Кое-что об информационной безопасности в организациях

Для того чтобы деятельность компании была успешной, то есть - прибыльной, в ней должен выполняться целый комплекс мероприятий, обеспечивающих безопасность работы сотрудников и бизнес-процессов.

StaffCop (АТОМ БЕЗОПАСНОСТЬ)

      Всем широко известны требования пожарной безопасности. Их несоблюдение может привести не только к исчезновению компании, но и к гибели людей. Чтобы этого не было, проводятся регулярные проверки – оборудована ли огнетушителями и вытяжками комната для ку-рения и не заставлены ли шкафами пути эвакуации. И они стараются выполнять свою работу, где-то успешно, где-то не очень, но мы все понимаем, что их работа необходима и полезна. Ни у кого не возникает и мысли о том, что противопожарная безопасность не важна или не имеет значения.

      Не менее важным является и соблюдение требований электробезопасности. И тут тоже ни у кого не возникает сомнений в том, что соблюдать электробезопасность необходимо. Об этом нам рассказывают обучающие видео и лекции на протяжении всей нашей жизни. Об этом говорят родители, об этом говорят в школе, техникуме, институте. Так или иначе, многих из нас било током или мы видели, как кого-то било током. Сейчас, в интернете, можно найти множество просвещающих статей с примерами электротравм и множество ужасных видео, на которых наглядно видно, чем заканчивается пренебрежение электробезопасностью. 

      В последнее время, когда вовсю заговорили о «цифровизации жизни», «переводе экономики на цифровые рельсы» и даже о введении «электронно-цифрового государства» - в полный рост стал вопрос об информационной безопасности организаций, как государственных, так и коммерческих. И у людей, как оказывается, есть сомнения в том, что требования информационной безопасности необходимо соблюдать.

      Давайте поподробнее рассмотрим, что такое информационная безопасность компании.

      В любой (абсолютно любой: государственной, акционерной, частной) компании собирается и обрабатывается информация: текстовая, графическая, статистическая, персональная и так далее. Как сбор, так и обработка любой информации всегда затрагивает чьи-то права, налагает определённые обязанности, поэтому работа с некоторыми видами информации регламентируется федеральными законами: работа с персональными данными – законом № 152-ФЗ, работа с информацией, составляющей государственную тайну – Законом Российской Федерации № 5485-I «О государственной тайне», и т.д. и т.п. Обеспечить сохранность этой информации, а так-же корректность её обработки – и есть задача информационной безопасности.

      В докомпьютерную эпоху технически обеспечить информационную безопасность организации было гораздо проще, чем сейчас: во-первых, большинство организаций, владеющих информацией, были государственными, с соответствующими возможностями; во-вторых, достаточно было поставить под полный контроль все устройства размножения и обеспечить тотальный контроль телефонных линий в организации. Но даже в это время утечек было полно – многочисленные истории промышленного и обычного шпионажа, к сожалению, успешного, это подтверждают.

      В наступившую эпоху глобального использования компьютеров, как единой сети, зада-чи информационной безопасности гораздо сложнее, глубже и шире, нежели лет двадцать-тридцать назад. Существующие средства коммуникаций (электронная почта, мессенджеры, чаты) в сочетании с имеющейся практически в каждом мобильном телефоне фото- и видеокамерой с высоким разрешением дают практически неограниченный простор для распространения и передачи на любые расстояния информации, которая не должна покидать стены предприятия. Кроме того, огромное распространение получили различного рода вредоносные программы (вирусы, трояны, «шифровальщики»), ворующие или повреждающие информацию. Поэтому комплексная информационная безопасность предприятия должна решать следующие задачи:

      1. Обеспечение целостности информации. Под этим требованием понимают гарантию полноты, непротиворечивости и достоверности информации;

      2. Обеспечение доступности и недоступности информации. Под этим кажущимся внешне противоречивым требованием понимают полную доступность для обработчика той информации, которая ему необходима для работы, и абсолютную недоступность для обработчика той информации, которая ему для работы не требуется: это регулируется системами авторизации пользователей. С этой же целью вводится разграничение информации на находящуюся в открытом доступе и информацию, считающейся коммерческой тайной и конфиденциальной информацией, а также информацию, считающейся служебной тайной. Отдельно квалифицируется информация, представляющая собой государственную тайну: её характеристики, сбор и обработка определяются, как уже говорилось выше, отдельным федеральным законом;

      3. Обеспечение недопустимости утечек информации. Под этим понимают перекрытие возможных каналов передачи информации за пределы контролируемых предприятием информационных сред, запрет доступа для неавторизованных внутренних и внешних пользователей к любой информации внутри предприятия, за исключением информации, определённой как находящейся в открытом доступе;

      4. Обеспечение недопустимости угроз повреждения и утраты информации. Под этим понимают как защиту непосредственно от угроз целенаправленного уничтожения или повреждения информации, так и защиту от случайных её потерь (например, от внезапно-го непредсказуемого отключения питания).

