Информационные угрозы и защита от них

Типовые информационные угрозы базам данных CRM-систем и методы защиты от них

Защитите
своих клиентов

от конкурентов

В наш век — век информации — самые страшные угрозы — это угрозы, касающиеся информации. Сегодня поговорим о том, какие существуют угрозы базам данных CRM-систем и как можно с ними бороться.

Часто в компаниях, предоставляющих услуги населению, самым уязвимым местом являются внедренные CRM-системы со всей клиентской базой данных. Как правило, это привлекает конкурирующие компании, которые не всегда ведут честную конкурентную борьбу.

Какие существуют основные угрозы информационной безопасности CRM-системы?

Угроза конфиденциальности – несанкционированный доступ к базам данных с мотивом их хищения.

Угроза целостности – несанкционированная модификация, дополнение или уничтожение данных.

Угроза доступности – ограничение или блокирование доступа к базам данных.

Виды источников угроз

Источники угроз могут быть внешними и внутренними. Внешние – несанкционированный доступ к информации со стороны заинтересованных организаций, компьютерные вирусы и другое вредоносное ПО.

К внутренним источникам угроз будут относиться: ошибки пользователей и сисадминов, ошибки в работе ПО, сбой в работе компьютерного оборудования, нарушение регламентов компании по работе с информацией.

Основные способы защиты информации

Давайте рассмотрим основные способы защиты информации, которые предполагают использование определённого набора средств, например, таких как:

Физические средства – решётки на окнах, прочные двери, надёжные замки/электронные ключи, строгий пропускной режим, противопожарная система.

Технические и аппаратные средства – сигнализации; блоки бесперебойного питания для корректного завершения работы при отключении электричества.

Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

При эффективном использовании организационных средств работники предприятия должны быть хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполнять свои обязанности и нести ответственность за предоставление недостоверной информации, утечку или потерю данных.

Должен быть подписан договор о неразглашении конфиденциальной информации каждым сотрудником, имеющим доступ к секретным данным компании. Если произойдёт нарушение договора, виновного привлекут либо к административной, либо к уголовной ответственности.

Угрозы базам данных: как бороться?

В компании должны использоваться программные средства, отражающие хакерские атаки, проводящие резервное копирование данных примерно раз в неделю автоматически, а также рекомендуется использовать ПО по восстановлению баз данных. Приветствуется использование шифрования информации с помощью специальных алгоритмов (криптография).

Но, на самом деле, эти методы обеспечения безопасности информации недостаточно эффективны. Причина в том, что выяснить источник утечки информации в максимально быстрые сроки очень сложно и эти меры можно легко обойти…

Что делать? Предлагаю Вам пути их модификации:

Для увеличения уровня безопасности доступа не только к базам данных, но и к компьютерам, необходимо производить вход в систему с помощью индивидуального логина и пароля, последний из которых нужно периодически менять.

С помощью этой функции система будет ограничивать права пользователя согласно его роли в компании. Пароль администратора следует менять раз в неделю, смена всех паролей должна осуществляться после ухода кого-либо из сотрудников, имеющего доступ к системе.

Целесообразно использовать метод двухфакторной аутентификации пользователя в сети. Этот метод сейчас широко используется в интернете, так почему же не добавить это в авторизацию в корпоративных системах? Пользователь вводит логин и пароль, а ему на телефон приходит смс с кодом доступа.

После его корректного ввода осуществляется вход в систему. Этот способ не обязательно использовать для каждого сотрудника, но его рекомендуется применять для авторизации пользователей, у которых открыты большие права в системе.

Для более эффективной защиты информации отлично подойдут подавители сети. При обнаружении попытки взлома можно отключить сети на всём предприятии и не дать злоумышленникам повредить/скопировать оставшуюся часть информации.

Возможно использование программного обеспечения, которое будет отслеживать и фиксировать подключения к посторонним сетям, контролировать выгрузку данных в сеть Интернет или на внешние носители.

Если система зафиксирует выгрузку данных, то она может автоматически отправить смс руководству компании и администраторам, которые, в свою очередь, активируют глушители сети и заблокируют все компьютеры в офисе до выявления виновников несанкционированного доступа к базам данных.

А это того стоит?

Несмотря на то, что данные методы защиты повлекут за собой определённые финансовые затраты (как правило — незначительные), эффективность защиты CRM-систем существенно возрастёт.

Таким образом, предложенные методы модификации средств защиты информации помогут усилить степень безопасности конфиденциальной информации организации.

А сталкивались ли Вы с угрозой безопасности Ваших баз данных? Расскажите в комментариях, что это были за угрозы и как Вам удалось с ними справиться.

Как обеспечить информационную безопасность в компании

В сегодняшних реалиях информация — не просто деньги, а намного более ценный ресурс. Персональные данные, инсайдерские знания о рынке, организация работы, ноу-хау — к защите этих данных следует отнестись максимально серьезно. Расскажем, как системно подойти к корпоративной информационной безопасности.

Что такое информационная безопасность

Чтобы исключить риски, в компании необходимо грамотно организовать работу с оборудованием, ПО и прописать политику безопасности — методы управления данными, а также используемые в работе стандарты и технологии. Профессионально организованная корпоративная информационная безопасность (ИБ) помогает защитить данные от злоумышленников.

Перечислим цели работы решений ИБ.

