметь разрушительные последствия для бизнеса. Широкий набор средств и решений, доступных сегодня защиты информации, может затруднять выбор для предприятия. Обеспечить безопасность IT-инфраструктуры позволяет определенный набор инструментов, который необходимо подбирать индивидуально. Это позволит реализовать многоуровневую систему защиты информации, которая обеспечит надежную нейтрализацию актуальных угроз.
Выбор инструментов защиты корпоративной информации при создании такой системы должен производиться с учетом целого комплекса факторов, таких как:
- сфера деятельности компании;
- размер бизнеса, наличие территориально отдаленных подразделений, а также подразделений, нуждающихся в особой IT-защите;
- техническая оснащенность компании — состав и характеристики используемого оборудования, уровень морального износа и т. д.;
- уровень подготовки и опыта персонала, занятого обслуживанием информационной инфраструктуры.
Собственное ИТ-подразделение компании обычно оказывается не в силах реализовать такой комплексный подход. Результатом этого становится использование стандартных решений, которые не могут отвечать современным вызовам в плане безопасности данных. Это приводит к возникновению больших пробелов в этой сфере, что грозит потерей или повреждением ценной информации в результате несанкционированного вмешательства со стороны.
Поэтому разработку и внедрение системы обеспечения безопасности информации на предприятии должны проводить профессионалы. Компания Смарт-Софт поможет обеспечить создание такой системы с использованием собственных продуктов, доказавших высокий уровень эффективности.
Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку
За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».
Email*
Подписаться
Основные составляющие информационной безопасности
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Поясним понятия доступности, целостности и конфиденциальности.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельнымЕсли вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?
Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).
Важность и сложность проблемы информационной безопасности
Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
Для иллюстрации этого положения ограничимся несколькими примерами.
В Доктрине информационной безопасности Российской Федерации (здесь, подчеркнем, термин «информационная безопасность» используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
Американский ракетный крейсер «Йорктаун» был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.
Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом и отправила от имени своей жертвы электронное письмо с отказом от стипендии.
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасности есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами.
К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.
В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.
НОУ ИНТУИТ | Лекция | Понятие информационной безопасности. Основные составляющие. Важность проблемы
Аннотация: Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений. Ниже описаны основные ее составляющие – конфиденциальность, целостность, доступность. Приводится статистика нарушений ИБ, описываются наиболее характерные случаи.
Понятие информационной безопасности
Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ «Об участии в международном информационном обмене» (закон утратил силу, в настоящее время действует «Об информации, информационных технологиях и о защите информации») информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин «информационная безопасность» будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
- Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором – «да нет у нас никаких секретов, лишь бы все работало».
- Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель ИБ ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на «горчичнике», прилепленном к монитору).
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Токен является ключевым элементом информационной безопасности в новых условиях
Денис Калемберг, Банковские технологии №2, 02/10
Денис Калемберг, Банковские технологии №2, 02/10
Распространение систем ДБО привело к новым проблемам в области обеспечения информационной безопасности банков. Об этих проблемах и путях их решения мы поговорили с менеджером по работе с корпоративными заказчиками компании Aladdin Денисом Калембергом.
Одним из наиболее уязвимых мест в системе обеспечения информационной безопасности банков считаются решения дистанционного банковского обслуживания (ДБО). Насколько такое утверждение верно? Каковы основные угрозы системам ДБО сегодня?
Денис Калемберг: Вряд ли системы ДБО являются более уязвимыми, чем любые другие стандартные автоматизированные системы. В большинстве случаев разработчиками и тех, и других систем выступают одни и те же компании, и технологии защиты во многом пересекаются. Системы ДБО традиционно считаются потенциально опасными не потому, что они сами по себе уязвимы и легко вскрываемы, а потому, что они по сути своей размывают периметр информационной безопасности предприятия. Решения ДБО, по определению, предполагают вынесение рабочих мест доступа к банковским ресурсам за пределы защищенного периметра, где их контролирует служба информационной безопасности (ИБ), в некую недоверенную зону. При этом люди, которые работают на таких рабочих местах, в подавляющем большинстве случаев не являются специалистами в области информационной безопасности (ИБ). Они могут использовать устаревшие версии антивирусных систем, не обладают компетенциями в области настройки систем защиты, небрежно хранят секретные данные для доступа в сеть и многое другое. Поэтому правильнее в данном случае говорить не об уязвимости систем ДБО, а о проблеме вынужденного размывания периметра информационной безопасности банка. Соответственно, с распространением подобных систем возникает необходимость изменения подхода к обеспечению информационной безопасности. Создание закрытого периметра в современных условиях не представляется возможным, а значит возникает необходимость в использовании новых средств защиты данных, в соответствии с новыми угрозами безопасности.
Каким основным угрозам подвергаются системы ДБО?
Д. К.: Актуальные угрозы сегодня сочетают в себе элементы социальной инженерии с технологическими средствами воздействия на атакуемый объект. В результате образуется довольно серьезный комплекс угроз, к которому трудно найти адекватные средства защиты. На мой взгляд, говорить о 100%-ном уровне защиты систем ДБО сегодня нельзя, тем не менее можно существенно снизить риски потери значимой информации и сделать атаки на информационные системы банка гораздо более дорогими и ресурсоемкими, что снизит как эффективность, так и рентабельность подобной деятельности.
Насколько эффективным сегодня является использование традиционных средств защиты ДБО (шифрование трафика, межсетевое экранирование, штатные средства защиты ОС и СУБД и т. д.)? Требуется ли их замена на новые защитные решения?
Д. К.: Традиционные средства являются обязательными. Они должны присутствовать по умолчанию. Угрозы, от которых защищали эти средства на момент своего создания, никуда не делись. Однако следует учитывать, что все эти средства нуждаются в постоянном сопровождении, обновлении и т. п. Обеспечение информационной безопасности – это не разовое мероприятие, а процесс, которым невозможно заниматься без специальной подготовки. Поскольку угрозы развиваются, средства защиты также должны развиваться.
Какие средства защиты могут помочь справиться с новыми угрозами?
Д. К.: В последнее время основной вектор атаки на информационные системы направлен на хищение закрытого ключа электронно-цифровой подписи (ЭЦП). Это значит, что первоочередной задачей систем безопасности является защита этого ключа, для чего применяются специализированные портативные устройства – так называемые токены. Эти устройства позволяют защитить ключ от несанкционированного доступа как на программном уровне, поскольку воспользоваться им может только человек, знающий соответствующий PIN-код, так и на физическом уровне. Даже если токен будет украден и разобран на детали злоумышленниками, получить доступ к хранящейся на нем информации невозможно.
Такие устройства также разделяются по уровням защищенности информации. Есть токены, которые просто хранят криптографические ключи, есть те, которые аппаратно выполняют криптопреобразование, при этом закрытый ключ является неизвлекаемым. В любом случае основная задача токена – надежная защита ключей ЭЦП.
Разумеется, остаются и другие звенья в цепочке деятельности, на которые может быть направлена атака, поэтому компания Aladdin придерживается принципа комплексности при обеспечении информационной безопасности. Для этого осуществляется тесное взаимодействие с производителями систем дистанционного банкинга, разработчиками криптографических решений и т. д. Мы начинаем сотрудничество с ними уже на этапе разработки систем, чтобы комплексное решение изначально было интегрированным и, как следствие, более надежным.
Поставка токенов Aladdin возможна только в составе общего проекта по обеспечению ИБ или возможны другие варианты?
Д. К.: Практически каждый проект по повышению уровня безопасности системы ДБО является индивидуальным. Многое зависит не только от самой системы, от того, какие СКЗИ в ней используются, но и от бизнес-процессов банка, от особенностей обслуживания клиентов и прочего. Мы часто консультируем не только IT-службы, но и бизнес-подразделения банка по вопросам более эффективного использования систем ДБО, и наших продуктов в частности.
По вашему опыту, токены чаще используют частные клиенты банков или юридические лица?
Д. К.: Первыми их начали использовать клиенты из числа юридических лиц. Это объясняется и требованиями к ИБ на предприятиях, и большей финансовой свободой. Тем не менее сегодня все активнее эти решения входят в обиход частных клиентов. В конце 2009 г. мы начали работу по нескольким проектам в банках, которые предоставляют своим розничным клиентам наши продукты для обеспечения информационной безопасности. Я такую тенденцию связываю в том числе и с развитием систем ДБО, которое наблюдалось в 2009, кризисном году. Многие банки приняли решение о сокращении отделений и более активном развитии ДБО как инструмента для снижения расходов. Стоит только отметить, что в проектах с физическими лицами чаще используется другой тип токенов – генераторы одноразовых паролей (ОТР-устройства). Их не нужно подключать к USB-порту, что обеспечивает свободу в выборе точки доступа к своему банковскому аккаунту для частных пользователей. Мобильность – важный фактор для перспективности развития мобильного банкинга, в котором трудно использовать USB-устройства.
Частные лица, да и корпоративные пользователи время от времени нуждаются в получении банковских услуг, находясь вдали от своего рабочего места. Насколько применение ваших решений позволяет обеспечить свободу перемещения пользователей и высокий уровень безопасности?
Д. К.: Действительно, к нам обращаются с запросами предоставить такие инструменты, которые позволяют обеспечить защищенный доступ в системы ДБО из любого места, например интернет-кафе и т. п. В ближайшее время появится новое поколение ключей – Token Anywhere. Это ключи, в которые прошивается интернет-адрес (URL) банка, и клиент, подключив его к компьютеру, автоматически попадает на сайт своего банка. Это не только удобно, но и повышает уровень безопасности, поскольку защищает от угроз фишинга. Ключи Token Anywhеre также не требуют установки драйверов, их достаточно подключить и сразу начать работать. В ближайшее время мы портируем на них российскую криптографию и выпустим на рынок. Насколько я знаю, таких технологий в настоящее время нет больше ни у кого из производителей.
И что, действительно можно будет получить защищенный доступ к банку из любого интернет-кафе?
