Гайд по внутренней документации по информационной безопасности. что, как и зачем

Факторы, учитываемые при разработке стратегии ИБ

Меняющаяся реальность и увеличивающийся объем угроз побуждают организации постоянно видоизменять концепцию защиты информационных активов. 

Среди факторов внешней и внутренней среды, учет которых необходим:

  • появление новых партнеров и клиентов. ФНС сегодня активно использует средства информационной разведки, выявляя ненадежных налогоплательщиков. Появление их в числе партнеров предприятия создает проблемы привлечения к налоговой ответственности, если партнер не платит НДС, его могут признать звеном в цепочке налогового планирования. Провайдеры поставляют ведомству данные об IP-адресах компаний, сдающих отчетность, и если у некоторых контрагентов они совпадают, это может стать основанием для проведения дополнительной проверки;
  • автоматизация и оптимизация бизнес-процессов, для которых ранее такие решения не реализовывались, например, внедрение логистических программ и «умного» оборудования на складе;
  • привлечение новых разработчиков ПО для решения технических задач, необходимость организации взаимодействия с ними;
  • расширение информационной сети предприятия, появление новых подразделений и сотрудников, в том числе на удаленном доступе;
  • изменение модели внешних угроз, появление новых типов атак.

Эти факторы при работе над архитектурой сети и ее техническим обеспечением требуют от ИТ-подразделения компании и подрядчиков соблюдения следующих принципов:

  • простота архитектуры. Связи между компонентами должны быть реализованы по одной модели и упрощены. Количество протоколов сетевого взаимодействия требуется сокращать. С учетом требований надежности и дальнейшего развития сети все, что можно упростить, должно быть упрощено;
  • проверенность решений. Новые идеи неприемлемы на производстве, где во главу угла ставится непрерывность бизнес-процессов, не апробированные многократно компоненты не должны использоваться;
  • все компоненты должны быть надежными и не создающими проблем с техническим обслуживанием;
  • управляемость в любых условиях, системы мониторинга должны собирать данные обо всех компонентах в режиме реального времени, выявляя уязвимости и отклонения;
  • простота эксплуатации, установка «защиты от дурака» во избежание сбоя из-за ошибки пользователя или системного администратора;
  • наличие нескольких рубежей обороны. Для каждого узла и объекта необходимо реализовать несколько механизмов защиты, в этом случае гипотетическому злоумышленнику для их взлома потребуются знания сразу в нескольких областях;
  • непрерывность защиты в пространстве и времени. Технические работы на сервере или переустановка ПО не должны ослаблять уровень безопасности, злоумышленник, информированный о таких ситуациях, попробует ими воспользоваться;
  • равномерность обороны во всех ее блоках, полное исключение несанкционированного доступа к ресурсам сети со стороны сотрудников любых уровней. Это реализуется принятием распорядительных внутренних документов и контролем за всеми подключениями;
  • профилактика нарушений информационной безопасности, что помогает предотвратить возникновение рискованных ситуаций со стороны персонала. Среди мер защиты – внедрение средств идентификации и аутентификации, управление доступом, обучение персонала, разъяснения со стороны кадровых подразделений о том, что в случае возникновения инцидента информационной безопасности виновный будет привлечен к ответственности;
  • минимизация привилегий. Реализация принципа «Никто не должен иметь больше полномочий, чем необходимо» станет не только основой ИБ, но и при проведении аудиторской проверки будет достаточным подтверждением того, что аудируемые данные не были изменены или скорректированы;
  • экономическая целесообразность. При внедрении любой технологии безопасности необходимо проверять, не помешает ли она нормальному течению бизнес-процессов. На практике приоритет безопасности над экономическими решениями встречается только на объектах с повышенным уровнем опасности, например, на АЭС;
  • непрерывность улучшения системы с опорой на лучшие зарубежные и национальные методики;
  • унификация разработчиков и поставщиков, стремление к единообразию применяемых решений для всех компонентов системы.

