Специалист по информационной безопасности. что делает и сколько зарабатывает

Необходимость защиты информации

Эксперты, разрабатывающие для компаний концепции компьютерной безопасности, начинают работу с подготовки модели угроз. Этот документ помогает определить архитектуру информационных систем и необходимые организационные и технические средства защиты. 

На уровне государства модель системных угроз формулируется в Доктрине информационной безопасности, и борьба с ними происходит в основном в правовом поле, путем принятия законов и установления стандартов и методик, определяющих основы информационной безопасности. Для компании же основные угрозы будут зависеть от того, на каких рынках она работает и какие категории информации обрабатывает. 

Среди тех угроз, которые чаще всего оказываются в моделях, можно назвать следующие:

  • внешние. Это либо конкуренты, желающие получить сведения о бизнес-процессах или клиентских базах, либо хакеры, преследующие собственные цели;
  • внутренние, инсайдерские. Как считают эксперты, более 70 % утечек информации происходит в результате действий сотрудников компании, обычных пользователей. Такие действия могут быть преднамеренными или случайными.

Основным принципом выстраивания системы защиты будет то, что абсолютной безопасности информации быть не может. Всегда необходимо соизмерять способы и средства защиты и их стоимость с действительной ценой информации. 

Бороться с внутренними угрозами проще, чем с внешними. Информирование сотрудников о базовых правилах работы с компьютером, установление режима коммерческой тайны, разграничение уровней допуска и информирование о случаях привлечения к ответственности за нарушение правил компьютерной безопасности способны снизить инсайдерские риски до минимума. Практически до нуля они уменьшаются в случае установки на рабочих компьютерах современной DLP-системы, но не все компании, работающие в секторе малого и среднего бизнеса, могут себе это позволить.

Чаще всего IT-специалисты ограничиваются несколькими типичными решениями:

  • установка на компьютеры паролей;
  • установка защиты от компьютерных вирусов;
  • запрет на инсталляцию любого непротестированного или найденного в Интернете программного обеспечения;
  • ранжирование уровня доступа пользователей определенным информационным массивам, хранящимся на компьютере.

Этого не всегда бывает достаточно. Если информация имеет ценность для третьих лиц, для ее защиты нужно применять комплекс организационных и технических мер, а также, при выявлении правонарушений в сфере безопасности информации, обращаться к правовым средствам. 

Все они должны быть направлены на обеспечение трех основных свойств безопасности информации:

  • конфиденциальности. Любые сведения, в отношении которых установлен режим секретности (персональные данные, банковская или коммерческая тайна), должны быть доступны только авторизированным пользователям;
  • целостности. Данные должны сохраняться на компьютерах и в информационных системах в первоначальном виде, не изменяться и не искажаться;
  • доступности. Пользователь персонального компьютера или информационного ресурса должен получить необходимые сведения в момент запроса, их недоступность по тем или иным причинам (взлом сайта или появление на компьютере программы-вымогателя) не должна мешать работе.

Структура Отдела

3.1. Сотрудников Отдела нанимают на работу в соответствии со штатным расписанием, установленным кадровой службой и согласованным с вышестоящим руководством организации. Штатное расписание разрабатывается в соответствии с целями и задачами структурного подразделения. 

3.2. В перечень специалистов, которые могут быть сотрудниками Отдела, входят инженеры и техники по защите информации, программисты, системные администраторы, другие специалисты, отвечающие за выполнение отдельных функций по защите информации.

3.3. Обязанности сотрудников службы защиты информации определяет непосредственный начальник Отдела. 
Права и обязанности

4.1. Служба защиты информации уполномочена: 

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности, введенного в организации;
  • пользоваться информацией для служебного пользования, запрашивать ее у сотрудников других структурных подразделений организации;
  • вступать во взаимодействие с органами исполнительной, законодательной и судебной власти для решения правовых вопросов, касающихся функций службы;
  • принимать все необходимые меры для обеспечения защиты конфиденциальной информации;
  • привлекать сторонних специалистов для разработки, внедрения и анализа эффективности системы защиты конфиденциальной информации;
  • давать указания сотрудникам других структурных подразделений организации по вопросам, входящим в компетенцию службы;
  • проводить внутренние служебные расследования при обнаружении фактов намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации; 
  • осуществлять другие действия, предусмотренные должностными инструкциями и направленные на реализацию целей и задач службы.