Д. К.: Возможность такого использования есть, но как специалист по информационной безопасности я не рекомендую совершать финансовые операции на недоверенных рабочих станциях. Электронный ключ защищает ЭЦП, но типы атак могут быть разными, не всегда связанными с хищением подписи. Мы – приверженцы комплексного подхода. Как минимум необходимо наличие на рабочей станции актуального антивируса, соответствующей настройки систем защиты и т. д.
С распространением систем ДБО и других решений удаленного доступа исчезает само понятие «периметр информационной безопасности». Какую роль в этих новых условиях и подходах к обеспечению ИБ могут играть аппаратные средства, в частности токены?
Д. К.: Действительно, в системах удаленного доступа рабочие места фактически выносятся за пределы банка, и их количество может быть неограниченным. В концепции «размытого периметра» особое значение приобретают защищенный доступ и надежная аутентификация пользователя. Токен создавался именно как средство аутентификации, это его основное предназначение. После того как человек аутентифицировался и начал работать с защищенной системой, не менее важным также становится подтверждение авторства созданных документов и их целостность. Таким образом, токен является ключевым элементом обеспечения информационной безопасности в новых условиях работы.
С какими угрозами в области информационной безопасности могут столкнуться банки в ближайшей перспективе? Как вы готовитесь к борьбе с этими угрозами?
Д. К.: В ближайший год продолжатся атаки, связанные с попытками хищения ключей, размещенных на незащищенных носителях. Поскольку не все банки внедрили для своих систем ДБО аппаратные средства защиты ключей, часть этих атак будут успешными. Организация атаки на незащищенный носитель сегодня не требует больших усилий. Не секрет, что сейчас можно за небольшую сумму купить в Интернете некий программный конструктор, который позволит собрать троянскую программу, способную похищать незащищенные ключи. Так что работа банков в направлении защиты своих ДБО аппаратными средствами не только продолжится, но, скорее всего, существенно активизируется в наступившем году.
В то же время количество банков, уже внедривших решения безопасности на базе токенов, продолжает расти. Соответственно, со стороны злоумышленников предпринимаются попытки создать новые инструменты для хищений. В сотрудничестве с партнерами мы проводим анализ потенциальных угроз и уже зафиксировали попытки создания зловредного ПО, которое будет атаковать не сам закрытый ключ, а осуществлять подмену документов на этапе их передачи в токен для подписи. По нашим прогнозам, к концу 2010 г. эта угроза станет вполне осязаемой. Совместно с разработчиками систем ДБО мы трудимся над созданием эффективных способов борьбы с ней.
Центр Прозрачности Huawei – значимый элемент в укреплении Доверия
В июне 2021 года в г. Дунгуань (КНР) был официально открыт крупнейший Центр прозрачности по кибербезопасности и защите конфиденциальности компании Huawei. Это уже седьмой Центр прозрачности Huawei в мире.
Пока мы углубляем цифровизацию по всему миру, кибербезопасность становится все более важным аспектом развития экономики и ИКТ, чем когда-либо прежде, особенно в условиях коронавирусных ограничений и развития удаленной работы.
Кибербезопасность — это сложная, меняющаяся проблема, которая требует заинтересованного сотрудничества и обмена информацией. В этих вопросах все еще нет основанного на стандартах, скоординированного подхода во всей отрасли, особенно, когда речь идет об управлении, технических возможностях, сертификации и сотрудничестве.
Действующий Председатель Совета директоров Huawei Кен Ху в своем приветствии подчеркнул, что «в Huawei кибербезопасность является главным приоритетом. За последние 30 лет мы приобрели более трех миллиардов клиентов по всему миру. Мы поддерживаем устойчивую работу более чем 1 500 операторских сетей в более чем 170 странах. И за все это время мы накопили солидный опыт в кибербезопасности. Конечно, имеющиеся системы гарантий кибербезопасности не были разработаны в вакууме. Они также являются результатом регулярного взаимодействия, совместных исследований и совместных инноваций с нашими клиентами, партнерами, регулирующими органами и организациями по стандартизации по всему миру».
Основными задачами Центра в Дунгуане являются демонстрация новейших решений в области ИКТ и обмен опытом, содействие коммуникации и совместным инновациям, поддержка заинтересованных сторон со всего мира, укрепление сотрудничества по стандартам безопасности, проверки и инноваций, предоставление платформы для тестирования и проверки безопасности. Именно для этого и создан новый Центр прозрачности по кибербезопасности и защите конфиденциальности компании Huawei. Центр располагает лучшими средствами, методиками и инструментарием для тестирования и оценки, а также экспертами, доступными для наших партнеров, клиентов и коллег из отрасли.
Похожие Центры созданы и уже активно используются экспертами отрасли ИКТ в Китае, Канаде, Бельгии, Англии, Германии и Дубае.
Huawei дает клиентам и правительствам возможность прийти и проверить продукцию компании, получить доступ к исходным кодам, привлечь их собственных специалистов и специалистов третьих сторон, использовать инструментарий Huawei или свои инструменты. Это Huawei называет «многочисленными глазами и руками» для проверки и контроля. И мир должен знать результаты этой деятельности. Huawei показывает всем, что может это делать открыто и эффективно.
Повышение безопасности продукта является ключевым фактором снижения рисков, связанных с инцидентами в области кибербезопасности, которые происходят в мире. Главная цель Huawei — решить проблемы, которые стоят перед заказчиками в области ИКТ, кибербезопасности, защиты конфиденциальности и продолжать поддерживать клиентов компании в режиме 24х7.
Однако, фокусом этой деятельности является укрепление Доверия к компании Huawei, к ее решениям, продуктам и сервисам со стороны заказчиков, регуляторов и ИКТ-индустрии. Доверие – это сложное социально-психологическое понятие в области отношений, которые имеют рациональную и эмоциональную составляющие. Понятие «Доверие» имеет множество определений и толкований. Его основные компоненты были раскрыты автором в статье: «Доверие и качество: основной приоритет Huawei в России» (https://huawei.ru/news/huawei_building_trust/).
Вместе с тем, доверие или недоверие должны основываться на фактах и является результатом открытого взаимодействия сторон. Факты, в свою очередь, должны поддаваться проверке, а проверка должна основываться на стандартах. Huawei следует этому принципу на протяжении последних 10 лет.
Директор глобального отдела кибербезопасности и защиты данных Huawei Шон Ян в своем выступлении при открытии Центра раскрыл основные требования по внедрению и контролю разработанного в Huawei базового уровня общих требований к безопасности продуктов Huawei, ко всему процессу их разработки, а также ко всей цепочке поставок компонентов. Он отметил: «Huawei разработала этот базовый уровень на основе общих и критичных требований в области кибербезопасности, выявленных в ходе изучения законов и правил в различных странах, а также глубокого понимания правовых и нормативных требований, бизнес-требований клиентов, передовой практики ИКТ-отрасли, известных проблем и многого другого».
Базовый уровень состоит из 54 требований в 15 категориях, таких как: защита контента связи, защита персональных данных, предотвращение вторжений, сетевое экранирование, контроль доступа, системная защита, защита приложений, криптография, защита чувствительных данных, управление и поддержка безопасности, безопасная загрузка и обеспечение целостности, безопасное документирование, безопасное программирование, безопасная сборка, управление жизненным циклом.
Эта система требований схожа с уровнями и профилями защиты, введенными в действие ФСТЭК России, которые Huawei строго выполняет при проведении оценки соответствия и сертификации по требованиям безопасности продукции Huawei в России.
Тем не менее, Базовый уровень требований — это развивающаяся модель. Huawei будет ее использовать, чтобы двигаться вперед по пути создания инфраструктуры безопасности и конфиденциальности, что будет способствовать реализации стратегии безопасности, стимулировать международное сотрудничество, практику и коммуникации, необходимые для сохранения экосистемы кибербезопасности, развитию государственного и частного партнерства в интересах безопасного цифрового будущего.
В последнее время эксперты некоторых стран поднимают вопрос о предоставлении исходного кода программного обеспечения продукции Huawei. Мы можем это сделать в рамках взаимодействия по технологиям с открытым исходным кодом. Однако, наши партнеры при работе с кодом должны осознавать, что для этого нужны сильные технические возможности, широкий набор инструментария, развитая инфраструктура, современные компоненты, сетевые высокоскоростные микропроцессоры, надлежащий опыт и знания и т.п. – без всего этого любая демонстрация и тесты не будут эффективными.
Джон Саффолк, Глобальный директор по кибербезопасности и защите конфиденциальности Huawei, в своем заключительном выступлении отметил: «Следует отметить, что многие тысячи компаний и многие правительства, которые протестировали и оценили продукты Huawei, находят некоторые уязвимости, но они никогда не нашли никаких реальных проблем. Мы имеем эволюционирующий ландшафт угроз безопасности. Мы ценим стандарты, оценки, сертификацию, но все это требует времени, а ИКТ-решения, как ключевой двигатель промышленных и экономических преобразований, развиваются постоянно. Важна скорость в доработке решений и исправлении ошибок, поэтому нужны такие Центры прозрачности и оценки, которые помогают постоянно тестировать продукцию. Любой клиент Huawei должен убедиться, что наши продукция и решения проходят непрерывную оценку их качества и безопасности».
Кибербезопасность — это не гонка, это ежедневная, целенаправленная и системная работа коллективов, где продуманы все детали на всех уровнях и во всех процессах.
Именно такую работу проводит Huawei и в Российской Федерации, чтобы достойно занимать место одного из ведущих лидеров в области ИКТ и надежного партнера.
Александр Зубарев
Директор по информационной безопасности
Huawei в России
КТН, СНС
Сведения о соответствии требованиям для Руководства по мерам информационной безопасности для Новой Зеландии — Azure Policy
- Чтение занимает 21 мин
В этой статье
В следующей статье подробно описано, как определение встроенной инициативы Политики Azure по обеспечению соответствия нормативным требованиям сопоставляется с доменами соответствия и средствами управления в Руководстве по мерам информационной безопасности для Новой Зеландии. Дополнительные сведения об этом стандарте соответствия см. на странице с Руководством по мерам информационной безопасности для Новой Зеландии. Сведения о термине Ответственность см. в статьях Определение службы «Политика Azure» и Разделение ответственности в облаке.