Соблюдению этих принципов, в большей степени минимизирующих затраты, особое внимание должна уделять служба внутреннего аудита предприятия при оценке концепции

Хакерские атаки

Несмотря на реальную опасность для корпораций атак в информационном поле, наибольшую угрозу несут хакерские вторжения, направленные не на хищение информации, а на внедрение в системы управления предприятия. По данным «Лаборатории Касперского», не менее 46 % систем АСУ российских компаний становились мишенью внешних атак, направленных на перехват управления производственными процессами. Если подразделения корпорации находятся в зонах повышенного риска, в регионах с боевыми действиями, атаки хакеров могут быть направлены на намеренное создание крупных техногенных аварий с целью обвинить в них акционеров корпорации. 

Прерывание или изменение параметров технологических процессов может повлечь за собой:

  • финансовые потери;
  • техногенные аварии;
  • перерыв в электро- и теплоснабжении жилых районов;
  • экологические катастрофы;
  • репутационные потери не только для компании, но и для страны в целом, если объект находится за рубежом.

Сложность топологии систем управления отдельными производственными объектами побуждает выстраивать все более совершенные системы. Для тех корпораций, в собственности которых есть объекты критической информационной инфраструктуры, возникает необходимость создания на своей базе центров ГосСОПКА, единой системы мониторинга и реагирования на компьютерные атаки.

Крупные производственные корпорации столкнулись с еще одной проблемой информационной безопасности, связанной с повсеместным внедрением Интернета вещей. Исследование Института Ponemon, направленное на изучение проблем состояния кибербезопасности в ТЭК, это показало, что корпорации не готовы к отражению атак, они не имеют знаний о возможностях кибербезопасности.

Если корпорация не достигла той степени роста, чтобы создать эффективную ИТ-дирекцию с профессионалами высокого уровня, способными решить задачи выстраивания надежной системы информационной безопасности корпорации, эксперты рекомендуют воспользоваться услугами аутсорсинга. Это эффективнее с технической и экономической точки зрения. Применительно к пяти крупным корпорациям, чьи акции обращаются на открытом рынке ценных бумаг, было проведено изучение эффекта от передачи задачи построения системы корпоративной безопасности на аутсорсинг за 5-летний период. Анализ показал, что компании, заключившие крупные сделки в сфере ИТ-аутсорсинга, добились более высоких показателей бизнеса в долгосрочной перспективе, чем конкуренты, компании, самостоятельно выстраивающие стратегию безопасности. Этим компаниям удалось сократить коммерческие, общие и административные расходы (SG&A), повысить окупаемость активов (ROA) и увеличить прибыль до уплаты процентов и налогов (EBИТ).

Плюсы аутсорсинга: 

  • масштабирование успешных результатов;
  • более глубокое понимание информационной среды, знание современного программного обеспечения;
  • эффективная настройка бизнес-процессов защиты информации.

Минусы:

  • компания, предлагающая услуги аутсорсинга, может быть не знакома с особенностями производственных процессов корпорации, потребуется время на ознакомление;
  • вероятность утечек информации или программного кода инструментов безопасности повышается, особенно в случае, если сотрудников разработчика заинтересуют конкуренты.

Трудности в работе отдела ИБ

Основной проблемой является непонимание руководством важности работы по обеспечению информационной безопасности. Добиться финансирования проектов достаточно сложно, так как безопасники и айтишники разговаривают с обычными людьми на разных языках

Управление не приносит предприятию прямой прибыли, оно работает в направлении минимизации убытков. Оценить продуктивность работы специалистов бывает сложно. 

Руководству предприятия необходимо четко понимать, что работа службы информационной безопасности позволяет сохранить денежные средства, которые можно потерять в результате хакерских атак, распространения секретных сведений, потери ценных кадров, мести обиженных сотрудников и т.д. 