4.2. В обязанности начальника службы защиты информации входит:

  • распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;
  • участвовать в процессе подбора персонала;
  • разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;
  • организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;
  • устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;
  • координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.

4.3. Сотрудники службы защиты информации обязаны:

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;
  • проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;
  • участвовать в разработке комплексной системы защиты конфиденциальной информации;
  • периодически проверять журналы инструктажа и оборудование организации;
  • проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;
  • выполнять другую работу, направленную на реализацию целей и задач службы защиты информации.

Информационная безопасность, а что это такое?

В первую очередь, те же самые документы по охране труда. Сводные ведомости по специальной оценке условий труда, зарплаты ведомости… все это информация, доступ к которой третьих лиц нежелателен

Причём, неважно, хранятся ли документы в бумажном виде, или на электронном носителе. В любом случае они подвержены опасности

Поэтому следует предпринять все действия, направленные на защиту данных. Что же можно сделать?

Правило первое – соблюдение конфиденциальности. Это означает, что Вы полностью контролируете доступ к информации, которую Вы хотите защитить. Есть понимание, у кого есть доступ, а пароли доступа регулярно обновляются.

Второе правило – сохранение целостности информации. То это значит? Несанкционированное изменение части информации третьими лицами исключено. Тем более теми, у кого и не должно было быть доступа.

Правило третье – доступность информации. Согласно ему, у тех, кто допущен к информации, должен быть полный доступ, без каких либо ограничений. Но и ответственность за сохранность данных, безусловно, несут допущенные к работе с данными.

Основные проблемы защиты данных в информационных системах

Конечная цель реализации мер безопасности

Повышение потребительских свойств защищаемого сервиса, а именно:

  • Удобство использования сервиса
  • Безопасность при использовании сервиса
  • Применительно к системам ДБО это означает сохранность денег
  • Применительно к системам электронного взаимодействия это означает контроль над правами на объект и сохранность ресурсов
  • Утрата любого свойства безопасности означает потерю доверия к сервису безопасности

Что подрывает доверие к сервисам безопасности ?

На бытовом уровне

  • Информация о хищениях денег и собственности, зачастую излагаемая гипертрофировано
  • Запуганность людей непонятными для них, а значит, неконтролируемыми угрозами (кибератаками, хакерами, вирусами и т.д.)
  • Некачественная работа предоставленного сервиса,(отказы, ошибки, неточная информация, утрата информации)
  • Недостаточно надежная аутентификация личности
  • Факты мошенничества, с которыми сталкиваются люди или слышали о них

На правовом уровне

  • Утрата аутентичности данных
  • Утрата легитимности сервиса безопасности по формальному признаку (окончание срока действия сертификата, аттестата на объект, лицензии на вид деятельности, окончание поддержки)
  • Сбои в работе СКД –СУД, нарушение конфиденциальности
  • Слабый уровень доверия к сервису аутентификации
  • Сбои и недостатки в работе систем защиты, дающие возможность оспорить легитимность совершаемых операций

Построение любой компьютерной сети начинается с установки рабочих станций, следовательно подсистема информационной безопасности начинается с защиты этих объектов.

Здесь возможны:

  • средства защиты операционной системы;
  • антивирусный пакет;
  • дополнительные устройства аутентификации пользователя;
  • средства защиты рабочих станций от несанкционированного доступа;
  • средства шифрования прикладного уровня.

На базе перечисленных средств защиты информации строится первый уровень подсистем информационной безопасности в автоматизированных системах. На втором этапе развития системы отдельные рабочие станции объединяют в локальные сети, устанавливают выделенные сервера и организуют выход из локальной сети в интернет.

На данном этапе используются средства защиты информации второго уровня — уровня защиты локальной сети:

  • средства безопасности сетевых операционных систем;
  • средства разграничения доступа к разделяемым ресурсам;
  • средства защиты домена локальной сети;
  • сервера аутентификации пользователей;
  • межсетевые экранные прокси-сервера;
  • средства обнаружения атак и уязвимостей защиты локальной сети.