Далее представлены сопоставления для средств управления, определяемых стандартом Руководства по мерам информационной безопасности для Новой Зеландии. Используйте панель навигации справа для перехода непосредственно к конкретной области соответствия нормативным требованиям. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы по обеспечению соответствия нормативным требованиям ISM Restricted (Новая Зеландия) .
Эта встроенная инициатива развертывается в составе примера схемы для Руководства по мерам информационной безопасности для Новой Зеландии.
Важно!
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Мониторинг информационной безопасности
6.2.5 Оценивание уязвимости
Идентификатор. NZISM Azure Security Benchmark IM-3, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория «Стандартный» Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.0.0 |
| Необходимо устранить уязвимости в конфигурациях безопасности контейнера. | Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
| Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке | Проверка указания адреса электронной почты в поле «Куда отправлять отчеты о проверке» в параметрах оценки уязвимостей. На этот адрес приходит сводка результатов при выполнении проверки на серверах SQL. | AuditIfNotExists, Disabled | 2.0.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение «Оценка уязвимостей» может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов Azure SQL, у которых отключена регулярная оценка уязвимостей. Решение «Оценка уязвимостей» может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 2.0.0 |
Безопасность продуктов
12.4.4 Устранение уязвимостей в продуктах
Идентификатор. NZISM Azure Security Benchmark ES-5, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Устаревшие учетные записи должны быть удалены из подписки | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 3.0.0 |
| Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 3.0.0 |
| Внешние учетные записи с разрешениями владельца должны быть удалены из подписки | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 3.0.0 |
| Внешние учетные записи с разрешениями на запись должны быть удалены из подписки | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 3.0.0 |
| В масштабируемых наборах виртуальных машин должны быть установлены обновления системы | Аудит отсутствия обновлений для системы безопасности и критических обновлений, которые необходимо установить для защиты ваших масштабируемых наборов виртуальных машин с Windows и Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 4.0.0 |
Безопасность программного обеспечения
14.1.9 Обслуживание защищенных стандартных операционных сред
Идентификатор. NZISM Azure Security Benchmark SS-2, Собственность: Customer
14.2.4 Списки разрешенных приложений
Идентификатор. NZISM Azure Security Benchmark SS-4, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
14.5.8 Веб-приложения
Идентификатор. NZISM Azure Security Benchmark SS-8, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложение API должно быть доступно только по HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled | 1.0.0 |
| Функция CORS не должна разрешать всем ресурсам доступ к вашим веб-приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему веб-приложению всем доменам. Разрешите взаимодействие с веб-приложением только необходимым доменам. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложение-функция должно быть доступно только по HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled | 1.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как «злоумышленник в середине», прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Веб-приложение должно быть доступно только по HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled | 1.0.0 |
Контроль доступа и пароли
16.1.32 Идентификация пользователей в системе
Идентификатор. NZISM Azure Security Benchmark AC-2, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 1.0.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 1.0.0 |
| Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 1.0.0 |
| Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. | auditIfNotExists | 1.0.0 |
| Аудит компьютеров Windows с указанными участниками в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 1.0.0 |
| Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows | Развертывание Dependency Agent для виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. | DeployIfNotExists, Disabled | 2.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.0.1 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.0.1 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
16.1.35 Способы для идентификации и аутентификации пользователей в системе
Идентификатор. NZISM Azure Security Benchmark AC-3, Собственность: Customer
16.1.40 Политика выбора пароля
Идентификатор. NZISM Azure Security Benchmark AC-4, Собственность: Customer
16.1.46 Приостановка доступа
Идентификатор. NZISM Azure Security Benchmark AC-5, Собственность: Customer
16.2.5 Защита секционированной информации в системах
Идентификатор. NZISM Azure Security Benchmark AC-7, Собственность: Customer
16.3.5 Использование привилегированных учетных записей
Идентификатор. NZISM Azure Security Benchmark AC-9, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 1.0.0 |
| Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. | auditIfNotExists | 1.0.0 |
| Аудит компьютеров Windows с указанными участниками в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. на сайте https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 1.0.0 |
| Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows | Развертывание Dependency Agent для виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. | DeployIfNotExists, Disabled | 2.0.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.0.1 |
16.6.6 Ведение системных журналов управления
Идентификатор. NZISM Azure Security Benchmark AC-13, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
16.6.7 Содержимое системных журналов управления
Идентификатор. NZISM Azure Security Benchmark AC-14, Собственность: Customer
16.6.13 Архивы журналов событий
Идентификатор. NZISM Azure Security Benchmark AC-15, Собственность: Customer
16.7.34 Архитектура системы и средства управления безопасностью
Идентификатор. NZISM Azure Security Benchmark AC-17, Собственность: Customer
Шифрование
17.1.46 Снижение требований для хранения и физической передачи
Идентификатор. NZISM Azure Security Benchmark CR-2, Собственность: Customer
17.4.16 Использование TLS
Идентификатор. NZISM Azure Security Benchmark CR-6, Собственность: Customer
Безопасность сети
18.1.13 Ограничение сетевого доступа
Идентификатор. NZISM Azure Security Benchmark NS-2, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети: https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | Audit, Deny, Disabled | 2.0.1-preview |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
18.3.19 Содержимое плана реагирования на атаки типа «отказ в обслуживании» (DoS)
Идентификатор. NZISM Azure Security Benchmark NS-5, Собственность: Customer
18.4.10 Меры противодействия запуску вредоносного кода
Идентификатор. NZISM Azure Security Benchmark NS-7, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Весь интернет-трафик должен направляться через развернутую службу «Брандмауэр Azure» | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.1 |
| Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.1 |
| Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима «Обнаружение» или «Предотвращение» во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима «Обнаружение» или «Предотвращение» во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Управление данными
20.3.10 Антивирусные проверки
Идентификатор. NZISM Azure Security Benchmark DM-4, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Развертывание — настройка Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows | Развертывание агента зависимостей для масштабируемых наборов виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение «Вручную», необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. | DeployIfNotExists, Disabled | 2.0.0 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 1.1.1 |
20.4.4 Файлы баз данных
Идентификатор. NZISM Azure Security Benchmark DM-6, Собственность: Customer
| Имя (портал Azure) | Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Аудит параметров диагностики | Аудит параметров диагностики для выбранных типов ресурсов | AuditIfNotExists | 1.0.0 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На виртуальных машинах должно применяться шифрование дисков | Виртуальные машины без шифрования дисков будут отслеживаться Центром безопасности Azure (это требование носит рекомендательный характер). | AuditIfNotExists, Disabled | 2.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как «злоумышленник в середине», прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как «злоумышленник в середине», прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 1.0.0 |
| Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными | Для защиты конфиденциальности данных, передаваемых через Интернет, веб-серверы должны использовать последнюю версию стандартного протокола шифрования TLS. Протокол TLS обеспечивает защиту при передаче данных по сети с помощью сертификатов безопасности для шифрования подключений между компьютерами. | AuditIfNotExists, Disabled | 3.0.0 |
Безопасность корпоративных систем
22.1.26 Резервное копирование, восстановление, архивирование и остаточные данные
Идентификатор. NZISM Azure Security Benchmark ESS-3, Собственность: Customer
Примечание
Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и других национальных облаках.
Дальнейшие действия
Дополнительные статьи о Политике Azure:
Политика информационной безопасности — все, что вы должны знать
Угрозы безопасности постоянно развиваются, а требования соответствия становятся все более сложными. Большие и малые организации должны создать комплексную программу безопасности, чтобы решить обе проблемы. Без политики информационной безопасности невозможно координировать и обеспечивать выполнение программы безопасности в организации, а также невозможно сообщить о мерах безопасности третьим сторонам и внешним аудиторам.
Несколько ключевых характеристик делают политику безопасности эффективной: она должна охватывать безопасность на всем протяжении всей организации, быть принудительной и практичной, иметь место для изменений и обновлений и быть ориентирована на бизнес-цели вашей организации.
Из этого поста вы узнаете:
Что такое политика информационной безопасности?
Источник: InfoSec Institute
Политика информационной безопасности (ISP) — это набор правил, которыми руководствуются лица, работающие с ИТ-активами.Ваша компания может создать политику информационной безопасности, чтобы гарантировать, что ваши сотрудники и другие пользователи соблюдают протоколы и процедуры безопасности. Обновленная и актуальная политика безопасности гарантирует, что конфиденциальная информация будет доступна только авторизованным пользователям.
Важность политики информационной безопасности
Создание эффективной политики безопасности и принятие мер по обеспечению соответствия является важным шагом для предотвращения и смягчения нарушений безопасности. Чтобы ваша политика безопасности была действительно эффективной, обновляйте ее в ответ на изменения в вашей компании, новые угрозы, выводы, сделанные на основе предыдущих нарушений, и другие изменения в вашей системе безопасности.
Сделайте вашу политику информационной безопасности практичной и реализуемой. Он должен иметь систему исключений, чтобы учесть требования и срочности, возникающие в различных частях организации.
8 Элементы политики информационной безопасности
Политика безопасности может быть настолько широкой, насколько вы хотите, от всего, что связано с ИТ-безопасностью и безопасностью связанных физических активов, но может применяться в полном объеме. В следующем списке приведены некоторые важные соображения при разработке политики информационной безопасности.
1. Цель
Сначала укажите цель политики, которая может заключаться в следующем:
- Создайте общий подход к информационной безопасности.
- Обнаружение и предотвращение нарушений информационной безопасности, таких как неправомерное использование сетей, данных, приложений и компьютерных систем.
- Поддерживать репутацию организации и соблюдать этические и юридические обязательства.
- Уважайте права клиентов, в том числе как реагировать на запросы и жалобы о несоблюдении требований.
2. Аудитория
Определите аудиторию, к которой применяется политика информационной безопасности. Вы также можете указать, какие аудитории не входят в сферу действия политики (например, сотрудники другого бизнес-подразделения, которое отдельно управляет безопасностью, могут не входить в сферу действия политики).