В обязанности управления, обеспечивающего информационную безопасность предприятия, входит обучение всего персонала основам защиты информации при исполнении своих должностных обязанностей. И контроль выполнения установленных правил. Один специалист и даже целый отдел ничего не смогут сделать без успешного взаимодействия со всеми подразделениями организации. 

ИБ-специалисты – это в первую очередь аудиторы, организаторы, координаторы – одним словом управленцы, а не исполнители. Профессионалы в области ИБ обходятся предприятию недешево. Но и закрывать вакансию некомпетентным сотрудником, только для того, чтобы на него можно было в случае чего «повесить всех собак», смысла нет. Нужно также понимать, что информационная безопасность должна обеспечиваться не сотрудниками одноименного управления, а всем персоналом предприятия.

Взаимоотношения Отдела с другими структурными подразделениями организации

Служба защиты информации в пределах свой компетенции взаимодействует с:

5.1. Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

5.2. Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

5.3. Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

5.4. Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

5.5. Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации).

Правовое регулирование информационной безопасности

В России основные задачи информационной безопасности установлены в Концепции информационной безопасности, принятой в качестве единой государственной стратегии борьбы с основными видами угроз. Документ, подготовленный на уровне Совета Безопасности РФ, становится основой для разработки новых законов и подзаконных нормативных актов. Деятельность компаний в сфере защиты ИБ он не регламентирует. Если работа государственной или частной организации связана с информационными массивами, защита которых предусмотрена государственной политикой, например, с персональными данными, требования к ИБ, выбору аппаратно-программных и организационных мер защиты будут установлены рекомендациями и нормативными актами регуляторов – ФСТЭК РФ и ФСБ РФ. Для банков и организаций финансового сектора дополнительные требования разрабатывает Центробанк.

Цели работы СИБ

Сотрудники управления ИБ должны предотвращать любые незаконные формы использования информации как объекта собственности.

Основные цели работы СИБ:

  • правовая защита компании во взаимоотношениях с государственными органами, партнерами по бизнесу (российскими и зарубежными), конкурентами;
  • охрана секретных сведений, прав интеллектуальной собственности, повышение репутации организации в деловой сфере, увеличение эффективности использования имеющихся данных;
  • охрана собственности компании;
  • повышение конкурентоспособности, минимизация ущерба от несанкционированного доступа к информации;
  • стимулирование деловой активности всех сотрудников, контроль за соблюдением трудовой дисциплины;
  • исключение попадания в зависимость от недобросовестных партнеров, конкурентов;
  • организация беспрерывной деятельности компании, планирование действий по восстановлению работы в случаях форс-мажора;
  • недопущение искажения, потери, хищения, подделки информационных ресурсов;
  • предотвращение любых несанкционированных действий по отношению к секретным сведениям;
  • документационное обеспечение предприятия в пределах своей компетенции;
  • охрана конституционных прав людей на личную тайну и конфиденциальность сведений, содержащихся в АИС;
  • своевременное выявление и предотвращение угроз интересам компании;
  • разработка путей возмещения ущерба от неправомерных действий третьих лиц, минимизация последствий;
  • пресечение попыток подрыва стабильного функционирования организации;
  • обеспечение безопасного проведения сделок, совещаний, переговоров, встреч;
  • получение информации о конкурентах, инвесторах и возможных партнерах разрешенными законодательством способами; 
  • обучение всего персонала основам ИБ, проведение профилактических и воспитательных бесед.

Построение системы ИБ в корпорации

Началом построения системы корпоративной информационной безопасности становится изучение источников угроз, тех лиц и компаний, от которых можно ожидать информационных или кибератак. Часто внешние хакерские или внутренние инсайдерские негативные воздействия на ИС оказываются только инструментами в руках конкурентов. 

Возможных авторов угроз можно разделить на категории:

1. Конкуренты. Для крупной корпорации они могут работать не только на внутреннем, но и на иностранном рынке, задействуя для информационных атак иностранных хакеров и киберресурсы.