При объединении локальных сетей в общий интранет с использованием в качестве коммуникационной среды публичных сетей (в том числе, интернета) безопасность обмена информацией обеспечивается применением технологии VPN, которая составляет основу третьего уровня информационной безопасности.

Читать статью «ИБ: средства защиты» »’

Процедурные задачи

Кроме документального, решение задачи технического обеспечения информационной безопасности предприятия внедряется на процедурном уровне. Требуется:

  • организовать управление персоналом на уровне, исключающем возникновение инцидентов безопасности со стороны инсайдеров;
  • обеспечить физическую защиту документов и элементов инфраструктуры, в некоторых случаях и персонала. В этой же группе задач внедряются противопожарные меры и другие меры безопасности, исключающие повреждение объектов в результате аварии;
  • организовать процесс постоянного поддержания работоспособности системы;
  • спланировать реакцию на инциденты и дальнейшие восстановительные работы.

На программном уровне реализуются следующие шаги: 

  • установка SIEM-систем, выявляющих инциденты безопасности, и DLP-систем, исключающих утечку данных из охраняемого периметра;
  • внедрение межсетевых экранов (файрволов) и средств обнаружения вторжений, снижающих риск внешних атак;
  • расширение пропускного канала, снижающего вероятность успешных DDoS-атак;
  • установка сервиса постоянного аудита и мониторинга работоспособности системы;
  • применение средств криптографической защиты, прошедших сертификацию.

Если реализация мероприятий по созданию системы технического обеспечения информационной безопасности предприятия осуществляется организацией-подрядчиком, она должна иметь лицензии. Выполнение комплекса мер позволит обеспечить защиту интересов фирмы на высшем уровне.
 

Технические средства

При работе на компьютере обычный пользователь сталкивается с единственным техническим средством защиты информации, а именно с антивирусной защитой. IT-подразделения корпорации имеют дело с существенно большим набором технических средств, призванных обеспечить защиту информации. Это:

  • средства криптографической защиты, используемые для шифрования данных на компьютере и исходящего трафика;
  • программы, позволяющие конвертировать конфиденциальные данные в графическую или звуковую форму;
  • SIEM-системы;
  • DLP-системы, гарантирующие перехват любых попыток передать конфиденциальную информацию по электронной почте, с использованием мессенджеров или социальных сетей, распечатать документ, сделать скрин с экрана компьютера или скопировать данные на съемный носитель;
  • межсетевые экраны.

Дополнительно решается задача использования аппаратных средств. Производится установка такой архитектуры информационной системы, которая минимизирует риски утечки информации в процессе ее передачи, установка двухфакторной системы защиты компьютера паролями. Второй пароль ставится на уровне BIOS. Но пароли не всегда решают задачу. Некоторые производители зарубежных системных плат устанавливают функцию введения единого пароля для входа в систему. Обязательным действием станет резервное копирование данных, которые могут быть утрачены в случае технического сбоя, ошибки пользователя или хакерской атаки.

Виды угроз

Система информационных угроз существенно изменилась за последние годы. Помимо хакерских группировок и террористических организаций, а также традиционно противоборствующих иностранных разведывательных организаций, генерировать угрозы начали экстремистские организации и деструктивные секты, часто также направляемые службами разведки. Угрозы усилились, участились попытки перехвата управления объектами критической инфраструктуры, посягательства на государственные информационные ресурсы и сети. Самостоятельной проблемой стали действия, направленные на подрыв авторитета России на международной арене.

Нарастание угроз национальной безопасности вызвано такими факторами, как:

  • стремление отдельных государств использовать программное и технологическое преимущество для доминирования в международном информационном пространстве;
  • усиление действий, направленных на манипуляцию психологическим состоянием граждан, совершение ими действий, связанных с посягательством на суверенитет, территориальную целостность и внутреннюю стабильность РФ;
  • давление на российские СМИ, сознательное ухудшение образа России, создание образа врага для американской и европейской общественности.

Основы национальной информационной безопасности служат базой для дальнейшего развития научных технологий, усиления присутствия России в мире, повышения ее роли в части выработки норм международного права.