3. Цели информационной безопасности
Помогите своей управленческой команде согласовать четко определенные цели стратегии и безопасности. Информационная безопасность фокусируется на трех основных задачах:
- Конфиденциальность — доступ к данным и информационным активам могут иметь только лица с авторизацией.
- Целостность — данные должны быть неповрежденными, точными и полными, а ИТ-системы должны оставаться в рабочем состоянии.
- Доступность — пользователи должны иметь возможность доступа к информации или системам при необходимости.
4.Политика полномочий и контроля доступа
- Иерархический шаблон — старший менеджер может иметь право решать, какие данные могут быть переданы и с кем. Политика безопасности может иметь разные условия для старшего менеджера и младшего сотрудника. Политика должна определять уровень полномочий над данными и ИТ-системами для каждой организационной роли.
- Политика сетевой безопасности — пользователи могут получить доступ к сетям и серверам компании только через уникальные учетные записи, требующие аутентификации, включая пароли, биометрические данные, идентификационные карты или жетоны.Вы должны контролировать все системы и записывать все попытки входа в систему.
5. Классификация данных
Политика должна классифицировать данные по категориям, которые могут включать «совершенно секретно», «секретно», «конфиденциально» и «общедоступно». Ваша цель при классификации данных:
- Чтобы гарантировать, что конфиденциальные данные не будут доступны лицам с более низким уровнем допуска.
- Для защиты очень важных данных и предотвращения ненужных мер безопасности для неважных данных.
6. Поддержка данных и операции
- Правила защиты данных — системы, в которых хранятся личные данные или другие конфиденциальные данные, должны быть защищены в соответствии со стандартами организации, передовыми методами, отраслевыми стандартами и соответствующими нормативными актами. Большинство стандартов безопасности требуют, как минимум, шифрование, брандмауэр и защиту от вредоносных программ.
- Резервное копирование данных — шифрование резервных копий данных в соответствии с лучшими отраслевыми практиками. Надежно храните носители резервных копий или перемещайте резервные копии в безопасное облачное хранилище.
- Перемещение данных — передача данных только по защищенным протоколам. Шифруйте любую информацию, копируемую на портативные устройства или передаваемую по общедоступной сети.
7. Осведомленность о безопасности и поведение
Поделитесь политиками ИТ-безопасности со своим персоналом. Проводите тренинги, чтобы проинформировать сотрудников о ваших процедурах и механизмах безопасности, включая меры защиты данных, меры защиты доступа и классификацию конфиденциальных данных.
- Социальная инженерия — особое внимание уделяется опасности атак социальной инженерии (например, фишинговых писем).Возложите на сотрудников ответственность за обнаружение, предотвращение и сообщение о таких атаках.
- Политика «чистого рабочего стола» — безопасные ноутбуки с помощью замка с тросиком. Уничтожайте ненужные документы. Следите за чистотой областей принтера, чтобы документы не попали в чужие руки.
- Политика допустимого использования Интернета — определите, как следует ограничивать Интернет. Разрешаете ли вы YouTube, сайты социальных сетей и т. Д.? Блокируйте нежелательные веб-сайты с помощью прокси.
8. Ответственность, права и обязанности персонала
Назначьте персонал для проверки доступа пользователей, обучения, управления изменениями, управления инцидентами, внедрения и периодического обновления политики безопасности.Обязанности должны быть четко определены как часть политики безопасности.
9 лучших практик для разработки политик информационной безопасности
- Информация и классификация данных — может сделать или сломать вашу программу безопасности. Плохая информация и классификация данных могут сделать ваши системы открытыми для атак. Кроме того, отсутствие неэффективного управления ресурсами может повлечь за собой накладные расходы. Четкая политика классификации помогает организациям контролировать распределение своих активов безопасности.
- ИТ-операции и администрирование — должны работать вместе, чтобы соответствовать требованиям и требованиям безопасности. Отсутствие сотрудничества между отделами может привести к ошибкам конфигурации. Команды, которые работают вместе, могут координировать оценку и идентификацию рисков во всех отделах, чтобы снизить риски.
- План реагирования на инциденты безопасности — помогает инициировать соответствующие действия по исправлению положения во время инцидентов безопасности. Стратегия инцидентов безопасности предоставляет руководство, которое включает первоначальное реагирование на угрозу, определение приоритетов и соответствующие исправления.
- Политика SaaS и облачных вычислений — предоставляет организации четкие рекомендации по внедрению облака и SaaS, которые могут стать основой для единой облачной экосистемы. Эта политика может помочь уменьшить неэффективные осложнения и плохое использование облачных ресурсов.
- Политики допустимого использования (AUP) — помогает предотвратить утечки данных, которые происходят из-за неправильного использования ресурсов компании. Прозрачные AUP помогают удерживать весь персонал в соответствии с надлежащим использованием технологических ресурсов компании.
- Положения об управлении идентификацией и доступом (IAM) — позвольте ИТ-администраторам авторизовать системы и приложения для нужных лиц и сообщить сотрудникам, как использовать и создавать пароли безопасным способом. Простая политика паролей может снизить риски идентификации и доступа.
- Политика безопасности данных — описывает технические операции организации и стандарты допустимого использования в соответствии со Стандартом безопасности данных индустрии платежных карт (PCI DSS).
- Правила конфиденциальности — государственные правила, такие как Общий регламент по защите данных (GDPR), защищают конфиденциальность конечных пользователей. Организации, которые не защищают конфиденциальность своих пользователей, рискуют потерять свой авторитет и могут быть оштрафованы.
- Персональные и мобильные устройства — в настоящее время большинство организаций перешли в облако. Компании, которые поощряют сотрудников к доступу к программным активам компании из любого места, рискуют внести уязвимости через личные устройства, такие как ноутбуки и смартфоны.Создание политики надлежащей безопасности личных устройств может помочь предотвратить воздействие угроз через активы, принадлежащие сотрудникам.
Хотите узнать больше об информационной безопасности?
Посмотрите эти статьи:
5 основных элементов информационной безопасности
Топ 5 ключевых элементов информационной безопасности и ее критических элементов, включая системы и оборудование, которые используют, хранят и передают эту информацию. Необходимые инструменты: политика, осведомленность, обучение, образование, технологии и т. Д.ИБ — это применение мер по обеспечению безопасности и конфиденциальности данных путем управления их хранением и распространением. Информационная безопасность имеет как технические, так и социальные последствия. Система информационной безопасности — это процесс защиты и защиты данных от несанкционированного доступа, раскрытия, уничтожения или нарушения.
Связанный продукт: Сертифицированный этичный хакер | Сертификация CEHОрганизация, которая пытается создать действующего интернет-провайдера, должна иметь четко определенные цели в отношении безопасности И стратегии.Об этом менеджмент договорился. Любые существующие диссонансы в этом контексте могут сделать проект политики безопасности данных нефункциональным. Самый важный фактор, который должен иметь в виду специалист по безопасности, — это его знание. Практика управления защитой позволила бы ему включить их в документы. Ему доверили составить черновик, и это может быть гарантией полноты, качества и работоспособности.
Упрощение формулировок политики — один из факторов, который сгладит различия и гарантирует согласие между управленческими работниками.Следовательно, следует избегать двусмысленных выражений. Остерегайтесь также правильных значений терминов или общеупотребительных слов. Например, «должен» категорическая возможность обращения, тогда как «следует» означает определенный уровень усмотрения. В идеале, политика должна быть в кратчайшие сроки доведена до цели. Следует избегать повторения формулировок политики (например, бессмысленного повторения в письменной форме). Более того, потому что это создало бы документы ветреные и неправильные, с неразборчивостью, что затрудняет эволюцию. В конце концов, множество деталей может помешать полному соответствию на уровне политики.
Таким образом, однако, по мнению руководства, ИТ-безопасность выглядит как один из основных этапов. Однажды кто-то намеревается ввести в действие новые правила в этом отделе. Безопасность квалифицированный специалист должен подтвердить, что ISP имеет одинаковую институциональную значимость, как и различные политики, принятые внутри корпорации. В случае, если корпорация имеет размерную структуру, политика может стать проблемой и, таким образом, будет разделена. Чтобы определить сделки в рамках предполагаемого набора этой организации.
IS определяется как «состояние скважинной информации и инфраструктуры, при котором вероятность кражи, подделки и нарушения информации и услуг остается низкой или допустимой».Он опирается на пять основных элементов: конфиденциальность, целостность, доступность, подлинность и неизменность.
Данные и информационные активы должны быть предоставлены лицам, имеющим лицензию на доступ, и не должны разглашаться третьим лицам; I Гарантия конфиденциальности, что информация доступна тем, у кого есть разрешение на доступ. Нарушение конфиденциальности может произойти из-за неправильной обработки данных или попытки взлома .Он включает в себя классификацию данных, шифрование данных и правильную утилизацию оборудования (например, DVD, CD и т. Д.). Конфиденциальность — это грубо говоря, уважение к конфиденциальности. Меры, предпринимаемые для подтверждения конфиденциальности, предназначены для предотвращения попадания конфиденциальных данных не тем людям. Принимая во внимание, что обеспечение того, чтобы правильные люди действительно получили это: доступ должен быть ограничен, те, у кого есть лицензия, просматривают рассматриваемую информацию. Обычно информацию классифицируют в зависимости от количества и вида возможных травм.Это составляют непреднамеренные руки. Затем в соответствии с этими классами будет реализовано множество или менее строгих мер.
2. ЦелостностьСохранение целостности, полноты и правильности информации и работоспособности ИТ-систем; Целостность — это надежность данных или ресурсов для предотвращения ненадлежащих и несанкционированных изменений, гарантия того, что информация является достаточно точной для ее цели. Меры по поддержанию целостности данных могут включать контрольную сумму (число, полученное математической функцией для проверки того, что данный блок данных не изменен) и контроль доступа (который гарантирует, что только авторизованные люди могут обновлять, добавлять и удалять данные для защиты. его целостность).Целостность предполагает поддержание согласованности, точности и достоверности информации на протяжении всего ее жизненного цикла.
