Информационная безопасность что это – Виды угроз / VPS.house corporate blog / Habr

Виды угроз / VPS.house corporate blog / Habr

Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?

«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.

Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.

Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.

Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.

В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.

Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.

Угрозы информационной безопасности, которые наносят наибольший ущерб

Рассмотрим ниже классификацию видов угроз по различным критериям:

1. Угроза непосредственно информационной безопасности:
   
   • Доступность
   • Целостность
   • Конфиденциальность
2. Компоненты на которые угрозы нацелены:
   • Данные
   • Программы
   • Аппаратура
   • Поддерживающая инфраструктура
3. По способу осуществления:
   • Случайные или преднамеренные
   • Природного или техногенного характера
4. По расположению источника угрозы бывают:
   • Внутренние
   • Внешние

Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.

Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.

На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.

Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.

Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.

Угрозы непосредственно информационной безопасности

К основным угрозам доступности можно отнести

1. Внутренний отказ информационной системы;
2. Отказ поддерживающей инфраструктуры.

Основными источниками внутренних отказов являются:

• Нарушение (случайное или умышленное) от установленных правил эксплуатации
• Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
• Ошибки при (пере)конфигурировании системы
• Вредоносное программное обеспечение
• Отказы программного и аппаратного обеспечения
• Разрушение данных
• Разрушение или повреждение аппаратуры

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

• Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• Разрушение или повреждение помещений;
• Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Основные угрозы целостности

Можно разделить на угрозы статической целостности и угрозы динамической целостности.

Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.

С целью нарушения статической целостности злоумышленник может:

• Ввести неверные данные
• Изменить данные

Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Для наглядности данные виды угроз так же схематично представлены ниже на рис 1.

Рис. 1. Классификация видов угроз информационной безопасности

Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.

Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:

1. Что защищать?
2. От кого защищать, какие виды угроз являются превалирующими: внешние или внутренние?
3. Как защищать, какими методами и средствами?

Принимая все выше сказанное во внимание, Вы можете наиболее полно оценить актуальность, возможность и критичность угроз. Оценив всю необходимую информацию и взвесив все «за» и «против». Вы сможете подобрать наиболее эффективные и оптимальные методы и средства защиты.

Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».

habr.com

Информационная безопасность | Обеспечение информационной безопасности

Научно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.

Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.

Определение информационной безопасности

Информационная безопасность (ИБ) – это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.

Безопасность информации, которая обрабатывается в организации, – это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

---

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «КИБ СёрчИнформ» можно бесплатно в течение 30 дней. Узнать подробности…  

---

Модель системы безопасности

Информация считается защищенной, если соблюдаются три главных свойства.

Первое – целостность – предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.

Второе – конфиденциальность – означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.

Третье – доступность – подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.

Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным.

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации осуществляется в три этапа.

На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса:

1. Какие источники информации следует защитить?
2. Какова цель получения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

3. Что является источником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

4. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

• Несанкционированный доступ – незаконное использование данных;
• Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;
• Разглашение – следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.

• физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
• аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
• программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
• математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.

Виды конфиденциальных данных

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно.

• Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
• Судебные конфиденциальные данные: тайна следствия и судопроизводства.
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону.

Угрозы конфиденциальности информационных ресурсов

Угроза – это возможные или действительные попытки завладеть защищаемыми информационными ресурсами.

Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.

Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).

Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.

---

Поскольку внутренние ИБ-угрозы связаны с человеческим фактором, отслеживать их и управлять ими сложнее. Предупреждать инциденты можно с помощью деления сотрудников на группы риска. С этой задачей справится «ProfileCenter СёрчИнформ» – автоматизированный модуль для составления психологических профилей.      

---

Попытка несанкционированного доступа может происходить несколькими путями:

• через сотрудников, которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
• с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.
• с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).

Аппаратная и программная ИБ

Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.

Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.

Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:

• Уровень идентификации – это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).
• Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.

Правовая защита информации

Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Государство также определят меру ответственности за нарушение положений законодательства в сфере ИБ. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

searchinform.ru

Основы информационной безопасности. Часть 2. Информация и средства её защиты

В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

1. Свободно распространяемую
2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
4. Распространение, которой в Российской Федерации ограничивается или запрещается

Информация по назначению бывает следующих видов:

1. Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
2. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
3. Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
4. Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

Средства защиты информации необходимо применять непосредственно к информации доступ к которой ограничен — это государственная тайна и конфиденциальные данные.

Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

1. Сведения в военной области.
2. Сведения в области экономики, науки и техники.
3. Сведения в области внешней политики и экономики.
4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента от 6 марта 1997 г. №188 (ред. от 13 июля 2015 г.) «Об утверждении перечня сведений конфиденциального характера».

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

• Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• Судебные конфиденциальные данные: О государственной защите судей, должностных лиц правоохранительных и контролирующих органов. О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)

Рисунок 1. Классификация видов информации.

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

• Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• Документы всех типов: личные, служебные, государственные;
• Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Определив, какая информация подлежит защите, носители информации и возможный ущерб при ее раскрытии, Вы можете подобрать необходимые средства защиты.

Классификация средств защиты информации

В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• Соблюдение конфиденциальности информации ограниченного доступа;
• Реализацию права на доступ к информации.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

• Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• Своевременное обнаружение фактов несанкционированного доступа к информации;
• Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• Постоянный контроль за обеспечением уровня защищенности информации;
• Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).

Исходя из закона № 149-ФЗ защиту информации можно разделить так же на несколько уровней:

1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
   Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
   Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
   Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями. Например нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.

SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.

Рисунок 2. Классификация средства защиты информации.

habr.com

угрозы, средства и способы обеспечения информационной безопасности организации

Многоуровневая схема защиты данных и ПО с использованием решений по ИТ-безопасности дают возможность снизить риски кибернападений на бизнес до минимума и тем самым исключить непредвиденные затраты на устранение последствий.

Посмотреть решения в сфере безопасности данных…

Услуга анти-DDoS призвана предотвратить перебои в работе онлайн-сервиса и возникновение простоя по причине кибератак на канал связи или непосредственно на ресурс компании.

Подробнее об услуге защиты…

План аварийного восстановления данных призван снизить риски, связанные с недоступностью данных компании, приводящих к замедлению бизнес-процессов.

Подробнее об услуге…

Для снижения риска потери корпоративной информации можно воспользоваться услугой резервного копирования данных и хранения их в облачных сервисах на базе крупных дата-центров.

Подробнее о преимуществах сервиса…

Всем известно высказывание «Кто владеет информацией, тот владеет миром». А кто владеет информацией о конкурентах, получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору в такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности. Вопрос информационной безопасности становится краеугольным камнем в деятельности организации, но этот же прогресс предлагает решения, способные защитить данные от внешних посягательств.