      Если все четыре задачи, перечисленные выше, успешно решены, то можно считать, что режим соблюдения информационной безопасности на предприятии на текущий момент выполняется. Достигается это целым комплексом организационно-технических мер – изданием внутренних документов предприятия, регламентирующих доступ к информации, а также внедрением специализированного программного обеспечения: от систем контроля работы пользователей с элементами DLP-систем, таких, например, как StaffCop Enterprise, до узкоспециализированных DLP-систем типа DeviceLock. Конечно же, не стоит забывать и о «традиционных» системах ограничения прав пользователей, встроенных в операционные системы Windows (доменная и не-доменная авторизации) и Linux (например, система прав NFS).

      Необходимо всегда помнить, что, несмотря на применяемые средства защиты от внеш-них угроз – «хакерских» проникновений и взломов (многоуровневые шлюзы доступа, системы защиты от сетевых атак) наиболее уязвимым звеном в информационной безопасности является человек – сотрудник предприятия, допущенный к обработке конфиденциальной информации. Он, по злому умыслу, незнанию или просто по разгильдяйству, становится виновником утечки информации, приводящей иногда не просто к многомиллионным потерям, но и иногда к полному и окончательному уходу предприятия с рынка: стоимость потери коммерческой репутации предприятия (например, репутации банка из-за утечки конфиденциальных данных клиентов – номеров кредитных карт, историй платежей) трудно переоценить, а в случае утечки информации, представляющей государственную тайну, к работе приступают соответствующие государственные органы.

      Очевидно, что угрозы информационной безопасности растут лавинообразно следом за развитием технологий, а иногда даже опережают их. Критерии, которые свидетельствуют о вы-соком технологическом уровне предприятия (такие, как широкое предоставление различных информационных сервисов сотрудникам, а иногда сторонним организациям и отдельным пользователям), одновременно способствуют увеличению количества угроз информационной без-опасности. Любой новый сервис порождает новые уязвимости, которые предстоит обезвредить, но нельзя забывать и о том, что даже в давно используемых, и успешно, сервисах находят новые уязвимости. Среди хакеров широко распространено следующее справедливое мнение: «Неуязвимых сервисов не существует, есть сервисы, уязвимости которых ещё не обнаружены».

      Из этого следует, что информационная безопасность не может быть обеспечена «раз и навсегда», даже принятым руководством предприятия комплексом регламентов и установкой набора программного обеспечения. Процесс обеспечения информационной безопасности предприятия - это динамический, быстро изменяющийся и развивающийся процесс, который должен идти вровень с возникающими угрозами, а в идеале – опережать и предупреждать их.

      Если говорить об информационной безопасности как о системе (комплексе) мер, то выделяются всего три фактора, определяющих развитие комплекса информационной безопасно-сти:

      • теоретический фактор (государственные законодательные акты, регламентирующие информационную безопасность, научно-технические и научные разработки в области информационных технологий и смежных наук, таких, например, как психология, социальный инжиниринг);

      • внутреннее регламентирование (внутренние регламенты предприятия, определяющие стратегию (общие принципы) и тактику (определение конкретных мер) решения задач информационной безопасности);

      • технические и программные решения, позволяющие обеспечить решение задач информационной безопасности.

      Упор следует делать на второй и третий факторы, не забывая при этом, что они должны полностью соответствовать первому.

      Все угрозы информационной безопасности подразделяются на внешние и внутренние. Среди руководителей организаций бытует мнение, что, защитившись от внешних угроз («хакерских» атак и взломов), можно считать, что задачи информационной безопасности практически решены. Это далеко не так: многочисленные инциденты и опыт показывают, что гораздо опаснее внутренние угрозы. Тем не менее, стоит сначала рассмотреть варианты внешних угроз.