Также читайте: Что такое этический взлом? И типы взломаИнформация не должна изменяться при передаче, и должны быть приняты меры для подтверждения того, что информация не может быть изменена посторонними лицами (например, в нарушение конфиденциальности). Эти меры включают права доступа к файлам и контроль доступа пользователей. Возможно, управление версиями не сможет предотвратить появление проблем с неправильными изменениями или случайным удалением лицензированными пользователями.Кроме того, должны быть предусмотрены некоторые средства для обнаружения любых изменений в информации, которые могут произойти в результате не связанных с человеком событий, таких как электромагнитный импульс (ЭМИ) или сбой сервера. Некоторая информация может включать контрольную сумму, даже криптографическую контрольную сумму для проверки целостности. Следует предлагать резервные копии или резервные копии, чтобы восстановить поврежденную информацию до ее правильного состояния.
3. НаличиеОбъектив, указывающий на то, что данные или система находятся в распоряжении пользователей лицензии, когда они потребуются.Доступность — это гарантия того, что системы, отвечающие за доставку, хранение и обработку информации, доступны по требованию авторизованных пользователей. Доступность означает, что данные доступны лицензированным пользователям.
Если злоумышленник AN не сможет скомпрометировать основные компоненты безопасности данных (см. Выше), он попытается выполнить такие атаки, как отказ в обслуживании, в результате чего сервер будет отключен, в результате чего веб-сайт станет недоступен для законных пользователей из-за отсутствие доступности.Меры по поддержанию доступности данных могут включать избыточные системные дисковые массивы и кластерные Машины, антивирусное программное обеспечение, предотвращающее разрушение сетей вредоносными программами, и распределенные системы предотвращения отказа в обслуживании (DDoS).
4. ПодлинностьПолитика безопасности включает в себя иерархический шаблон. Это означает, что неполноценные сотрудники, как правило, не будут делиться небольшим количеством необходимых им данных, если они явно не одобрены. И наоборот, у старшего менеджера может быть достаточно полномочий, чтобы сделать выбор, какой информацией и кому делиться, что означает, что они не связаны эквивалентными условиями политики безопасности данных.Логика требует, чтобы интернет-провайдер обратился к каждому базовому положению в организации со спецификациями, которые прояснят их авторитетный статус. Под подлинностью понимается характеристика сообщения, документа или любых данных, которые обеспечивают качество подлинности или искажения. Основная роль аутентификации состоит в том, чтобы подтвердить, что пользователь является подлинным, тем, кем он / она себя называет. Такие элементы управления, как биометрические данные, смарт-карты и цифровые сертификаты, обеспечивают аутентичность данных, транзакций, сообщений или документов.
Пользователь должен подтвердить права доступа и личность. Обычно для этого метода используются имена пользователей и пароли. Однако хакеры могут обойти этот вид аутентификации. Гораздо лучшей формой аутентификации являются биометрические данные, поскольку они зависят от присутствия пользователя и биологических особенностей (сетчатка глаза или отпечатки пальцев). Методология аутентификации PKI (Public Key Infrastructure) использует цифровые сертификаты для подтверждения личности пользователя. Различные инструменты аутентификации будут ключевыми картами или USB-токенами.Лучшая угроза аутентификации возникает с незащищенными электронными письмами, которые кажутся законными.
5. Фиксация отказа от авторстваЭто гарантия того, что кто-то не может отрицать истинность чего-то одного. Это может быть юридическая мысль, которая широко используется в защите данных и относится к услуге, которая обеспечивает доказательство происхождения информации, а также целостности информации. Другими словами, неотказуемость очень затрудняет успешное отрицание того, кто / откуда пришло сообщение, а также аутентичность этого сообщения.Фиксация авторства — это способ гарантировать, что отправитель сообщения не может позже отрицать отправку сообщения, а получатель не может отрицать получение сообщения. Физические лица и организации используют цифровые подписи, чтобы гарантировать невозможность отказа от авторства.
Вопросы по теме- Что такое конфиденциальность, доступность и целостность?
- Какое отношение имеют целостность и доступность конфиденциальности к безопасности?
- Что такое конфиденциальность в информационной безопасности?
- Каковы 3 принципа информационной безопасности?
- Каковы 5 основных элементов информационной безопасности?
Эту статью в блоге опубликовал
Infosavvy , 2-й этаж, Сай Никетан, Чандавалкар Роуд Опп.Gora Gandhi Hotel, Above Jumbo King, рядом с Speakwell Institute, Borivali West, Mumbai, Maharashtra 400092
Свяжитесь с нами — www.info-savvy.com
https://g.co/kgs/ttqPpZ
Ключевые элементы политики информационной безопасности
Политика информационной безопасности — это набор правил, установленных организацией, чтобы гарантировать, что все пользователи сетей или ИТ-структуры в домене организации соблюдают предписания относительно безопасности данных, хранящихся в цифровом виде внутри границы организация расширяет свои полномочия.
Политика информационной безопасности регулирует защиту информации, которая является одним из многих активов, которые необходимо защищать корпорации. Мы обсудим некоторые из наиболее важных аспектов, которые следует учитывать при разработке политики информационной безопасности.
Если рассуждать логически, то можно сказать, что политика должна быть такой широкой, какой ее хотят видеть создатели: в основном, все от А до Я с точки зрения ИТ-безопасности. По этой причине мы подчеркнем несколько ключевых элементов.Однако вы должны отметить, что организации могут свободно мыслить при создании своих собственных руководящих принципов.
Элементы политики информационной безопасности
1. Цель
Учреждения создают политики информационной безопасности по разным причинам:
- Для установления общего подхода к информационной безопасности
- Для обнаружения и предотвращения компрометации информационной безопасности, такой как неправомерное использование данных, сетей, компьютерных систем и приложений.
- Для защиты репутации компании с соблюдением ее этических и юридических обязательств.
- Для соблюдения прав клиентов.Обеспечение эффективных механизмов для ответа на жалобы и запросы, касающиеся реального или предполагаемого несоблюдения политики, является одним из способов достижения этой цели.
2. Сфера действия
Политика информационной безопасности должна охватывать все данные, программы, системы, объекты и т. Д. техническая инфраструктура, пользователи технологий и третьи стороны в данной организации без исключения.
3. Цели информационной безопасности
Организация, которая стремится составить рабочую политику информационной безопасности, должна иметь четко определенные цели, касающиеся безопасности и стратегии.Руководство должно согласиться с этими целями: любые существующие разногласия в этом контексте могут сделать весь проект дисфункциональным.
Самая важная вещь, которую должен помнить профессионал в области безопасности, — это то, что его знание методов управления безопасностью позволит ему включить их в документы, которые ему поручено составлять. Это гарантия полноты, качества и работоспособности.
Упрощение формулировок политики — это то, что может сгладить различия и гарантировать консенсус между управленческим персоналом.Следует избегать двусмысленных выражений, и авторы должны заботиться о том, чтобы использовать правильное значение терминов или общеупотребительных слов. Например, «должен» выражать возможность обращения, тогда как «следует» означает определенный уровень усмотрения. I
В идеале полис должен быть кратким и по существу. Избыточные формулировки делают документы многословными или даже неразборчивыми, а наличие слишком большого количества посторонних деталей может затруднить достижение полного соответствия.
Как руководство рассматривает ИТ-безопасность — это один из первых шагов, когда человек намеревается ввести в действие новые правила в этом отделе.Специалист по безопасности должен убедиться, что политика информационной безопасности считается такой же важной, как и другие политики, принятые в корпорации. В случаях, когда организация имеет очень большую структуру, политики могут различаться и, следовательно, быть разделенными, чтобы определять операции в предполагаемой подмножестве этой организации.
Информационная безопасность рассматривается как обеспечение трех основных целей:
- Конфиденциальность: данные и информационные активы должны быть ограничены людьми, имеющими санкционированный доступ, и не должны быть раскрыты другим лицам
- Целостность: сохранение данных в целости, полноте и точности, а также ИТ системы в рабочем состоянии
- Доступность: цель, указывающая на то, что информация или система находятся в распоряжении авторизованных пользователей, когда это необходимо.
Донн Паркер, один из пионеров в области ИТ-безопасности, расширил эту тройную парадигму, предложив дополнительные цели: «подлинность» и «полезность».
4. Политика авторизации и контроля доступа
Обычно политика безопасности имеет иерархическую структуру. Младший персонал обычно не должен делиться тем небольшим объемом информации, который у них есть, за исключением случаев, когда это явным образом разрешено. И наоборот, у старшего менеджера может быть достаточно полномочий, чтобы принимать решение о том, какие данные могут быть переданы и с кем, что означает, что они не связаны одними и теми же условиями политики информационной безопасности.Это означает, что политика информационной безопасности должна охватывать каждую базовую позицию в организации со спецификациями, поясняющими их полномочия.
Уточнение политики происходит одновременно с определением административного контроля или полномочий, которыми обладают люди в организации. По сути, это делегирование управления на основе иерархии, при котором каждый может иметь полномочия над своей собственной работой, менеджер проекта имеет полномочия над файлами проекта, принадлежащими группе, в которую он назначен, а системный администратор имеет полномочия исключительно над системными файлами.
Пользователь может нуждаться в информации для определенного типа информации. Следовательно, данные должны иметь достаточную степень детализации, чтобы разрешить соответствующий авторизованный доступ, и не более того. Это все о поиске тонкого баланса между разрешением доступа тем, кому необходимо использовать данные в рамках своей работы, и отказом в таком доступе неавторизованным объектам.
Доступ к сети и серверам компании должен осуществляться через уникальные учетные записи, требующие аутентификации в виде паролей, биометрических данных, идентификационных карт, токенов и т. Д.Во всех системах должен быть реализован мониторинг для регистрации попыток входа в систему (как успешных, так и неудачных), а также точной даты и времени входа в систему и выхода из нее.
По мере развития программы ИТ-безопасности может потребоваться обновление политики. Хотя это не обязательно гарантирует улучшение безопасности, это, тем не менее, разумная рекомендация.