Что такое информационная безопасность и почему системы ее обеспечения так важны

Так что же такое информационная безопасность? Обычно под ней понимают защищенность информации и всей компании от преднамеренных или случайных действий, приводящих к нанесению ущерба ее владельцам или пользователям. Обеспечение информационной безопасности должно быть направлено прежде всего на предотвращение рисков, а не на ликвидацию их последствий. Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее правильным подходом в создании системы информационной безопасности.

Любая утечка информации может привести к серьезным проблемам для компании — от значительных финансовых убытков до полной ликвидации. Конечно, проблема утечек появилась не сегодня, промышленный шпионаж и переманивание квалифицированных специалистов существовали еще и до эпохи компьютеризации. Но именно с появлением ПК и интернета возникли новые приемы незаконного получения информации. Если раньше для этого необходимо было украсть и вынести из фирмы целые кипы бумажных документов, то сейчас огромные объемы важных сведений можно запросто слить на флэшку, помещающуюся в портмоне, отправить по сети, прибегнув к использованию семейства руткитов, троянов, бэкдоров, кейлоггеров и ботнетов, либо просто уничтожить посредством вирусов, устроив диверсию.

Чаще всего «утекают» из компаний документы финансового характера, технологические и конструкторские разработки, логины и пароли для входа в сеть других организаций. Но серьезный вред может нанести и утечка персональных данных сотрудников. Особенно это актуально для западных стран, где судебные иски из-за таких утечек нередко приводят к огромным штрафам, после выплаты которых компании терпят серьезные убытки.

Это интересно
В июле 2017 года произошла одна из крупнейших утечек персональных данных в бюро кредитной истории Equifax в США. В руки злоумышленников попали личные сведения более чем 143 млн потребителей, 209 000 номеров кредитных карт. В результате, по данным на 8 сентября 2017 года, акции бюро упали на 13%[1].

Случается и так, что утечка приносит вред компании через несколько месяцев или лет после того, как она произошла, попав в руки конкурентам или журналистам. Именно поэтому защита должна быть комплексной. Не стоит делить информацию на очень важную и менее важную. Все, что касается деятельности компании и не предназначено для опубликования, должно оставаться внутри компании и быть защищено от угроз.

Актуальные виды угроз информационной безопасности

Аналитический центр InfoWatch опубликовал данные по утечке данных в России за 2016 год. Согласно исследованию, СМИ обнародовали 213 случаев утечек информации из российских госорганов и компаний, что составляет 14% от общемирового количества утечек.

Самые частые случаи — это утечка платежной информации и персональных данных — 80%. В 68% случаев виновными оказываются сотрудники организаций, и только в 8% — руководство. По сравнению с 2015 годом количество утечек выросло на 89%. На сегодня Россия занимает второе после США место в списке стран, наиболее сильно страдающих от утечек информации[2].

Но из-за чего чаще всего возникают угрозы информационной безопасности?

1. Невнимательность и халатность сотрудников. Угрозу информационной безопасности компании, как ни странно, могут представлять вполне лояльные сотрудники и не помышляющие о краже важных данных. Непредумышленный вред конфиденциальным сведениям причиняется по простой халатности или неосведомленности работников. Всегда есть возможность того, что кто-нибудь откроет фишинговое письмо и внедрит вирус с личного ноутбука на сервер компании. Или, например, скопирует файл с конфиденциальными сведениями на планшет, флэшку или КПК для работы в командировке. И ни одна компания не застрахована от пересылки невнимательным сотрудником важных файлов не по тому адресу. В такой ситуации информация оказывается весьма легкой добычей.

Это интересно
В 2010 году прототип смартфона iPhone 4 был оставлен в баре одним из сотрудников компании Apple Греем Пауэллом. До официальной презентации гаджета оставалось еще несколько месяцев, но нашедший смартфон студент продал его за 5000 долларов журналистам Gizmodo, сделавшим эксклюзивный обзор новинки.

2. Использование пиратского ПО. Иногда руководители компаний пытаются сэкономить на покупке лицензионного ПО. Но следует знать, что нелицензионные программы не дают защиты от мошенников, заинтересованных в краже информации с помощью вирусов. Обладатель нелицензионного ПО не получает технической поддержки, своевременных обновлений, предоставляемых компаниями-разработчиками. Вместе с ним он покупает и вирусы, способные нанести вред системе компьютерной безопасности. По данным исследования Microsoft, в 7% изученных нелицензионных программ было найдено специальное программное обеспечение для кражи паролей и персональных данных[3].

3. DDoS-атаки. Distributed-Denial-of-Service — «распределенный отказ от обслуживания» — это поток ложных запросов от сотен тысяч географически распределенных хостов, которые блокируют выбранный ресурс одним из двух путей. Первый путь — это прямая атака на канал связи, который полностью блокируется огромным количеством бесполезных данных. Второй — атака непосредственно на сервер ресурса. Недоступность или ухудшение качества работы публичных веб-сервисов в результате атак может продолжаться довольно длительное время, от нескольких часов до нескольких дней.

Обычно подобные атаки используются в ходе конкурентной борьбы, шантажа компаний или для отвлечения внимания системных администраторов от неких противоправных действий вроде похищения денежных средств со счетов. По мнению специалистов, именно кражи являются основным мотивом DDoS-атак. Мишенью злоумышленников чаще становятся сайты банков, в половине случаев (49%) были затронуты именно они.

На заметку
В 2016 году DDoS-атаки были зафиксированы в каждом четвертом банке (26%). Среди других финансовых структур вредному воздействию подверглось 22% компаний. Усредненный ущерб для кредитных организаций составил 1 172 000 долларов в расчете на банк[4].

4. Вирусы. Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Это подтверждается многомиллионным ущербом, который несут компании в результате вирусных атак. В последние годы существенно увеличилась их частота и уровень ущерба. По мнению экспертов, это можно объяснить появлением новых каналов проникновения вирусов. На первом месте по-прежнему остается почта, но, как показывает практика, вирусы способны проникать и через программы обмена сообщениями, такие как ICQ и другие. Увеличилось и количество объектов для возможных вирусных атак. Если раньше атакам подвергались в основном серверы стандартных веб-служб, то сегодня вирусы способны воздействовать и на межсетевые экраны, коммутаторы, мобильные устройства, маршрутизаторы.