2. Акционеры, находящиеся в состоянии конфликта с основным собственником. Корпоративный конфликт легко перерастает в информационную войну.

3. Менеджмент, вступивший в конфликт с собственником.

4. Преступные группировки, заинтересованные в переделе бизнеса или отъеме доходов.

5. Обиженные или уволенные сотрудники.

6. Хакерские группировки, поставившие цель хищения ресурсов или приостановки производственного процесса.

Каждая из этих групп может с успехом задействовать в атаке на корпорацию информационное оружие. Для крупной корпорации, участвующей в обеспечении системы жизнедеятельности региона или активно работающей на международном рынке, одним из источников риска могут оказаться иностранные государства. Широко известна ситуация, когда связанные с правительством Китая хакеры несколько лет подряд взламывали облачные сервисы и похищали информацию у гигантов информационной индустрии – компаний Hewlett Packard Enterprise, IBM, Fujitsu.

После того как определены наиболее явные источники угроз или их группы необходимо составить модели угроз:

  • для самой корпорации;
  • для ее подразделений или филиалов (идентичные или различные, исходя из специфики бизнеса);
  • для системы коммуникаций между бизнес-единицами.

На базе моделей угроз начинается формирование стратегии организации безопасности данных, в которой необходимо увязать все управленческие периметры и зоны риска.

Объекты защиты

Неожиданным для сотрудников ИТ-подразделений, но важным для экономической безопасности предприятия становится такой объект защиты, как вложенные в создание технической инфраструктуры инвестиции. Их окупаемость должна стать одной из важных задач предприятия, недопустима избыточность, при которой ИБ становится самоцелью, отнимая ресурсы у бизнес-процессов. 

Экономический эффект от внедрения системы технической защиты конфиденциальных данных проявляется в:

доступности информации, когда ИТ-инфраструктура предприятия позволяет в любое время получить необходимые сведения
Пример несоответствия инфраструктуры критериям доступности – сайт Росреестра, информацию с которого иногда не могут получить даже Служба судебных приставов и Правительство Москвы, что привлекло внимание Контрольного управления Администрации Президента;
в целостности данных, отсутствии сбоев или постороннего вмешательства в их структуру, вызвавших искажение сведений, которое может привести к некорректности, принимаемых решений на их основе

В том же Росреестре на запрос выписки по объекту недвижимости в Рязани из-за сбоев в системе клиент может получить сведения о квартире в Уфе; 
конфиденциальности информации
Соблюдение этого требования поможет избежать убытков от хищения конфиденциальной информации и штрафов в результате нарушения требований законодательства о персональных данных;
отсутствии возможностей отказаться от совершенной операции, это важно, например, при использовании онлайн-платежей;
аутентичности или полноценной системе подтверждения подлинности информации или электронных сообщений.. Традиционно объектами защиты становятся:

Традиционно объектами защиты становятся:

  • узлы ИС (серверы, рабочие станции);
  • технические средства, маршрутизаторы;
  • каналы связи, протоколы удаленного доступа;
  • программные средства, вне зависимости от того, разработаны они самостоятельно или сторонними разработчиками;
  • базы данных, собственные и находящиеся в облаке;
  • методы защиты данных.

Часто объекты разнесены в пространстве, на промышленных предприятиях многие из них могут находиться в труднодоступных местах. Каждый объект защиты должен быть описан в концепции обеспечения безопасности с учетом его относительной ценности и возможности замены.

Задачи информационной безопасности

Основные задачи информационной безопасности в корпорации будут связаны с обеспечением непрерывности и правильности бизнес-процессов и только во вторую очередь – с отражением внешних и внутренних угроз и предотвращением утечек информации. 