5. Классификация данных
Данные могут иметь разные значения. Градация ценностного индекса может требовать разделения и определенных режимов / процедур обработки для каждого вида.Таким образом, система классификации информации поможет защитить данные, которые имеют большое значение для организации, и исключить незначительную информацию, которая в противном случае перегрузила бы ресурсы организации.
Политика классификации данных может упорядочить весь набор информации следующим образом:
- Класс высокого риска: Данные, защищенные законодательством штата и федеральным законодательством (Закон о защите данных, HIPAA, FERPA), а также финансовыми, платежными ведомостями и персоналом. (требования конфиденциальности) включены сюда
- Конфиденциальный класс: Данные этого класса не пользуются привилегией защиты законом, но владелец данных считает, что они должны быть защищены от несанкционированного раскрытия
- Открытый класс: Эта информация может свободно распространяться.
Владельцы данных должны определить как классификацию данных, так и точные меры, которые хранитель данных должен предпринять для сохранения целостности в соответствии с этим уровнем.
6. Поддержка данных и операции
В этой части мы могли найти пункты, которые предусматривают:
- Регулирование общих системных механизмов, отвечающих за защиту данных
- Резервное копирование данных
- Перемещение данных
7. Безопасность ознакомительные сессии
Обмен политиками ИТ-безопасности с персоналом — важный шаг. Заставить их прочитать и подтвердить документ не обязательно означает, что они знакомы с новой политикой и понимают ее.С другой стороны, тренинг вовлекает сотрудников и гарантирует, что они понимают процедуры и механизмы защиты данных.
Такой тренинг по повышению осведомленности должен затрагивать широкий круг жизненно важных тем: как собирать / использовать / удалять данные, поддерживать качество данных, управление записями, конфиденциальность, конфиденциальность, надлежащее использование ИТ-систем, правильное использование социальных сетей и т. Д. . Небольшой тест в конце, возможно, будет хорошей идеей.
8. Ответственность, права и обязанности персонала
Вопросы, которые следует учитывать в этой области, как правило, сосредоточены на ответственности лиц, назначенных для реализации, обучения, реагирования на инциденты, проверки доступа пользователей и периодических обновлений политики информационной безопасности.
Предотвращение краж, информационных ноу-хау и промышленных секретов, которые могут принести пользу конкурентам, являются одними из наиболее часто упоминаемых причин того, почему бизнес может захотеть использовать политику информационной безопасности для защиты своих цифровых активов и интеллектуальных прав.
9. Ссылки на соответствующее законодательство
Существует ряд различных законодательных актов, которые влияют или могут повлиять на процедуры безопасности организации. Например, в Великобритании список соответствующих законов будет включать:
- Закон о неправомерном использовании компьютеров (1990 г.)
- Закон о защите данных (1998 г.)
- Приказ о защите данных (обработка конфиденциальных личных данных) (2000 г.)
- Закон об авторском праве, промышленных образцах и патентах (1988 г.)
- Закон о неправомерном использовании компьютеров (1990 г.)
- Закон о правах человека (1998 г.)
10.Другие элементы, которые может включать политика информационной безопасности.
Политика информационной безопасности также может включать в себя ряд различных элементов. К ним относятся, помимо прочего: процедура защиты от вирусов, процедура обнаружения вторжений, реакция на инциденты, процедура удаленной работы, технические инструкции, аудит, требования к сотрудникам, последствия несоблюдения, дисциплинарные меры, уволенные сотрудники, физическая безопасность ИТ, ссылки к подтверждающим документам и др.
Заключение: важность политики информационной безопасности
Многие организации просто скачивают образцы ИТ-политики с веб-сайта и копируют / вставляют этот готовый материал.Это неосторожная попытка скорректировать их цели и задачи политики, чтобы они соответствовали стандартной, слишком широкой форме. Но один размер не подходит для всех, и небрежно подходить к политике информационной безопасности опасно.
Полноценная политика информационной безопасности может стать решающим фактором между растущим бизнесом и безуспешным. Повышенная эффективность, повышенная производительность, ясность целей, стоящих перед каждой организацией, понимание того, какие ИТ и данные должны быть защищены и почему, определение типа и уровней требуемой безопасности и определение применимых передовых практик информационной безопасности — достаточные причины для подтверждения этого утверждения.Если вы хотите возглавить процветающую компанию в сегодняшнюю цифровую эпоху, вам, безусловно, потребуется хорошая политика информационной безопасности.
Источники
- Как написать политику информационной безопасности, InsiderPro
- Стандарт классификации информации, Лондонская школа экономики и политических наук
- Как создать хорошую политику информационной безопасности, ComputerWeekly.com
- Политика информационной безопасности SophosLabs, Sophos
- Политика информационной безопасности, Techopedia
Ключевые элементы политики информационной безопасности предприятия
Независимо от того, в каком бизнесе или отрасли вы работаете, велика вероятность, что в какой-то момент вы станете мишенью для хакеров и киберпреступников.Согласно последним статистическим данным Accenture, ежегодно происходит более 130 крупных целевых нарушений кибербезопасности корпоративного уровня. И это число растет быстрыми темпами на 27 процентов в год.
Это не говоря уже о стоимости киберинцидентов и атак, которым предприятия подвергаются год за годом. Средняя стоимость атаки вредоносного ПО для компаний составляет 2,4 миллиона долларов, и компаниям требуется в среднем 50 дней для ее эффективного устранения. Избежание кибератак, а также связанный с ними ущерб и расходы — вот почему компании разумно направить значительную часть своих ИТ-бюджетов и ресурсов на разработку (и внедрение) Политики информационной безопасности предприятия (EISP).
Поскольку угрозы кибербезопасности предприятия растут такими быстрыми темпами, компании в настоящее время разрабатывают политику программы корпоративной информационной безопасности, которая служит как для минимизации рисков, так и для достижения ключевых бизнес-целей и задач.
Что такое EISP? И каковы конкретные элементы корпоративной политики безопасности, которая согласуется с общим видением и целями организации, но также предоставляет конкретные стратегии и тактики для предотвращения (и реагирования, если необходимо) киберинцидентов и атак? Независимо от того, решаете ли вы внедрить корпоративную политику в области кибербезопасности в первый раз или обновить уже имеющуюся, читайте дальше, чтобы узнать, как улучшить свои методы кибербезопасности, с помощью нашего полезного руководства по элементам, которые вам необходимо решить.
1. Сетевая безопасностьПрежде всего, политика безопасности вашего предприятия должна охватывать все критические элементы, необходимые для обеспечения защиты ваших ИТ-сетей и систем. Элемент сетевой безопасности в вашей политике должен быть направлен на определение, анализ и мониторинг безопасности вашей сети. Он должен служить для обеспечения прочной позиции в области кибербезопасности, а также для устранения потенциальных пробелов, которые могут попытаться использовать потенциальные хакеры.
Архитектура и политика сетевой безопасности должны охватывать все эти основные области:
- Сканирование уязвимостей
- Управление исправлениями
- Обновленные приложения безопасности (брандмауэры, прокси, антивирусное программное обеспечение и т. Д.)
- Проектирование сетевой архитектуры (и обзор)
- Контроль и анализ конечных точек
Ваша политика должна отражать, что безопасность сети — это общая ответственность, от исполнительного руководства и вашей ИТ-команды до рядовых сотрудников.Предоставьте вашей команде безопасности и ИТ-специалистам право определять технические политики и процедуры, которым следует следовать в отношении сетевой безопасности, и убедитесь, что вы работаете с управленческим и исполнительным персоналом, чтобы обеспечить правильные методы ведения бизнеса, чтобы минимизировать риск для вашей сети. нарушение безопасности.
2. Безопасность приложенийСледующий элемент безопасности приложений обычно предназначен для предотвращения рисков, возникающих из-за уязвимостей приложений.Это может быть что угодно, от стороннего облачного приложения до приложений собственной разработки и исполнения. Ваша политика должна определять стратегии для устранения рисков, связанных с любыми приложениями, которые потенциально могут быть использованы, со всеми приложениями на вашем предприятии, которые должным образом классифицируются в зависимости от того, насколько они критичны (и насколько конфиденциальны данные, которые они содержат).
Оценивает вашу сетевую безопасностьЭти классификации служат для того, чтобы помочь вашим ИТ-специалистам и специалистам по кибербезопасности принимать обоснованные решения о том, какие типы элементов управления и защиты требуются для каждого приложения, а затем они описаны в политике.Элемент безопасности приложения должен включать некоторые (если не все) из следующего:
Как правило, ваша группа информационной безопасности будет главными людьми, занимающимися частью вашей политики безопасности приложений. Обязательно привлекайте весь соответствующий технический персонал по кибербезопасности с по для разработки, разработки или жизненного цикла приложений. Это помогает им понять потенциальные слабые места в любом приложении, которое может стать целью, и включить в вашу политику надлежащие передовые практики для устранения любых пробелов.
3. Управление рискамиЭтот третий элемент состоит из набора действий, направленных на снижение уровня риска кибератак до того, что ваше предприятие считает «приемлемым уровнем». Это будет зависеть от характера вашего бизнеса, систем и данных, и лучше всего работать с надежным партнером по кибербезопасности, чтобы понять основы управления киберрисками, чтобы определить, что такое «приемлемый риск в ваших уникальных обстоятельствах.
Часть вашего EISP по управлению рисками будет влиять на многие другие области политики и обычно выполняется в следующие четыре этапа (обычно совместно с вашим партнером по кибербезопасности):
- Оценка рисков: все риски в рамках вашего EISP выявляются с учетом культуры и технических систем вашей организации. Здесь партнер обычно помогает вам провести анализ недостатков.
- Анализ рисков. Затем риски в вашей политике приоритизируются на основе воздействия, вероятности и потенциальных затрат.Это может быть сделано на качественной, количественной или гибридной основе с целью выполнения анализа затрат и выгод для потенциальных мер безопасности.
- Обработка рисков: Основываясь на результатах двух предыдущих шагов, вы наметите конкретные шаги по устранению (и минимизации) этих рисков. В вашей политике должно быть указано, как каждый риск будет уменьшаться, передаваться или приниматься на основе вашего анализа.