В последнее время особенно активны стали так называемые вирусы-шифровальщики. Весной и летом этого года миллионы пользователей пострадали от атак вирусов WannaCry, Petya, Misha. Эпидемии показали, что жертвой вирусной атаки можно стать, даже если не открывать подозрительные письма. По информации Intel вирусом WannaCry заразились 530 тысяч компьютеров, а общий ущерб компаний составил более 1 млрд долларов[5].

5. Угрозы со стороны совладельцев бизнеса. Именно легальные пользователи — одна из основных причин утечек информации в компаниях. Такие утечки специалисты называют инсайдерскими, а всех инсайдеров условно делят на несколько групп:

• «Нарушители» — среднее звено и топ-менеджеры, позволяющие себе небольшие нарушения информационной безопасности — играют в компьютерные игры, делают онлайн-покупки с рабочих компьютеров, пользуются личной почтой. Такая безалаберность способна вызвать инциденты, но чаще всего они являются непредумышленными. Кстати, большинство внешних атак происходят именно через личные почтовые ящики или ICQ сотрудников.
• «Преступники». Чаще всего инсайдерами являются топ-менеджеры, имеющие доступ к важной информации и злоупотребляющие своими привилегиями. Они самостоятельно устанавливают различные приложения, могут отсылать конфиденциальную информацию заинтересованным в ней третьим лицам и т.д.
• «Кроты» — сотрудники, которые умышленно крадут важную информацию за материальное вознаграждение от компании-конкурента. Как правило, это весьма опытные пользователи, умело уничтожающие все следы своих преступлений. Поймать их в силу этого бывает очень непросто.
• Еще одна категория — это уволенные и обиженные на компанию сотрудники, которые забирают с собой всю информацию, к которой они имели доступ. Обычно украденная информация используется ими на новом месте работы, целенаправленная продажа данных в России пока не слишком актуальна.

6. Законодательные перипетии. Государственные органы в России наделены правом конфисковать в ходе проверок оборудование и носители информации. Поскольку большая часть важных данных компании хранится в электронном виде на серверах, то в случае их изъятия компания на какое-то время просто останавливает свою деятельность. Простои при этом никто не компенсирует, а если проверка затягивается, большие убытки могут привести к прекращению деятельности фирмы. Изъятие оборудования — одна из острейших проблем современного бизнеса, при этом поводом для него может послужить все что угодно — от решения следователя до решения суда в рамках какого-либо уголовного дела.

Методы защиты информации

Хотя количество угроз постоянно растет, появляются все новые и новые вирусы, увеличивается интенсивность и частота DDoS-атак, разработчики средств защиты информации тоже не стоят на месте. На каждую угрозу разрабатывается новое защитное ПО или совершенствуется уже имеющееся. Среди средств информационной защиты можно выделить:

• Физические средства защиты информации. К ним относятся ограничение или полный запрет доступа посторонних лиц на территорию, пропускные пункты, оснащенные специальными системами. Большое распространение получили HID-карты для контроля доступа. Например, при внедрении этой системы, пройти в серверную или другое важное подразделение компании могут лишь те, кому такой доступ предоставлен по протоколу.
• Базовые средства защиты электронной информации. Это незаменимый компонент обеспечения информационной безопасности компании. К ним относятся многочисленные антивирусные программы, а также системы фильтрации электронной почты, защищающие пользователя от нежелательной или подозрительной корреспонденции. Корпоративные почтовые ящики обязательно должны быть оборудованы такими системами. Кроме того, необходима организация дифференцированного доступа к информации и систематическая смена паролей.
• Анти-DDoS. Грамотная защита от DDoS-атак собственными силами невозможна. Многие разработчики программного обеспечения предлагают услугу анти-DDoS, которая способна защитить от подобных нападений. Как только в системе обнаруживается трафик необычного типа или качества, активируется система защиты, выявляющая и блокирующая вредный трафик. При этом бизнес-трафик поступает беспрепятственно. Система способна срабатывать неограниченное количество раз, до тех пор, пока угроза не будет полностью устранена.
• Резервное копирование данных. Это решение, подразумевающее хранение важной информации не только на конкретном компьютере, но и на других устройствах: внешнем носителе или сервере. В последнее время особенно актуальной стала услуга удаленного хранения различной информации в «облаке» дата-центров. Именно такое копирование способно защитить компанию в случае чрезвычайной ситуации, например, при изъятии сервера органами власти. Создать резервную копию и восстановить данные можно в любое удобное для пользователя время, в любой географической точке.
• План аварийного восстановления данных. Крайняя мера защиты информации после потери данных. Такой план необходим каждой компании для того, чтобы в максимально сжатые сроки устранить риск простоя и обеспечить непрерывность бизнес-процессов. Если компания по каким-то причинам не может получить доступ к своим информационным ресурсам, наличие такого плана поможет сократить время на восстановление информационной системы и подготовки ее к работе. В нем обязательно должна быть предусмотрена возможность введения аварийного режима работы на период сбоя, а также все действия, которые должны быть предприняты после восстановления данных. Сам процесс восстановления следует максимально отработать с учетом всех изменений системы.
• Шифрование данных при передаче информации в электронном формате (end-to-end protection). Чтобы обеспечить конфиденциальность информации при ее передаче в электронном формате применяются различные виды шифрования. Шифрование дает возможность подтвердить подлинность передаваемой информации, защитить ее при хранении на открытых носителях, защитить ПО и другие информационные ресурсы компании от несанкционированного копирования и использования.

Итак, защита информации должна осуществляться комплексно, сразу по нескольким направлениям. Чем больше методов будет задействовано, тем меньше вероятность возникновения угроз и утечки, тем устойчивее положение компании на рынке.

www.kp.ru

Информационная безопасность

2012/09/10 15:31:30

Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Начиная с 2000-х годов киберугрозы стали актуальны для всех, начиная от крупнейших государственных информационных систем до компьютеров рядовых граждан. Киберугроза – это незаконное проникновение или угроза вредоносного проникновения в виртуальное пространство для достижения политических, социальных или иных, целей.