Виды атак: от чего необходимо защититься

Лучший способ выбрать соответствующий ответ на угрозу безопасности – это понять, какие типы атак могут быть использованы против вас. 

Список основных видов атак:

  • атака на внешний/съемный носитель выполняется с использованием съемного носителя (например, флэш-накопителя, компакт-диска, задевающего информационный ресурс) или периферийного устройства;
  • атака на электронный адрес выполняется с помощью письма со ссылкой или вложением (например, заражение вредоносным программным обеспечением);
  • атака на систему выполняется с использованием деградации или уничтожения системы, сети или службы, предоставляя злоумышленнику доступ к информации;
  • неправильное использование – это любой инцидент, вызванный нарушением правил организации уполномоченным пользователем;
  • атака с веб-сайта или веб-приложения;
  • утеря или кража оборудования.

Политика безопасности снижает большинство рисков, связанных с различными видами атак на информационном ресурсе.

Злоумышленники редко входят через «парадную дверь» или, в данном контексте, межсетевой экран оборудования. Но каждая атака, как правило, работает по определенной схеме или по «цепочке киберубийств». Систему защиты в данном случае выстраивать нужно постепенно, охватывая все каналы связи.

«Цепочка киберубийств» – это последовательность этапов, необходимых злоумышленнику для успешного проникновения в сеть и удаления из нее нужных ему данных или совершения других действий

Разработка плана мониторинга и реагирования на основе модели «цепочки киберубийств» является эффективным методом предотвращения таких действий со стороны злоумышленников, поскольку в нем основное внимание уделяется фактическим атакам, совершаемым злоумышленником удаленно. Цель нападающего – найти нужные данные и уничтожить их, перед этим совершив разведку и разработку плана атаки. 

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Проекция задач на общество

Дополнительно следует учитывать, что меры защиты военной информации не всегда применяются при формировании документации, на базе которой создаются массивы данных военного ведомства. Утечки могут происходить на уровне транспортных компаний, научных институтов, сервисных служб. Поэтому безопасность в полном объеме должна создаваться и на этих этапах. Отсутствие должного контроля над поставщиками и подрядчиками приводит к тому, что в войска поставляется оборудование, которое допускает удаленный доступ со стороны потенциального противника. О таких ситуациях уже писала пресса. В ряде случаев использование таких устройств запрещено законодательно, но пока не все техническое оснащение армии было модернизировано.

Серьезная уязвимость систем АСУ армии возникает и из-за передачи информации закрытого характера по открытым линиям связи, что иногда позволяют себе гражданские специалисты. Эта угроза должна быть устранена максимально оперативно.

Комплексный подход к обеспечению информационной безопасности Вооруженных сил и личного состава должен обеспечить укрепление обороноспособности России. Опираясь на Доктрину информационной безопасности, можно разрабатывать новые комплексные способы борьбы с нарастающими угрозами.

Что такое информационная безопасность и какова ее цель

Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.

Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно. 

Процесс включает идентификацию:

  • основных средств и нематериальных активов;
  • источников угроз информационной безопасности и уязвимостей;
  • возможностей контроля и управления рисками.

На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.

Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.

Разработанная схема защиты должна гарантировать использование разного уровня доступов к корпоративной информации за счет идентификации личности или запрограммированной авторизации сотрудников, имеющих право доступа к информации и ее обработке. В рамках разработанной в компании политики безопасности сотрудники получат возможность использовать определенную документацию исключительно в рабочих целях. Документально оформленные и установленные ограничения помогут оперативно выявлять нарушителя, не допуская утечки информационных ресурсов за пределы предприятия.

Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей

Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов

Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными. 

Цели обучения персонала вопросам информационной безопасности

Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое. 

Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:

  • отслеживание заявок в службу поддержки; сотрудники более чувствительны к подозрительным событиям и уверены в себе, когда сообщают о проблемах;
  • изучение нетрадиционных методов обучения, таких как имитационные упражнения. Они необходимы, чтобы проверить устойчивость работника к мошенничеству в социальной сфере, а затем измерять прогресс на ежеквартальной основе.

Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.

Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту. 