      По сути дела, внешних угроз две: 

      • «хакерские» атаки, нацеленные либо на кражу/повреждение/удаление информации, содержащейся во внутренней сети предприятия, либо на фактическое отключение компании от сети Интернет (DoS и DDos-атаки). Для защиты от внешних угроз используются специальные программно-аппаратные комплексы в составе маршрутизаторов. Грамотная настройка шлюзов и маршрутизаторов, а также обязательное периодическое обновление программного обеспечения и баз данных на шлюзах и маршрутизаторах позволяет практически полностью минимизировать внешние угрозы такого типа. Любая хакерская атака будет отбита с блокировкой соединений с атакующими адресами;

      • атаки с помощью вирусов и троянских программ, рассылаемых массовой почтовой рассылкой, а также распространяющихся с фейковых и фишинговых сайтов. Данная угроза должна быть классифицирована как внешняя, так как не создаётся внутри компании, а приходит извне. Другой вопрос – что активируется она исключительно пользователями (сотрудник компании сам должен открыть вредоносное письмо или кликнуть по вредоносной ссылке), поэтому можно считать, что эта угроза находится на стыке внешних и внутренних угроз, обладая и теми, и другими чертами. Минимизировать такие угрозы можно выбором эффективного антивируса, который проверяет письма и почтовые вложения до их получения пользователем (на почтовом сервере) и задерживает их, не пропуская в почтовый ящик пользователя. Фейковые и фишинговые ссылки можно блокировать путём включения систем эвристического анализа на шлюзах/маршрутизаторах. Только надо не забывать регулярно обновлять как базы данных антивирусных приложений, так и базы данных фейковых и фишинговых сайтов, которые используются приложениями защиты на шлюзах/маршрутизаторах.

      Внутренние угрозы – это угрозы, которые связаны с сотрудниками организации, т.е. человеческим фактором. Можно выделить следующие основные виды внутренних угроз:

      • намеренные или ненамеренные действия сотрудника предприятия, которые при-вели к повреждению/удалению информации. В случае нормальной работы отдела информационных технологий и информационной безопасности такие инциденты не должны приводить к фатальным последствиям – информация просто восстанавливается из резервной копии;

      • намеренные или ненамеренные действия сотрудника предприятия, которые при-вели к утечке конфиденциальной информации за пределы предприятия. Это серьёзный инцидент безопасности, который, однако, можно предотвратить (и обязательно – зафиксировать), если система информационной безопасности на предприятии выстроена в соответствии с лучшими практиками и рекомендациями по информационной безопасности;

      • физическое разрушение (намеренное или ненамеренное) систем безопасности или информационных систем сотрудниками предприятия. Данный инцидент безопасности встречается, к счастью, довольно редко, и, поскольку, как правило, подобные действия приводят к серьёзному материальному ущербу – здесь уже речь идёт о нормах уголовного кодекса, а это – сфера деятельности правоохранительных органов. Единственный способ избежать этой угрозы – взаимодействие со службой физической безопасности и охраны предприятия, т.е. внедрение системы контроля управления доступом в помещения (СКУД) и системы охранного телевидения (для краткости обычно называемой системой видеонаблюдения);

      • действия сотрудника (или группы сотрудников), совершаемые с использованием социальной инженерии и психологических манипуляций. Особенность такого инцидента в том, что очень часто сотрудники даже не предполагают, что ими манипулируют, а инициатор действий может находиться далеко вне пределов предприятия, иногда даже в другой стране. Предотвращение инцидентов этого вида возможно только одним способом – анализом коммуникаций сотрудников, что делается с помощью специализированного программного обеспечения.

      Для предупреждения внутренних угроз используются самые различные организационные и технические средства – от введения внутренних регламентов по обработке информации и доступу к данным до использования при доступе к информационным системам вместо обычных логинов и паролей пользователя электронных ключей (токенов) и биометрических систем авторизации. Всё это тесно интегрируется с системами видеонаблюдения и СКУД. Последние две си-стемы, как уже говорилось выше, обычно находятся в ведении службы физической безопасности и охраны предприятий.

      Особую роль в предупреждении внутренних угроз играют программные комплексы, обеспечивающие контроль действий пользователей, а также системы предотвращения утечек информации (DLP-системы). Так, программный комплекс StaffCop способен контролировать практически любые действия пользователей, которые могут привести как к повреждению, так и к утечке информации. Методом, предотвращающим манипулирование извне как отдельными сотрудниками, так и их группами, является технология анализа связей сотрудников на основе построения графов переписки, которая позволяет определить, используются ли извне методы социальной инженерии. Модули контроля интернет-трафика StaffCop позволяют анализировать сайты, на которые заходят сотрудники, делить их на продуктивные (полезные для работы), нейтральные и непродуктивные (не имеющие отношения к работе), а также опасные – посещения которых могут привести к инцидентам. Опасные сайты могут быть заблокированы как для пользователей индивидуально, так и для групп пользователей. Это – посильная помощь продукта StaffCop шлюзам и маршрутизаторам, программное обеспечение которых имеет сходный функционал. Естественно, любое посещение сотрудником любого сайта отмечается в журнале событий StaffCop.