Кибервойны между странами

Крупнейшие киберконфликты разворачиваются между государствами, обладающими наибольшими вычислительными и интеллектуальными ресурсами для ведения кибервойн. Информация о соглашениях об электронном ненападении, а также о противоборстве в виртуальном пространстве между странами, выделена в отдельную статью:

Россия вынуждена предпринимать меры сдерживания других стран в сфере киберпространства и таким образом оказывается вовлеченной в кибервойны. Ключевым оппонентом в данной сфере традиционно выступают США:

Киберпреступность и потери организаций

Киберпреступность стала крупнейшим в мире направлением в криминальном мире. Хроника событий в статье:

Кибермошенники ежегодно наносят гигантский экономический ущерб отдельным организациям и целым странам:

Банки являются крупнейшими целями киберпреступников. Информация о потерях финансовых учреждений вынесена в отдельную статью:

Часто финансовый ущерб организациям наносят не преступники, а собственные сотрудники, которые воруют, удаляют данные или теряют носители информации за пределами контура организации:

Отраслевая специфика

Автомобили

Банки

Здравоохранение

Электронная коммерция

Рынок решений и услуг по защите информации

Зона охвата Cybersecurity расширяется и становится Digital Security. Источник: Gartner (август 2016)

Для предотвращения потерь, связанных с киберпреступностью, государства и компании закупают оборудование, ПО и услуги для защиты информации.

Угрозы информационной безопасности

Анализ потенциальных киберугроз для организации является услугой, которую можно купить на рынке:

Действия, несущие угрозу для информационных систем, можно разделить на две основные категории: внутренние (умышленные и неумышленные действия сотрудников) и внешние (сетевые кибератаки, кража носителей информации).

Внутренние угрозы

Внутренние угрозы связаны прежде всего с утечками данных:

Чаще всего к утечкам приводят следующие действия, осуществляемые авторизованными пользователями (сотрудниками, инсайдерами):

• целенаправленная кража, замена на заведомо ложные или уничтожение данных на рабочей станции или сервере;
• повреждение данных пользователем, вызванное неосторожными или халатными действиями;
• утеря носителей информации за периметром организации.

Внешние угрозы

Электронные методы воздействия, осуществляемые хакерами:

• несанкционированное проникновение в компьютерные сети;
• DoS- и DDoS-атаки;

Компьютерные вирусы

Спам

Естественные угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные и другие обстоятельства.

Основные проблемы защиты данных в информационных системах

Конечная цель реализации мер безопасности

Повышение потребительских свойств защищаемого сервиса, а именно:

• Удобство использования сервиса
• Безопасность при использовании сервиса

• Применительно к системам ДБО это означает сохранность денег
• Применительно к системам электронного взаимодействия это означает контроль над правами на объект и сохранность ресурсов
• Утрата любого свойства безопасности означает потерю доверия к сервису безопасности

Что подрывает доверие к сервисам безопасности ?

На бытовом уровне

• Информация о хищениях денег и собственности, зачастую излагаемая гипертрофировано
• Запуганность людей непонятными для них, а значит, неконтролируемыми угрозами (кибератаками, хакерами, вирусами и т.д.)
• Некачественная работа предоставленного сервиса,(отказы, ошибки, неточная информация, утрата информации)
• Недостаточно надежная аутентификация личности
• Факты мошенничества, с которыми сталкиваются люди или слышали о них

На правовом уровне

• Утрата аутентичности данных
• Утрата легитимности сервиса безопасности по формальному признаку (окончание срока действия сертификата, аттестата на объект, лицензии на вид деятельности, окончание поддержки)
• Сбои в работе СКД –СУД, нарушение конфиденциальности
• Слабый уровень доверия к сервису аутентификации
• Сбои и недостатки в работе систем защиты, дающие возможность оспорить легитимность совершаемых операций

Построение любой компьютерной сети начинается с установки рабочих станций, следовательно подсистема информационной безопасности начинается с защиты этих объектов.

Здесь возможны:

• средства защиты операционной системы;
• антивирусный пакет;
• дополнительные устройства аутентификации пользователя;
• средства защиты рабочих станций от несанкционированного доступа;
• средства шифрования прикладного уровня.

На базе перечисленных средств защиты информации строится первый уровень подсистем информационной безопасности в автоматизированных системах. На втором этапе развития системы отдельные рабочие станции объединяют в локальные сети, устанавливают выделенные сервера и организуют выход из локальной сети в интернет.

На данном этапе используются средства защиты информации второго уровня — уровня защиты локальной сети:

При объединении локальных сетей в общий интранет с использованием в качестве коммуникационной среды публичных сетей (в том числе, интернета) безопасность обмена информацией обеспечивается применением технологии VPN, которая составляет основу третьего уровня информационной безопасности.

Читать статью «ИБ: средства защиты» »’

Физические способы обеспечения информационной безопасности

Физические меры защиты — это разного рода механические, электро- и электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы и охраняемой информации. В перечень физических способов защиты информации входят:

• организация пропускного режима;
• организация учёта, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
• распределение реквизитов разграничения доступа;
• организация скрытого контроля за деятельностью пользователей и обслуживающего персонала информационной системы;
• мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях аппаратного и программного обеспечения.

Когда физические и технические способы недоступны, применяются административные меры обеспечния информационной безопасности. Опыт функционирования организаций со сложной организацией информационной системы показал, что наилучшие результаты в достижении информационной безопасности достигаются при использовании системного подхода.

Почему в СМБ риски в сфере ИБ высоки

Многие руководители малого бизнеса недооценивают важность информационной безопасности, полагая, что небольшие компании не так интересны хакерам, как крупные. Это заблуждение. Малый бизнес как раз весьма привлекателен для интернет-мошенников. В первую очередь тем, что не слишком озабочен информационной безопасностью.

Не на всяком малом предприятии в штате есть специалист по информационным технологиям, зато часто встречаются нелегальное программное обеспечение, «левый» антивирус. Данные могут храниться в общедоступных папках, ключи от системы дистанционного банковского обслуживания (ДБО) – в ящике стола руководителя. Повышает риск утечки корпоративной информации и использование в работе смартфонов и планшетов.

Как показывает анализ возникающих инцидентов, злоумышленники, как правило, не охотятся на какую-то конкретную компанию, «натравливая» вирусы на всех, кто попадется под руку.

«И те, кто защищен меньше или не защищен совсем, становятся первыми «жертвами» хакеров, которые, проникая в информационную сеть компании, похищают секретные ключи, данные об операциях или клиентах», – отмечает Олег Илюхин, директор департамента информационных технологий «СДМ-Банка».

Правила безопасности

Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо (2014 г.).

Заслон от вирусов и спама

Заслон для вирусов и спама. Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. На август 2014 года ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в 2013 году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.

Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус, регулярно обновлять его.

Компьютер для ДБО использовать только для ДБО

Компьютер, на котором установлено ДБО, необходимо отключить от локальных сетей. Выходить в интернет с него, кроме как для связи с банком, нельзя.

Не пользоваться соцсетями и открытым Wi-Fi с рабочих компьютеров

Если в работе или для хранения информации используются смартфоны и планшетные компьютеры, не надо выходить с них в социальные сети и пользоваться общедоступным Wi-Fi^[1].