При разработке обучающих программ следует учитывать:

  • возможность учебы без отрыва от рабочего процесса;
  • регулярность обновления полученных знаний;
  • доступность и понятность предоставляемой информации.

Дистанционное преподавание является одним из продуктивных способов быстрого и простого обучения любого количества сотрудников без нарушения установленного режима рабочего времени и без снижения продуктивности их труда. Это могут быть ролики, фильмы, скринсейверы, мультфильмы или краткие новости от службы безопасности

Постоянное напоминание сотрудникам о важности информационной защиты позволяет привить стойкие навыки в вопросах реализации требований по защите информации

Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.

Способы защиты и передачи информации

Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации

При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны. 

Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).

К формальным способам относятся:

  • физические – электрические, механические, электроустройства, функционирующие независимо от информсистем; 
  • аппаратные – зрительные, электронные, лазерные и иные устройства, встроенные в информсистемы, специализированные компьютеры, системы по наблюдению за сотрудниками, препятствующие доступу к сведениям;
  • программные (DLP-, SIEM-системы);
  • специфические (криптографические, стенографические – обеспечивают безопасную передачу сведений в корпоративной и глобальной сети).

К неформальным относятся организационные, законодательные и этические способы:

  1. Законодательные – это императивные нормы, которые прописаны в законах, подзаконных актах. Они регламентируют порядок эксплуатации, анализа и передачи информации, ответственность при нарушении каких-либо принципов и правил использования данных. Законодательные нормы распространяются на все субъекты отношений (в настоящее время около 80 актов регулируют информационную деятельность). 
  2. Организационные – общетехнические, юридические процедуры, являющиеся обязательными на всем жизненном цикле системы информации (например, цикл Шухарта-Деминга). Это возможности организации, которые помогают функционированию системы. К ним относят сертификацию системы и ее элементов, аттестацию объектов и субъектов.
  3. Высоконравственные (этические) – это принципы морали, правила этики, которые исторически сложились в обществе. Нарушение этих норм приведет к потере безопасности информации, в частности статуса и уважения граждан.

Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных: 

  • надежный канал связи между пользователями; 
  • использование общедоступного канала шифрования; 
  • использование информационного канала с преобразованием данных в такой вид, в котором только адресат сможет расшифровать их. 

Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).

Иные нормы

В этом разделе могут быть описаны правила работы с ключами электронно-цифровой подписи, со съемными носителями информации, средствами защиты информации, особенности использования корпоративных ноутбуков вне информационного периметра компании.

Внесенные в этот раздел правила зависят от особенностей информационной системы и бизнес-процессов, например, от наличия специального программного обеспечения, требующего соблюдения установленных в компании стандартов при администрировании и работе, например, такие правила могут касаться передачи информации из 1С в системы управленческого учета.

Организация работы по созданию и внедрению Концепции

Внутренний аудит подключается к задаче оценки Концепции на одном из завершающих этапов, а его подготовка ведется департаментами ИТ и безопасности под руководством одного из заместителей директора или членов правления. Он должен отличаться достаточным уровнем компетенции и властных полномочий. Существуют государственные стандарты, описывающие подготовку технического задания при создании Концепции. Следование им сократит срок работы, так как большинство регламентов уже создано.

Руководитель проекта при подготовке основополагающего документа, содержащего основные принципы технического обеспечения информационной безопасности предприятия, определяет исполнителей, сроки и бюджет проведения мероприятий:

  • назначение ответственных лиц, распределение ролей, подготовку поручений по разработке стратегии;
  • разработка, согласование документов организационного характера: методик и регламентов, регулирующих поведение пользователей, – от правил работы с текстовыми документами до регламентов использования съемных носителей;
  • обучение пользователей и технического персонала, подготовка к внедрению новых мер безопасности и необходимости обслуживания новой модели системы безопасности;
  • проектирование и развертывание новой архитектуры системы, ее внедрение на предприятии;
  • аудит внедренной модели, анализ результатов, доработка после внедрения.

Реализация процесса по четырехзвенному механизму – разработка, внедрение, анализ, доработка, помогает повысить работоспособность системы защиты уже на ранних этапах. Частные компании могут обойтись без официальных приемочных испытаний, а вот для ГИС они необходимы. 