      DLP-системы предназначены для предотвращения утечек информации. Некоторые элементы DLP-систем имеются и в StaffCop – так, например, модуль контроля USB-устройств способен блокировать запись любой информации на внешние носители, подключаемые к пор-там USB (включая смартфоны и планшеты), а модуль контроля печати – определять количество напечатанных страниц и сохранять документы, которые пользователи отправляют на печать. Модуль поиска слов и словосочетаний в переписке сотрудников способен распознать ведение переговоров по критичным для безопасности вопросам (неодобрительные высказывания о руководстве или коллегах по работе, передача конфиденциальной информации, коммерческий подкуп и т.д.) Анализируются также отправляемые пользователями файлы, общение в интернет-мессенджерах и т.д.

      Нельзя также забывать и об организационной стороне борьбы с внутренними угрозами информационной безопасности. Введение внутренних регламентов по работе с информацией, её носителями (как бумажными, так и электронными) и доведение их под роспись до сотрудников –  обязательная часть построения полноценной комплексной системы информационной безопасности. Не стоит недооценивать также и периодическое обучение сотрудников по вопросам информационной безопасности - «предупреждён – значит, вооружён» - желательно, чтобы такое обучение было не разовым, а регулярным.

      На предприятии, где информационная безопасность обеспечивается комплексом организационных и технических мероприятий, любой инцидент информационной безопасности – это не рядовое событие, а аномалия. Программный комплекс StaffCop содержит в себе модуль детектора аномалий: если поведение какого-либо сотрудника становится вдруг отличным от по-вседневной деятельности, StaffCop сообщит об этом администратору информационной без-опасности, который сможет более внимательно присмотреться к деятельности этого пользователя. Поясним это на примере.

      Допустим, что изначально повседневная работа некоторого сотрудника предприятия предполагает распечатку 1-2 страниц в день, а резервное копирование файлов на флэшку он во-обще не использует – его вполне устраивает имеющаяся на предприятии система резервного копирования рабочих папок и файлов. И вот у этого сотрудника программный комплекс StaffCop диагностирует распечатку более 100 страниц каждый день в течение недели, а объём файлов, скопированных на внешнее устройство, приближается к терабайту. Программный комплекс StaffCop проинформирует администратора информационной безопасности об этом, на основании чего администратор может предположить, что сотрудник готовится уволиться и копирует всю информацию, до которой позволяют «достать» его права доступа. А это – уже инцидент информационной безопасности. С другой стороны, это вполне может быть выполнение поручения руководства – подготовить законченный проект в бумажном и электронном виде для передачи заказчику на утверждение. Программный комплекс StaffCop соберёт всю информацию, на основании которой после уточнения правомерности действий сотрудника у его руководства можно сделать вывод, действительно ли имел место инцидент.

      В заключение хотелось бы напомнить, что всегда, в любом случае необходимо под-держание системы информационной безопасности в актуальном виде – без регулярного анализа имеющихся на предприятии регламентов информационной безопасности, инструкций пользователям, инструкций по поведению сотрудников в случае возникновения инцидентов информационной безопасности и прочей документации не обойтись: насколько они соответствуют действующему законодательству, сложившейся ситуации в информационной безопасности, лучшим практикам и рекомендациям в области информационной безопасности и т.д. В случае обнаружения несоответствий или появления новых угроз документацию следует редактировать и оповещать об этом сотрудников, которых это касается.

      Обязательно также следует выполнять регулярное обновление программного обеспечения шлюзов/маршрутизаторов, чёрных списков фейковых и фишинговых сайтов, а также сиг-натур антивирусных программ. Если программное обеспечение шлюза/маршрутизатора перестало соответствовать критериям информационной безопасности (например, устройство снято с поддержки, а программное обеспечение не обновляется) – вероятно, следует заменить шлюз/маршрутизатор на новый, потому что защита от вновь возникающих угроз снятыми с производства устройствами без обновления прошивок не гарантируется. То же самое можно сказать и о программном обеспечении, контролирующем работу пользователей и DLP-систем: следует отказываться от программного обеспечения, если разработчик его не обновляет, и переходить на системы, которые отслеживают вновь появляющиеся угрозы. Обойтись же без технических средств комплекса информационной безопасности невозможно в принципе: только комплексная защита, состоящая из системы внутренней документации информационной безопасности и комплекса технических средств, позволит предприятию эффективно защищаться от любых угроз и минимизировать количество инцидентов информационной безопасности.

      Все материалы компании в Библиотеке Безопасника