Ключи и пароли держать под замком

Часто руководители СМБ сами дают карты в руки мошенникам, держа ключи от ДБО и электронной подписи в доступном месте.

«Более того, некоторые нерадивые сотрудники компании вообще не вынимают usb-флэшку с ключом от ДБО из компьютера. В случае, если хакер получит контроль над компьютером, это приведет к краже всех секретных ключей и использованию системы ДБО мошенником от имени организации», – предупреждает Олег Илюхин, директор департамента информационных технологий «СДМ-Банка».

Эти сведения необходимо хранить в сейфе или другом надежном месте, доступ посторонних к ним должен быть запрещен.

Корпоративные данные должны храниться на удаленном сервере

Коммерческие и персональные данные лучше всего доверить облачным сервисам. Это безопаснее, чем в папке на столе или компьютере, на флешке или съемном диске. Данные в дата-центрах хранятся в зашифрованном виде, и добраться до них можно только с помощью электронных ключей и цифровой подписи.

Разграничить доступ к данным между сотрудниками

Важно также предупредить и внутренние угрозы – умышленные или случайные нарушения политики информационной безопасности сотрудниками компании. Эти риски можно минимизировать, установив доступ к корпоративной информации в зависимости от уровня полномочий сотрудников. Например, менеджер по продажам располагает сведениями только о своих клиентах, а полная база и вся история продаж будет доступна только начальнику отдела продаж. Главный бухгалтер должен иметь доступ только к бухгалтерской отчетности, а управленческая отчетность будет доступна только гендиректору. Конечно, в маленькой компании добиться полного обособления функций сложно, но попытаться разграничить потоки информации между сотрудниками все-таки необходимо. Все это также снизит вероятность утечки данных.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение

Информационная безопасность и киберпреступность

• Киберпреступность в мире
• Требования NIST
• Глобальный индекс кибербезопасности
• Кибервойны, Кибервойна России и США
• Киберпреступность и киберконфликты : Россия, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия
• Киберпреступность и киберконфликты : Украина
• Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
• Киберпреступность и киберконфликты : Европа, ENISA, ANSSI
• Информационная безопасность во Франции
• Tactical Edge Networking (военный интернет)
• Киберпреступность и киберконфликты : Израиль
• Киберпреступность и киберконфликты : Иран
• Киберпреступность и киберконфликты : Китай
• Импортозамещение информационных технологий в Китае
• Как США шпионили за производством микросхем в СССР

Ссылки

www.tadviser.ru

Понятие информационной безопасности — Информационная безопасность

 

В других источниках приводятся следующие определения:

Информационная безопасность – это

1) комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с её доступностью для всех авторизованных пользователей;

2) показатель, отражающий статус защищенности информационной системы;

3) состояние защищённости информационной среды;

4) состояние, обеспечивающее защищенность информационных ресурсов и каналов, а также доступа к источникам информации.

В. И. Ярочкин считает, что информационная безопасность есть состояние защищённости информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности.

Достаточно полное определение дают В. Бетелин и В. Галатенко, которые полагают, что

 

Информационная безопасность – защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам или пользователям информации и поддерживающей инфраструктуры.

В данном пособии мы будем опираться на приведённое выше определение.

ИБ не сводится исключительно к защите информации и компьютерной безопасности. Следует различать информационную безопасность от защиты информации.

 

Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

 

Иногда под защитой информации понимается создание в ЭВМ и вычислительных системах организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации.

 

Международный день защиты информации отмечается 30 ноября с 1988 года. В этот год произошла первая массовая компьютерная эпидемия — эпидемия червя Морриса.

 

Меры по обеспечению информационной безопасности должны осуществляться в разных сферах – политике, экономике, обороне, а также на различных уровнях – государственном, региональном, организационном и личностном. Поэтому задачи информационной безопасности на уровне государства отличаются от задач, стоящих перед информационной безопасностью на уровне организации.

Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. ИБ зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Поддерживающая инфраструктура имеет самостоятельную ценность, важность которой переоценить невозможно.

После событий 11 сентября 2001 года в законодательстве США в соответствии с законом «О патриотизме» было определено понятие «критическая инфраструктура», которая понимается как «совокупность физических или виртуальных систем и средств, важных для США в такой мере, что их выход из строя или уничтожение могут привести к губительным последствиям в области обороны, экономики, здравоохранения и безопасности нации». Понятие критической инфраструктуры охватывает такие ключевые области народного хозяйства и экономики США, как национальная оборона, сельское хозяйство, производство пищевых продуктов, гражданская авиация, морской транспорт, автомобильные дороги и мосты, тоннели, дамбы, трубопроводы, водоснабжение, здравоохранение, службы экстренной помощи, органы государственного управления, военное производство, информационные и телекоммуникационные системы и сети, энергетика, транспорт, банковская и финансовая системы, химическая промышленность, почтовая служба.

В социальном плане информационная безопасность предполагает борьбу с информационным «загрязнением» окружающей среды, использованием информации в противоправных и аморальных целях.

 

Объектом ИБ будет считаться информация, затрагивающая государственные, служебные, коммерческие, ин­теллектуальные и личностные интересы, а также средства и инфраструктура её обработки и пе­редачи.

 

Также объектами информационного воздействия и, следовательно, информационной безопасности могут быть общественное или индивидуальное сознание.

 

Общественное сознание –совокупность идей, взглядов, представлений, существующих в обществе в данный период, в которых отражается социальная действительность.

 

На государственном уровне субъектами ИБ являются органы исполнительной, законодательной и судебной власти. В отдельных ведомствах созданы органы, специально занимающиеся информационной безопасностью.

 

Субъектами ИБ являются органы и структуры, которые в той или иной мере занимаются ее обеспечением.

 

Кроме этого, субъектами ИБ могут быть:

— граждане и общественные объединения;

— средства массовой информации;

— предприятия и организации независимо от формы собственности.

Интересы субъектов ИБ, связанных с использованием информационных систем, можно подразделить на следующие основные категории:

Доступность – возможность за приемлемое время получить требуемую информационную услугу. Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления: производством, транспортом и т.п. Поэтому, не противопоставляя доступность остальным аспектам, доступность является важнейшим элементом ИБ.

Целостность –актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности – анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность – защита от несанкционированного ознакомления. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.

Цель мероприятий в области информационной безопасности – защита интересов субъектов ИБ.

Задачи ИБ:

1. Обеспечение права личности и общества на получение информации.