- Мониторинг рисков: на этом заключительном этапе средства контроля постоянно отслеживаются на предмет изменений в уровнях риска или новых недостатков или слабых мест, которые со временем могут проявиться на поверхности.В дополнение к периодическому аудиту имейте в наличии отчеты по показателям, чтобы ваш уровень риска постоянно корректировался до необходимого уровня.
У каждого предприятия есть набор требований соответствия, которые необходимо соблюдать в зависимости от отрасли, в которой они работают. Это могут быть такие структуры, как HIPAA для здравоохранения, PCI-DSS для финансовой отрасли или GDPR для тех, кто работает в Европе. Эти требования обычно включают юридические, нормативные и сертификационные требования, которые необходимо учесть в вашем EISP.Юридические требования также включают договорные требования. В вашей политике должны быть определены все юридические требования и изложена программа, отвечающая всем этим потребностям. Соблюдение нормативных требований следует рассматривать как еще одну форму риска в вашей политике. Управление соответствием обычно осуществляется вашим юридическим отделом, которому нужно будет связаться (и работать с) отделом ИТ и безопасности, чтобы убедиться, что все политики, связанные с соблюдением требований, соответствуют требованиям закона.
Неспособность должным образом обеспечить соблюдение требований в вашем EISP может иметь серьезные последствия, включая судебный процесс и / или расследование со стороны регулирующих органов.Недостатки также могут привести к жестким штрафам, судебным издержкам, не говоря уже о нанесении ущерба вашей репутации как организации, которая стремится сократить путь к соблюдению нормативных требований.
5. Аварийное восстановлениеАварийное восстановление, также иногда называемое планированием непрерывности бизнеса (BCP), определяет, как вы потенциально будете бороться с успешным взломом или атакой. Вам нужно будет поработать со своим партнером по кибербезопасности, чтобы определить, как должна проводиться оценка воздействия на бизнес (BIA) после инцидента безопасности, измеряя такие вещи, как время простоя и потеря данных после (и во время) сценария бедствия.
В вашей политике должны быть указаны конкретные показатели и цели в отношении того, сколько времени потребуется для восстановления системы, а также указана та единственная точка отказа, которая позволила совершить атаку. Как только они будут определены, в вашей политике будут изложены стратегии и тактика восстановления, которые будут соответствовать этим целям. Вы должны включить такие вещи, как процедуры восстановления, деревья вызовов, критерии запуска действий и объем действий для каждой роли сотрудника, чтобы гарантировать, что ваши системы и / или данные будут восстановлены как можно быстрее после взлома.
Эти действия BCM часто выполняются группой, которая подчиняется главному технологическому директору (CTO), директору по рискам (CRO) или непосредственно генеральному директору организации. Однако ваша группа информационной безопасности
также будет поддерживать деятельность BCM в организации, поскольку они являются критически важными заинтересованными сторонами в любой EISP.
6. Физическая безопасностьВот еще несколько статей, которые могут вам помочь:
Элемент физической и экологической безопасности EISP имеет решающее значение для защиты активов организации
от физических угроз.Сюда входят такие вещи, как компьютеры, оборудование, средства массовой информации, люди и бумажные / физические данные. В этом отношении обычно указываются следующие средства контроля:
- CCTV
- Огнетушители
- Спринклеры для воды
- Детекторы дыма
- Ограждение
- Системы управления зданием (BMS)
- Физические замки
- Охранники
- Достаточное освещение
- Карты контроля доступа, выданные сотрудникам.
Все физические пространства в вашей организации должны быть классифицированы на основе информации, которую они хранят, а средства управления должны быть развернуты на основе критичности и чувствительности каждой области.Например, в вашей политике может быть указано, что посетители могут находиться только в специально отведенных местах или что у административного персонала нет ключей от картотеки с очень конфиденциальной информацией, связанной с кибербезопасностью.
Области, содержащие наиболее важные данные, должны требовать нескольких форм аутентификации для каждого EISP. Это может быть что угодно, от персонального PIN-кода до биометрических данных. Независимо от того, какие меры физической безопасности вы и ваш партнер по безопасности считаете подходящими, убедитесь, что эти меры контроля постоянно измеряются и тестируются, чтобы проверить соответствие и готовность сотрудников.
7. Управление идентификацией и доступомЕще одним важным элементом вашей политики должны быть способы идентификации сотрудников, имеющих доступ к определенным критически важным системам и данным в вашей организации (например, управление идентификацией и доступом). Это может быть комбинация любого количества вещей, включая имя, возраст, идентификационный номер сотрудника, биометрические данные или любые другие формы личной информации (PII), которые вы сочтете подходящими при разработке своей политики вместе с вашим партнером по кибербезопасности.Это может быть дополнение к именам пользователей и паролям, которые обычно требуются персоналу для доступа к системам и данным.
Кроме того, вам необходимо выяснить, какие роли сотрудников будут иметь доступ к каким типам информации. Это может быть основано на таких ключевых принципах, как минимальные привилегии, необходимость знать и критически важные бизнес-функции. Доступ к каждой роли должен быть четко прописан в вашей политике, при этом должны быть реализованы максимально возможные уровни безопасности, чтобы не те люди случайно (или намеренно) не попали в системы, которых им не следует делать.
Вы и ваш партнер должны указать в своей программе EISP процессы ежегодных проверок, а также процедуры на случай, если неправильные люди получат доступ к системам или данным, которых им не должно быть. Как правило, о событиях несанкционированного доступа следует немедленно сообщать ключевым заинтересованным сторонам в вашей группе информационной безопасности, с указанием в политике последствий для пользователей, которые намеренно это делают.
8. Управление инцидентамиКонечно, ни один EISC не будет полным без документации о том, как вы будете немедленно реагировать на кибербезопасность или инцидент.Вы должны указать, какие ключевые сотрудники будут частью вашей группы управления инцидентами (IMT), которые будут оценивать технические и бизнес-последствия нарушения, а также принимать меры по локализации, устранению и исправлению.
Еще одно расширение управления безопасностью рисков, политики управления инцидентами, фокусируются на ограничении ущерба от нарушения, а также на снижении риска подобных нарушений в будущем. Для большинства организаций ваша политика управления инцидентами и реагирования на них EISC будет включать следующие шесть шагов:
- Обнаружение и идентификация инцидентов
- Сортировка и анализ происшествий
- Сдерживание угроз Разрешение инцидента
- Анализ первопричин
- Отчет об инцидентах
Ваша политика реагирования на инциденты должна служить для разработки средств управления безопасностью, людей, процессов и технологий, которые упрощают этот шестиэтапный процесс как можно быстрее и эффективнее.Помимо внутреннего персонала, в ваш план реагирования на инциденты могут входить сторонние партнеры, кибернетические эксперты, виртуальные группы и любые другие лица, которые вы сочтете подходящими. Ваш бюджет, например, может указывать на то, что более рентабельно отдать выполнение определенных действий поставщикам или поставщикам услуг. В этом отношении хорошо разработанная политика управления инцидентами не только поможет быстро устранить угрозу, но и сделает это с минимальными затратами.
9. Обучение и повышение осведомленностиНаконец, постоянное обучение и осведомленность, возможно, наиболее важные элементы для вашего EISP.Часто самым слабым звеном оказываются не ваши системы или технологии, а сами люди. Вот почему в вашей политике следует тщательно описать текущую программу обучения, а также программу и структуру повышения осведомленности о безопасности, адаптированные к каждой роли и профилю сотрудников в вашей организации. Именно здесь важно работать с вашим партнером по кибербезопасности, чтобы разработать режимы обучения, которые лучше всего подходят вашему персоналу.
Ваша политика обучения может состоять из аудиторных занятий, викторин, онлайн-обучения, семинаров, имитированных «пожарных учений» и многих других тактик, которые можно использовать.Более того, то, как вы принимаете новых сотрудников, оцениваете их начальную осведомленность и заполняете любые пробелы, должно быть в вашем EISP. Кроме того, убедитесь, что обучение и осведомленность являются частью политики и стандартов оценки ваших сотрудников, чтобы у людей был стимул выполнять то, чему они были обучены. Члены группы безопасности должны иметь цели, связанные с прохождением обучения и / или сертификацией, с постоянно оцениваемыми показателями всесторонней осведомленности о безопасности.
Заключительные мыслиПолитика информационной безопасности вашего предприятия — это самый важный внутренний документ, который будет иметь ваша компания с точки зрения кибербезопасности.Любой хороший документ будет содержать и постоянно учитывать все девять элементов, описанных выше. От безопасности сети и приложений до управления инцидентами и постоянного обучения, не забывайте, что ваш EISC — это «живой документ», который необходимо постоянно пересматривать, пересматривать и редактировать вместе с надежным партнером по кибербезопасности.
Для получения дополнительной информации о корпоративных политиках информационной безопасности и решениях по кибербезопасности свяжитесь с RSI Security сегодня!
Каковы пять компонентов информационной безопасности?
Информационная безопасность охватывает широкий спектр различных практик и методов.В этой статье мы более подробно рассмотрим основные составляющие этого поля.
Что такое информационная безопасность?
Как термин, связанный с ассоциациями, информационная безопасность охватывает широкую область практик и методов, но, проще говоря, это защита информации и информационных систем от различных нежелательных и / или опасных ситуаций, таких как нарушение, разрушение или несанкционированный доступ и использование. Методы информационной безопасности включают использование программных систем или принятие физических мер, таких как отключение USB-портов ваших устройств или защиты ваших серверов от непредвиденных стихийных бедствий.
Почему важна информационная безопасность?