Техническое обеспечение информационной безопасности предприятия после его внедрения призвано решить следующие задачи:

  • защита периметра сетей от несанкционированных внешних вторжений и подключений. В этих целях применяются маршрутизаторы, брандмауэры, контроль удаленного доступа;
  • защита серверов компании от НСД, как внешнего, так и инсайдерского, за счет внедрения систем аутентификации и модели дифференцированного доступа;
  • комплексная антивирусная защита, при реализации которой решается задача защиты серверов, рабочих станций пользователей, внешнего шлюза, соединяющего с Интернетом;
  • организация системы мониторинга уязвимостей и реакции на них, мгновенно оповещающей системных администраторов об угрозах. ПО, используемое для мониторинга, должно обновляться таким образом, чтобы выявлять новые угрозы;
  • защита приложений и сервисов, устранение угрозы их сбоя и остановки реализации бизнес-процессов;
  • защита межсетевых взаимодействий, выделение отдельных зон для запуска значимых процессов.

Аудит должен проверить выполнение всех требований и подготовить доклад с рекомендациями по дальнейшему улучшению системы.

Криптографическая защита

Средства криптографической защиты информации достаточно давно и широко используются в составе популярных сетевых технологий, таких как виртуальные частные сети (VPN) или Secure Shell (SSH). Однако в целях непосредственной защиты личной или корпоративной информации применение таких решений до сих пор очень ограниченно. Так, частная и деловая переписка в большинстве случаев ведется открыто, шифрование файлов и дисков тоже мало распространено. В то же время шифрование данных — это один из главных и наиболее надежных способов предотвращения несанкционированного доступа к информации. Далее будут приведены основные сферы применения криптографических средств защиты информации, а также рассмотрены их различные виды.

Пожалуй, самая широкая сфера потенциального применения криптографических средств — разграничение доступа к конфиденциальной информации и/или сокрытие существования такой информации от нелегитимных пользователей. В масштабе корпоративной сети эта задача достаточно успешно решается средствами AAA (аутентификация, авторизация и администрирование). Однако при защите локальных устройств они чаще всего неэффективны. Особенно острой эта проблема становится в связи с увеличением числа мобильных пользователей.

К сожалению, такое качество, как мобильность, преимущества которой для современного бизнеса сложно переоценить, на практике оказывается еще и недостатком. Ноутбук, в отличие от стационарного компьютера, легко потерять, он может быть украден или выведен из строя. По данным Cnews, не менее 40% случаев утраты ноутбуков происходит вследствие их кражи. До 93% всех украденных ноутбуков уже никогда не возвращаются к владельцу.

Понятно, что вся информация, которая хранится на ноутбуке, заключена в жестком диске. Извлечь его из ноутбука в спокойной обстановке — дело пяти минут. Именно поэтому следующие средства защиты от несанкционированного доступа будут бесполезны:

  • Парольная защита BIOS;
  • Парольная защита операционной системы;
  • Средства аутентификации, работающие на уровне приложений.

В то же время применение стойких криптографических алгоритмов, таких как DES, AES, ГОСТ 28147-89, RC4 (с длиной ключа не менее 128 бит), RSA, — надежный способ сделать информацию бесполезной для злоумышленника на многие годы. На сегодняшний день на рынке существует множество компаний, реализующих эти алгоритмы как в программных продуктах, так и в виде отдельных устройств.

Превентивные меры, изменения стандартов и ликвидация последствий

Непосредственно после выявления инцидента предпринимаются оперативные меры по устранению его последствий. На следующем этапе необходим анализ причин его возникновения и совершение комплекса действий, направленных на предотвращение возможного повторения аналогичного события. Сегодня основным регламентирующим документом, предлагающим стандарты реакции на инциденты, стал ISO/IEC 27000:2016, это последняя версия совместной разработки ISO и Энергетической комиссии. В России на основе более ранних версий ISO/IEC разработаны ГОСТы. В рамках ISO/IEC 27000:2016 предлагается создать специальную службу поддержки, Service Desk, на которую должны быть возложены функции управления инцидентами.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

  • препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
  • управление, или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование данных, обычно – криптографическими способами;
  • регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
  • принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
  • побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.