2. Обеспечение объективной информацией.

3. Борьба с криминальными угрозами в сфере информационных и телекоммуникационных систем, с телефонным терроризмом, отмыванием денег и т.д.

4. Защита личности, организации, общества и государства от информационно-психологических угроз.

5. Формирование имиджа, борьба с клеветой, слухами, дезинформацией.

Роль информационной безопасности возрастает при возникновении экстремальной ситуации, когда любое недостоверное сообщение может привести к усугублению обстановки.

Критерий ИБ – гарантированная защищённость информации от утечки, искажения, утраты или иных форм обесценивания. Безопасные информационные технологии должны обладать способностью к недопущению или нейтрализации воздействия как внешних, так и внутренних угроз информации, содержать в себе адекватные методы и способы её защиты. 

xn—-7sbabeyocb2bkdagddhcqh9acx1a8cxksc.xn--80afh5aqv.xn--p1ai

Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB)

Привет, Хабр! Представляю вашему вниманию перевод и адаптацию статьи «CIS-Controls Implementation Guide for Small- and Medium-Sized Enterprises (SMEs)».

Введение

Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями. Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.

Подобные компании имеют многомиллионные бюджеты, выделяемые на информационную безопасность, и все же они не справляются с обычными атаками. Многие подобные атаки можно было предотвратить известными методами по защите информации, такими как регулярные обновления и практика использования безопасных конфигураций.

Что же тогда делать всем остальным? Как организациям с небольшим бюджетом и ограниченным штатом сотрудников реагировать на увеличивающееся число кибер-преступлений? Данный документ разработан для того, чтобы предоставить владельцам SMB инструменты для защиты своего бизнеса, основанные на CIS Controls. CIS Controls — это комплексный набор хорошо зарекомендовавших себя методов защиты информации, которые противодействуют наиболее распространенным угрозам и уязвимостям. Данные методы защиты информации разработаны специалистами в предметной области.

Среди угроз для SMB можно выделить:

Кража конфиденциальной информации – тип атаки, при которой внешние нарушители или неудовлетворенные работники крадут информацию, которая является важной для компании.

Дефейс сайта — тип атаки, при которой страница web-сайта заменяется другой страницей, чаще всего содержащей рекламу, угрозы или вызывающие предупреждения,.

Фишинг – тип атаки, при которой злоумышленник получает важную информацию (например, логины, пароли или данные кредитных карт) путем подделывания сообщений от доверенного источника (например, электронное письмо, составленное как легитимное, обманом заставляет получателя кликнуть по ссылке в письме, которая устанавливает вредоносное программное обеспечение на компьютер).

Программа-вымогатель — тип вредоносного программного обеспечения, блокирующего доступ к данным на компьютере, в результате чего преступники вымогают выкуп за то, чтобы разблокировать заблокированные данные.

Потеря данных из-за природных явлений или несчастных случаев.

Документ содержит небольшой набор мер по защите информации CIS Controls, специально подобранных для защиты SMB. Поскольку средства защиты информации постоянно меняются, вы можете связаться с нами на сайте и получить последнюю информацию.

Обзор

Безопасность тесно связана с управлением ИТ-инфраструктурой: хорошо управляемую сеть сложнее взломать, чем плохо управляемую. Чтобы понять, насколько хорошо ваша организация обеспечивает защиту информации, задайте себе следующие вопросы:

• Знаете ли вы, что ваши сотрудники подключают к своим компьютерам? Какие устройства подключены внутри локальной сети?
• Знаете ли вы, какое программное обеспечение используется в ваших информационных системах?
• Вы настраивали компьютеры с учетом требований по информационной безопасности?
• Вы контролируете доступ сотрудников к конфиденциальной информации или тех, у кого есть повышенные права доступа в системах?
• Ваши сотрудники хорошо понимают свою роль в защите вашей организации от угроз информационной безопасности?

Ниже перечислены различные бесплатные или недорогие инструменты, а также процедуры, которые помогут вам ответить на перечисленные вопросы и повысить уровень безопасности в организации. Перечисленные инструменты не является исчерпывающими, но они отражают широкий спектр доступных бесплатных или недорогих инструментов, которые любой SMB может использовать для повышения своего уровня информационной безопасности.
В данных Рекомендациях предлагается использовать поэтапный подход к построению системы защиты информации:

• Этап 1 позволяет понять, что находится в вашей сети, и определяет базовые требования по информационной безопасности;
• Этап 2 уделяет основное внимание обеспечению базовых требований безопасности и обучению сотрудников вопросам информационной безопасности.
• Этап 3 помогает вашей организации подготовиться к инцидентам по информационной безопасности.

На каждом этапе вам будут представлены вопросы, на которые необходимо ответить, а также действия и инструменты, которые помогут достичь ваших целей.

Этап 1. Знай свою инфраструктуру

В самом начале, чтобы продвинуться в вопросе информационной безопасности, необходимо разобраться с локальной сетью, подключенными устройствами, критически важными данными и программным обеспечением. Без четкого понимания того, что вам нужно защитить, вам будет трудно убедиться в том, что вы обеспечиваете приемлемый уровень информационной безопасности.

Ключевые вопросы, которые необходимо держать в голове:

• Знаете ли вы, какую информацию необходимо защищать? Где в вашей сети хранится самая важная информация?
• Знаете ли вы, какие устройства подключены к вашей сети?
• Знаете ли вы, какое программное обеспечение установлено на компьютерах сотрудников?
• Используют ли ваши системные администраторы и пользователи надежные пароли?
• Знаете ли вы, какие онлайн-ресурсы используют ваши сотрудники (т. е. работают или сидят в социальных сетях)?

Какую информацию необходимо защищать. Где в вашей сети хранится самая важная информация

Вы можете потерять свой бизнес, если критически важные данные вашей компании будут потеряны, украдены или повреждены. Случайные события и природные катаклизмы также потенциально могут нанести непоправимый ущерб. Кроме того, потенциальные злоумышленники нацелены на данные, которые могут иметь ценность для них. Этими злоумышленниками могут быть как хакеры, так и сотрудники вашей компании, которые хотят украсть ваших клиентов, финансовую информацию или интеллектуальную собственность. Чтобы использовать ценную информацию, они должны получить к ней доступ, а доступ, как правило, они получают через локальную сеть организации.

Чтобы защитить свой бизнес, вам нужно понимать ценность ваших данных и как их можно использовать. Также необходимо определить, какую информацию требуется защищать в рамках законодательства, например, платежная информация или персональные данные. Ниже представлены примеры данных, которые вам необходимо идентифицировать и инвентаризировать:

• Кредитные карты, банковская и финансовая информация;
• Персональные данные;
• Базы данных клиентов, цены на закупку/поставку;
• Коммерческие секреты компании, формулы, методологии, модели, интеллектуальная собственность.