Компании и учреждения из всех секторов и любого размера собирают впечатляющие объемы данных, чтобы работать бесперебойно, предоставлять более качественные услуги и конкурировать с другими. В такой среде возможность хранить эти данные в безопасности так же важна, как и возможность их собирать. Вот почему практик информационной безопасности важны как никогда. На сегодняшний день многие эксперты согласятся, что информация — это самый ценный актив, которым может обладать компания.В результате ежедневно происходят сотни атак на компании из различных отраслей. Меры информационной безопасности направлены на защиту компаний от разнообразных атак, таких как вредоносное ПО или фишинг. Когда меры, которые вы принимаете для защиты ваших данных, не могут защитить вас, происходит утечка данных. Другими словами, посторонний человек получает доступ к вашей ценной информации. Как следствие, ваша компания может потерять бизнес или заслуженное доверие общественности. Следовательно, обеспечение безопасности ваших данных обеспечивает безопасность вашей компании, а процедуры защиты информации имеют важное значение для любого бизнеса.
Каковы 5 компонентов информационной безопасности?
Информационная безопасность состоит из различных практик и дисциплин. Он направлен на защиту ваших данных от несанкционированного доступа и поддержание их целостности, препятствование внедрению любых вредоносных программ в ваши устройства и сети, сохранение важной информации при необходимости, обеспечение плавного и безопасного обмена информацией между сетями и устройствами и сохранение ваших сети безопасны. Поскольку обязанности протоколов информационной безопасности разнообразны и многочисленны, методы защиты информации разделены, чтобы гарантировать, что все возможные проблемы решены. CIA Triad — один из самых популярных мэйнфреймов в отрасли, который используется для разделения методов защиты информации. Он состоит из характеристик, определяющих подотчетность информации: конфиденциальность , целостность и доступность , которые являются принципами ее безопасности.
Конфиденциальность относится к сокрытию. Это означает, что информация видна только авторизованным глазам. Хранение информации от неавторизованных зрителей — это первый шаг к информационной безопасности.Этот компонент приобретает особое значение в областях, которые имеют дело с конфиденциальной информацией , такой как номера социального страхования, адреса и т. Д. Целостность означает «оригинальность» информации. Этот компонент направлен на обеспечение целостности и неизменности информации. В результате гарантия того, что информация не была изменена по ошибке, злонамеренных действий или даже стихийного бедствия попадает в сферу целостности. Доступность информации — понятие довольно простое.Имеется в виду доступ к информации при необходимости. Доступность приобретает дополнительное значение из-за злонамеренных атак , направленных на то, чтобы помешать авторизованным пользователям получить доступ к данным. Помимо триады ЦРУ, есть два дополнительных компонента информационной безопасности: аутентичность и подотчетность. Под подлинностью понимается состояние подлинности, достоверности или надежности. Подотчетность, с другой стороны, относится к способности проследить действия до организации, которая за них отвечает.Это особенно важно для локализации неисправностей, , обнаружения, устранения отказов и сдерживания. Узнайте больше об инструменте Logsign SIEM , который обеспечивает более надежную защиту от кибербезопасности с помощью полностью универсального решения.
10 основных элементов для разработки надежной программы информационной безопасности
Защита информационных систем, которые используют, передают, собирают, обрабатывают, хранят и обмениваются конфиденциальной информацией, стала главным приоритетом. Цель — разработать и развернуть безопасную систему, которая предотвращает воздействие на операции и помогает в восстановлении после неблагоприятных ситуаций — одинакова как для федеральных агентств, так и для частного сектора.
Информационная безопасность (InfoSec) — это более широкая практика, охватывающая все информационные потоки от начала до конца. Он включает в себя другие компоненты, включая безопасность данных, которая в первую очередь направлена на защиту неструктурированных данных в хранилище от несанкционированного доступа, использования, потери или изменения. Информационная безопасность не является фиксированной практикой; он динамичен и развивается по мере усложнения ландшафта угроз.
Сегодняшний профиль цифровых рисков и соответствия требованиям требует разработки программы информационной безопасности на основе хорошо структурированного плана, который включает людей, процессы и технологии и фокусируется на защите информации и информационных активов.В течение многих лет профессионалы InfoSec фокусировались на трех основных концепциях конфиденциальности, целостности и доступности, называемых триадой ЦРУ, а также на дополнительных аспектах конфиденциальности, аутентификации и авторизации.
Эти концепции зависят от дизайна, разработки, внедрения и управления технологиями и процессами. Информационная безопасность требует стратегического, тактического и оперативного планирования. Для поддержки этих планов для успешной программы безопасности необходимы такие компоненты, как механизмы предотвращения и обнаружения, управление доступом, реагирование на инциденты, конфиденциальность и соответствие требованиям, управление рисками, аудит и мониторинг, а также планирование непрерывности бизнеса.
Достижение целей, поставленных во время стратегического, тактического и оперативного планирования, требует следующих ключевых элементов для успешной реализации программы InfoSec:
- Сосредоточьтесь на полной программе, а не только на отдельных ее аспектах.
- Согласуйте свою программу безопасности с миссией и бизнес-целями вашей организации, а также со стандартной структурой управления безопасностью, такой как ISO 27001 или NIST Cybersecurity Framework.
- Реализуйте значимые и осуществимые политики и процедуры InfoSec.
- Разработайте программу управления рисками безопасности.
- Примените меры глубокой защиты и оцените меры безопасности для выявления рисков и управления ими.
- Создайте культуру безопасности путем разработки надежной программы повышения осведомленности о безопасности.
- Измерьте свою программу информационной безопасности, разработав значимые показатели.
- Разработайте и внедрите план реагирования на инциденты, который включает обучение вашего персонала и периодическое тестирование вашего плана.
- Непрерывный мониторинг вашей среды и инфраструктуры путем развертывания инструментов и процессов
- Пересматривайте свою программу не реже одного раза в год и будьте готовы предвидеть, вводить новшества и адаптироваться по мере развития ландшафта рисков и угроз.
Разработка программы информационной безопасности может быть большой задачей — для этого требуются поддержка, ресурсы и время. Сильная и устойчивая программа информационной безопасности также требует наличия нужных талантов и инструментов. Партнерство с опытным поставщиком решений безопасности и интегратором с проверенными методологиями в этой области — идеальный способ дополнить ваши внутренние ресурсы и навыки.
Sirius может помочь вам обеспечить надлежащее выполнение ваших стратегических целей.Наши опытные профессионалы в области информационной безопасности обладают обширным опытом и навыками, чтобы помочь вашей организации успешно разработать и внедрить программу информационной безопасности, которая укрепит вашу позицию в области безопасности. Обратитесь к своему представителю Sirius или свяжитесь с нами сегодня, чтобы начать работу.
Трехкомпонентный подход к кибербезопасности: защита данных и информации
Защита данных и информации составляет третий и самый важный столп надежной стратегии кибербезопасности.При рассмотрении того, как защитить наши данные, крайне важно учитывать «триаду ЦРУ».
Трехкомпонентный подход к кибербезопасностиТретий столп — защита данных и информации
Это третья и последняя статья в серии, посвященной трехкомпонентному подходу к кибербезопасности. Первые два столпа — это «люди» и «процесс». Последний столп — «данные и информация».
Защита данных и информации — наиболее технический и осязаемый из трех столпов.Собираемые нами данные поступают из нескольких источников, таких как информационные технологии (ИТ), операционные технологии (ОТ), личные данные и операционные данные. Им нужно правильно управлять и защищать на каждом этапе пути.
Что такое триада ЦРУ?
Когда мы обсуждаем данные и информацию, мы должны учитывать триаду ЦРУ. Триада ЦРУ относится к модели информационной безопасности, состоящей из трех основных компонентов: конфиденциальности, целостности и доступности. Каждый компонент представляет собой фундаментальную цель информационной безопасности.
Три компонента триады ЦРУ обсуждаются ниже:
- Конфиденциальность: Этот компонент часто ассоциируется с секретностью и использованием шифрования. Конфиденциальность в этом контексте означает, что данные доступны только авторизованным сторонам. Когда информация хранилась конфиденциальной, это означает, что она не была скомпрометирована другими сторонами; конфиденциальные данные не передаются людям, которым они не нужны или которые не должны иметь к ним доступ.Обеспечение конфиденциальности означает, что информация организована с учетом того, кому нужен доступ, а также конфиденциальности данных. Нарушение конфиденциальности может происходить с помощью различных средств, например, взлома или социальной инженерии.
- Целостность: Целостность данных означает уверенность в том, что данные не были изменены или повреждены во время или после отправки. Несомненно, данные не подвергались несанкционированному изменению, преднамеренному или непреднамеренному.В процессе передачи есть два момента, во время которых целостность может быть нарушена: во время загрузки или передачи данных или во время хранения документа в базе данных или коллекции.
- Доступность: Это означает, что информация доступна авторизованным пользователям при необходимости. Чтобы система продемонстрировала доступность, она должна иметь правильно функционирующие вычислительные системы, средства контроля безопасности и каналы связи. Системы, определенные как критические (производство электроэнергии, медицинское оборудование, системы безопасности), часто предъявляют экстремальные требования к доступности.Эти системы должны быть устойчивыми к киберугрозам и иметь защиту от перебоев в подаче электроэнергии, отказов оборудования и других событий, которые могут повлиять на доступность системы.
Стабильность, доступность и безопасность
Доступность — серьезная проблема в средах для совместной работы, поскольку такие среды должны быть стабильными и постоянно поддерживаться. Такие системы также должны позволять пользователям получать доступ к необходимой информации с минимальным временем ожидания. Могут быть предусмотрены резервные системы, обеспечивающие высокий уровень аварийного переключения.Понятие доступности также может относиться к удобству использования системы.
Информационная безопасность означает сохранение целостности и секретности при хранении или передаче информации. Нарушения информационной безопасности происходят, когда к информации получают доступ неуполномоченные лица или стороны. Взломы могут быть результатом действий хакеров, спецслужб, преступников, конкурентов, сотрудников или других лиц. Кроме того, люди, которые ценят и хотят сохранить свою конфиденциальность, заинтересованы в информационной безопасности.
Триада CIA описывает три важнейших компонента защиты данных и информации, которые можно использовать в качестве руководства для установления политик безопасности в организации. Установление и поддержание политик безопасности организации может быть сложной задачей, но использование трехкомпонентного стратегического подхода к кибербезопасности может помочь вам выявлять риски кибербезопасности и управлять ими систематическим и всесторонним образом.