Функции ИТ-дирекции:

  • разработка корпоративных политик безопасности, обеспечение информирования о них пользователей;
  • разработка и согласование бюджетов на создание и поддержание системы информационной безопасности в корпорации и дочерних подразделениях;
  • мониторинг системы информационной безопасности, анализ внешней среды, выявление новых типов угроз и изменений в области программного обеспечения, правового регулирования проблем ИБ;
  • проведение аудита безопасности, анализ произошедших инцидентов в сфере информационной безопасности, выработка рекомендаций;
  • выбор модели защиты, определение архитектуры системы безопасности, выбор программного обеспечения;
  • организация направления входящих потоков информации в единый центр обработки, структурирования, анализа, хранения данных;
  • организация выполнения требований регуляторов в области защиты персональных данных, обеспечения безопасности объектов критической информационной инфраструктуры;
  • при необходимости – контроль за соответствием системы, процедур и процессов стандартам ISO и аналогичным;
  • мониторинг ИС в целом, выработка рекомендаций по повышению ее эффективности.

Инсайдерские угрозы технического характера

Так как наиболее существенной угрозой, связанной с организацией хищения данных сотрудниками, становятся USB-накопители, требуется исключить их применение на предприятии, за исключением прямо регламентированных случаев, например, для съема информации с удаленных датчиков. Но эта деятельность должна быть строго регламентирована, накопители должны проверяться антивирусами, что позволит избежать инфицирования системы вредоносными программами.

Слабая информированность сотрудников в вопросах информационной безопасности приводит к тому, что риски для компании возникают и при использовании электронной почты.

Сотрудники:

  • используют один аккаунт почты компании совместно, что исключает возможность контролировать отправку конфиденциальной информации третьим лицам и выяснить, кто именно осуществил утечку;
  • используют личные ящики электронной почты для переговоров в корпоративных целях, увеличивая риски перехвата данных и снижая степень контроля;
  • открывают вложения, которые могут содержать вредоносные программы;
  • отвечают на фишинговые письма, подвергая угрозам пароли, логины и другую конфиденциальную информацию.

Программы фильтрации электронной почты помогут избежать большинства рисков заражения или распространения спама, а подключение к Интернету только части ПК сотрудников снизит риски утечки данных по каналам внешней электронной почты.

Система ИБ

Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

  • статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
  • динамическое, подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.

Принципы информационной безопасности

  • Целостность информационных данных означает способность информации сохранять изначальный вид и структуру как в процессе хранения, как и после неоднократной передачи. Вносить изменения, удалять или дополнять информацию вправе только владелец или пользователь с легальным доступом к данным.
  • Конфиденциальность – характеристика, которая указывает на необходимость ограничить доступа к информационным ресурсам для определенного круга лиц. В процессе действий и операций информация становится доступной только пользователям, который включены в информационные системы и успешно прошли идентификацию.
  • Доступность информационных ресурсов означает, что информация, которая находится в свободном доступе, должна предоставляться полноправным пользователям ресурсов своевременно и беспрепятственно.
  • Достоверность указывает на принадлежность информации доверенному лицу или владельцу, который одновременно выступает в роли источника информации.

Обеспечение и поддержка информационной безопасности включают комплекс разноплановых мер, которые предотвращают, отслеживают и устраняют несанкционированный доступ третьих лиц. Меры ИБ направлены также на защиту от повреждений, искажений, блокировки или копирования информации. Принципиально, чтобы все задачи решались одновременно, только тогда обеспечивается полноценная, надежная защита.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.

Особенно остро ставятся основные вопросы об информационном способе защите, когда взлом или хищение с искажением информации потянут за собой ряд тяжелых последствий, финансовых ущербов.

Созданная с помощью моделирования логическая цепочка трансформации информации выглядит следующим образом:

УГРОЖАЮЩИЙ ИСТОЧНИК ФАКТОР УЯЗВИМОСТИ СИСТЕМЫ ДЕЙСТВИЕ (УГРОЗА БЕЗОПАСНОСТИ) АТАКА ПОСЛЕДСТВИЯ