Также представлены основные федеральные законы, которые определяют требования по защите информации (которые могут относиться к SMB) [от переводчика: документы вставлены с учетом Российского законодательства]:

• Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»;
• Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 29.11.2010 N 326-ФЗ («Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Какие устройства подключены к вашей сети

Если вы знаете какие устройства подключены к вашей сети, то ваша инфраструктура становится проще в управлении, и вы понимаете, какие устройства необходимо защищать. Ниже описаны действия, которые вы можете сделать, чтобы узнать об устройствах в вашей сети.

Действия:

• Если у вас есть беспроводная сеть, проверьте на своем маршрутизаторе (контроллере беспроводного доступа) какие устройства подключены, и применяется ли надежное шифрование (WPA2).
• Для более крупных организаций предлагается применение сетевого сканера (коммерческий или бесплатный) для идентификации всех устройств в вашей сети.
• Включите логирование событий, связанных с подключением сетевых устройств, которые получают ip-адрес по протоколу DHCP. Логирование таких событий обеспечит удобное отслеживание всех устройств, которые были в вашей сети. (Если вам нужна помощь, обратитесь к вашим ИТ-специалистам.)
• В небольших организациях можно хранить список вашего оборудования (компьютеры, серверы, ноутбуки, принтеры, телефоны и т. д.) и перечень защищаемой информации в электронной таблице, которую необходимо обновлять при появлении нового оборудования или данных.

Инструменты:

• Nmap: известный многоцелевой сетевой сканер, используемый системными администраторами и хакерами по всему миру, чтобы определить, какие устройства подключены к вашей сети
• ZenMap: удобный графический интерфейс для Nmap
• Spiceworks: бесплатное программное обеспечение инвентаризации и управления ресурсами (устройства и установленное программное обеспечение) вашей сети

Какое программное обеспечение установлено на компьютерах сотрудников

Контроль установленного программного обеспечения является ключевым компонентом как хорошего управления ИТ, так и эффективной защиты информации. Вредоносное программное обеспечение в вашей сети может создавать риски, которые необходимо минимизировать, сюда же можно отнести юридическую ответственность за использование нелицензионного программного обеспечения. Необновленное программное обеспечение является распространенной причиной проникновения вредоносного ПО, которое приводит к атакам на ваши информационные системы. Если вы понимаете, какое программное обеспечение установлено в вашей сети, контролируете устанавливаемое программное обеспечение и защищаете учетные записи с правами администратора, то вы уменьшаете вероятность и влияние инцидентов информационной безопасности.

Действия:

• Создайте перечень приложений, веб-сервисов или облачных решений, которые использует ваша организация:
• Ограничьте число пользователей с правами администратора до минимально возможного значения. Не позволяйте обычным пользователям работать в системе с правами администратора.
• Используйте сложные пароли для административных учетных записей, так как администраторы могут вносить серьезные изменения в систему. Разработайте инструкцию для сотрудников по составлению сложных паролей [от переводчика: пример создания сложного пароля — здесь].
• Убедитесь, что системные администраторы используют отдельную пользовательскую учетную запись для чтения электронной почты, доступа в Интернет и составления документов.
• Разработайте процедуру установки программного обеспечения в вашей сети и запретите установку неодобренных приложений с помощью, например, Applocker.

Инструменты:

• Applocker: бесплатный инструмент Microsoft Windows для определения и ограничения программного обеспечения, которое разрешено запускать
• Netwrix: множество бесплатных инструментов для идентификации информации об административном доступе в ваших системах
• OpenAudIT: инвентаризация программного обеспечения на серверах, рабочих станциях и сетевых устройствах

Этап 2. Защити свои активы

Сотрудники — ваш самый важный актив, и это выражение справедливо не только в бизнесе, но и в информационной безопасности. Защита вашей информации требует не только технологических решений, но и осведомленности сотрудников о предотвращении случайного нарушения работы ваших систем. В рамках этого этапа не только будет описана защита ваших компьютеров, но и обучение ваших сотрудников важным аспектам информационной безопасности.

Несколько вопросов, на которые вам необходимо ответить:

• Вы настраивали компьютеры с учетом требований по информационной безопасности?
• В вашей сети работает антивирусное ПО, которое постоянно обновляется?
• Рассказываете ли вы своим сотрудникам о современных методах защиты информации?

Настройка базовых требований по информационной безопасности

Для получения доступа в вашу информационную систему вредоносные программы и злоумышленники чаще всего используют либо небезопасно настроенные приложения, либо приложения с уязвимостями. Вам необходимо убедиться, что ваша операционная система и приложения (особенно веб-браузеры) обновлены и правильно настроены. Кроме того, рекомендуется использовать механизмы защиты от вредоносных программ, которые могут быть встроены в вашу операционную систему. Например, Windows Device Guard, Windows Bitlocker и другие, упомянутые ниже.

Действия:

• периодически запускайте сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи/обновления не установлены для операционной системы Windows, и какие изменения в конфигурации необходимо выполнить;
• убедитесь, что ваши браузер и плагины в нем обновлены. Попробуйте использовать браузеры, которые автоматически обновляют свои компоненты, такие как Google Chrome [от переводчика: русским аналогом может быть Яндекс.Браузер];
• используйте антивирус с последними обновлениями антивирусной базы для защиты систем от вредоносного ПО;
• ограничьте использование съемных носителей (USB, CD, DVD) теми сотрудниками, кому это действительно нужно для выполнения своих служебных обязанностей;
• установите программный инструмент Enhanced Mitigation Experience Toolkit (EMET) на компьютерах с Windows для защиты от уязвимостей, связанных с программным кодом;
• требуйте использования многофакторной аутентификации там, где это возможно, особенно для удаленного доступа к внутренней сети или электронной почте. Например, используйте безопасные токены/смарт-карты или смс сообщения с кодами в качестве дополнительного уровня безопасности в дополнение к паролям;
• измените пароли по умолчанию для всех приложений, операционных систем, маршрутизаторов, межсетевых экранов, точек беспроводного доступа, принтеров/сканеров и других устройств, при добавлении их в сеть;
• используйте шифрование для безопасного удаленного управления вашими устройствами и передачи конфиденциальной информации;
• шифруйте жесткие диски на ноутбуке или мобильном устройстве, содержащие конфиденциальную информацию.

Инструменты:

• Bitlocker: встроенное шифрование для устройств Microsoft Windows
• FireVault: встроенное шифрование для устройств Mac
• Qualys Browser Check: инструмент для проверки вашего браузера на наличие последних обновлений
• OpenVAS: инструмент для проверки систем на соответствие базовым требованиям информационной безопасности
• Microsoft Baseline Security Analyzer: бесплатный инструмент Microsoft для понимания того, как компьютеры с операционной системой Windows могут быть безопасно настроены
• CIS Benchmarks: бесплатные PDF-файлы, в которых содержатся инструкции по созданию конфигураций с учетом информационной безопасности для более чем 100 технологий.

Выработка процессов по ИБ

Информационная безопасность — это история не только про технологии, но и про процессы, и людей. Недостаточно наличия только средств защиты информации. Чтобы обеспечить безопасность вашей организации, ваши сотрудники также должны строго соблюдать требования по информационной безопасности. Есть два ключевых фактора для обучения ваших сотрудникам вопросам информационной безопасности: донести информацию до них, постоянно поддерживать их уровень знаний.

Информация, которую необходимо донести до сотрудников:

• Определите сотрудников в вашей организации, которые имеют доступ или обрабатывают конфиденциальную информации, и убедитесь, что они понимают свою роль в защите этой информации.
• Двумя самыми распространенными атаками являются фишинговые атаки по электронной почте и по телефону. Убедитесь, что ваши сотрудники могут описать и определить основные признаки атаки. К таким признакам могут относиться ситуации, когда люди говорят о большой срочности, просят ценную или конфиденциальную информацию, используют непонятные или технические термины, просят игнорировать или обойти процедуры безопасности.
• Сотрудники должны понимать, что здравый смысл является лучшей защитой. Если происходящее кажется странным, подозрительным или слишком хорошим, чтобы быть правдой, это скорее всего признаки атаки.
• Поощряйте использование сложных, уникальных паролей для каждой учетной записи и / или двухфактурную аутентификацию там, где это возможно.
• Требуйте от ваших коллег использовать «блокировку экрана» на своих мобильных устройствах.
• Убедитесь, что все сотрудники постоянно обновляют свои устройства и программное обеспечение.

Поддержка уровня знаний:

• Поясняйте своим сотрудникам, как защитить вашу организацию и как эти методы можно применять в их личной жизни, убедитесь, что они это понимают;
• Убедитесь, что все сотрудники понимают, что информационная безопасность является важной частью их работы.
• Распространяйте для своих сотрудников бесплатные информационные материалы по вопросам информационной безопасности, такие как информационный бюллетень SANS OUCH! и ежемесячные информационные бюллетени MS-ISAC.
• Используйте онлайн-ресурсы, такие как StaySafeOnline.org Национального альянса кибербезопасности.

Инструменты:

Этап 3: Подготовь свою организацию

После того, как ваша организация разработала серьезный фундамент по информационной безопасности, вы должны выстроить механизмы реакции на инциденты. Такой подход включает в себя понимание, как справляться с инцидентом информационной безопасности и как восстановить работу компании после него.

Ключевые вопросы:

• Знаете ли вы, когда последний раз была создана резервная копия ваших ценных файлов?
• Регулярно ли вы проверяете правильность резервных копий?
• Знаете ли вы, с кем из коллег связаться, если произошел инцидент?

Управление резервными копиями

Создание и управление резервными копиями может быть рутинной и не очень интересной задачей, однако, это один из лучших способов защитить ваши данные, восстановиться после сбоя и вернуть ваш бизнес в обычное русло. Это важно, потому что программы-вымогатели могут зашифровать все ваши данные и заблокировать их до выкупа. Надежный план реагирования, дополненный текущими и поддерживаемыми резервными копиями, является наилучшей защитой при работе с инцидентом по информационной безопасности.

Действия:

• Автоматически выполнять еженедельные резервные копии всех компьютеров, содержащих важную информацию;
• Периодически проверяйте свои резервные копии, восстанавливая систему с использованием резервной копии;
• Убедитесь, что, хотя бы одна резервная копия недоступна по сети. Это поможет защитить от атак программ-вымогателей, поскольку данная резервная копия не будет доступна для вредоносного ПО.

Инструменты:

• Microsoft «Резервное копирование и восстановление»: утилита резервного копирования, встроенная в операционную систему Microsoft
• Apple Time Machine: инструмент резервного копирования, установленный в операционных системах Apple
• Amanda Network Backup: бесплатный инструмент резервного копирования с открытым исходным кодом
• Bacula: сетевое решение для резервного копирования и восстановления информации с открытым исходным кодом

Подготовка к инциденту

Никто не хочет, чтобы произошел инцидент, связанный с информационной безопасностью, но чем лучше вы подготовлены, тем быстрее вы сможете восстановиться после инцидента. К инцидентам по информационной безопасности относят атаку типа «отказ в обслуживании», которая нарушает доступ к вашему сайту, атаку программ-вымогателей, которые блокируют вашу систему или ваши данные, атаку вредоносным ПО, которая приводит к потере данных вашего клиента или сотрудника, а также кражу ноутбука, содержащего незашифрованные данные.

Чтобы быть готовым, вам нужно знать, к кому обратиться в случае инцидента. Вы можете обратиться к внутреннему ИТ-персоналу за помощью, или, может быть, вы полагаетесь на стороннюю компанию, предоставляющую услуги по управлению инцидентами. В любом случае, вы должны знать роли ответственных за управление инцидентами до возникновения события.

Действия:

• Определите сотрудников вашей организации, которые будут принимать решения и давать указания в случае инцидента.
• Предоставьте контактную информацию для ИТ-персонала и / или сторонних организаций.
• Присоединяйтесь к ассоциациям, которые сосредоточены на обмене информацией и продвижении информационной безопасности.
• Храните список внешних контактов как часть вашего плана. К ним могут относиться юрисконсульты, страховые агенты, если вы застраховали риски по информационной безопасности, консультанты по вопросам безопасности.
• Ознакомьтесь с законами, связанными с нарушениями в сфере информационной безопасности в вашей стране.

Что делать, если произошел инцидент:

• Рассмотрите возможность обращения к консультанту по информационной безопасности, если характер и масштаб инцидента вам непонятен.
• Рассмотрите возможность обращения к юристу, если окажется, что в инциденте была скомпрометирована конфиденциальная информация третьей стороны.
• Подготовьтесь к уведомлению всех затронутых лиц, чья информация была раскрыта в результате нарушения.
• По мере необходимости информируйте сотрудников правоохранительных органов.

habr.com