  1. Конфиденциальность. У вас появляется контроль над корпоративной информацией — вы точно понимаете уровень защищенности своих данных, в том числе при их хранении или транзите данных любым способом и в любом формате. Вы знаете, что сделано, чтобы исключить несанкционированный доступ к информации и понимаете, насколько надежны эти меры.
  2. Целостность. Важная вещь, чтобы не допустить искажения информации на разных стадиях бизнес-операций. Этой цели добиваются, стандартизируя процессы работы с данными на разных этапах и в разных отделах.
  3. Доступность. Все важные данные должны быть доступны всегда, с учетом всех полномочий пользователей. Благодаря этому, процессы в корпоративной сети становятся предсказуемыми. Один из важных плюсов доступности — возможность быстро и полноценно восстановить систему в случае проблем.

Надежность — прежде всего

Для достаточного уровня ИБ в компании необходим системный подход, который учитывает не только все актуальные уязвимости, но и потенциальные проблемы. Поэтому, здесь не обойтись без круглосуточного контроля на каждой из стадий работы с данными, начиная с момента появления в системе и заканчивая удалением из нее.

Есть три основных типа контроля, которые позволяют предусмотреть все (или почти все) опасности.

Административный

Высокий уровень информационной безопасности поддерживается с помощью системы, состоящей из нормативных актов, корпоративной политики безопасности, правил найма, дисциплинарных методов и другого.

Логический

Здесь используются различные средства технического контроля. Это могут быть файрволы, специальное программное обеспечение, менеджеры паролей и многое другое.

Эти два типа контроля помогают предотвратить искусственные угрозы безопасности. Все они так или иначе создаются людьми и представляют собой результат их действий. Это, например, атаки злоумышленников или действия конкурентов.

Физический

Сюда входят системы управления доступом и инженерные системы компании, влияющие на процесс передачи и хранения данных. Это, к примеру, пожарная сигнализация, кондиционирование, отопление и другое. Кроме того, этот подход распространяется непосредственно на устройство рабочих мест и техники. Этот тип контроля помогает предотвратить угрозы естественного происхождения, в том числе обстоятельства непреодолимой силы — пожары, наводнения и т. п.

Вечная гонка

Сегодня в работе любой компании практически не осталось областей, где не были бы задействованы ИТ-технологии. Поэтому, теоретически, злоумышленники могут получить несанкционированный доступ почти к любому аспекту деятельности вашей компании. Таким образом, построение системы корпоративной информационной безопасности — это, в прямом смысле слова, гонка со злоумышленниками. Вы должны максимально оперативно узнавать об их новых схемах и выстраивать систему так, чтобы противостоять им.

Средства защиты информации

Средства защиты информации (СЗИ) — это ПО и оборудование, помогающие предотвратить утечки данных и эффективно противостоять угрозам. В их число входят различные аппаратные решения, программное обеспечение и организационные меры, которые должны работать в комплексе.

Из всех СЗИ наиболее популярны программные средства. Перечислим основные типы такого ПО.

Традиционные антивирусы

Некоторые из антивирусов способны не только обнаружить и обезвредить вредоносные программы, но иногда и восстановить поврежденные файлы. Важная функциональность, о которой не стоит забывать — сканирование, периодичность которого можно настраивать в соответствии с расписанием.

Облачные антивирусы

Основное отличие от традиционного ПО — в том, что анализ файлов происходит непосредственно в облачной инфраструктуре, а на устройстве устанавливается только клиент. Таким образом, антивирус не нагружает ОС рабочих ПК. Поэтому они хорошо подходят для не очень производительных систем. Среди примеров можно назвать Panda Cloud Antivirus, Crowdstrike, Immunet.

Системы мониторинга и управления информационной безопасностью (SIEM)

Это специализированное ПО, созданное для мониторинга ИТ-инфраструктуры. SIEM-решения собирают информацию о событиях в сети из всех критичных источников. Это антивирусы, межсетевые экраны, операционные системы и так далее. Вся эта информация централизованно хранится в одном месте и анализируется в автоматическом режиме. На основе анализа система мгновенно уведомляет ИТ-отдел об активности, похожей на хакерские атаки, сбои и другие угрозы.

Data Leak Prevention (DLP)

Это специализированное ПО, разработанное для защиты данных от утечки. Такие решения эффективны, но требуют больших организационных и финансовых затрат от компании. Хороший выбор, если вы готовы заплатить за действительно серьезный уровень безопасности.

Также можно выделить такие типы, как криптографические системы, межсетевые экраны, VPN и прокси-серверы. Особое внимание следует уделить и защите мобильных устройств, которыми пользуются сотрудники. Для этого существует целый ряд решений, например AirWatch, IBM MaaS360, VMware, Blackberry Enterprise Mobility Suite.

Выбор оптимальных инструментов

Принимая окончательное решение, вам необходимо учитывать множество факторов. Среди них:

  • характер работы компании;
  • размер компании, наличие отдаленных офисов, а также подразделений;
  • технический уровень— спецификации используемого оборудования, уровень износа и т. д.;
  • степень технической грамотности сотрудников, работающих с информационной инфраструктурой.

Основы информационной безопасности. Часть 1: Виды угроз

Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?

«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.

Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.

Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.

Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.

В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.

Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.

Угрозы информационной безопасности, которые наносят наибольший ущерб

Рассмотрим ниже классификацию видов угроз по различным критериям:

  1. Угроза непосредственно информационной безопасности:
    • Доступность
    • Целостность
    • Конфиденциальность
  2. Компоненты на которые угрозы нацелены:

  • Данные
  • Программы
  • Аппаратура
  • Поддерживающая инфраструктура
  • По способу осуществления:

    • Случайные или преднамеренные
    • Природного или техногенного характера
  • По расположению источника угрозы бывают:

    • Внутренние
    • Внешние

    • Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.

    Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.

    На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.

    Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.

    Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.

    Угрозы непосредственно информационной безопасности

    К основным угрозам доступности можно отнести

    1. Внутренний отказ информационной системы;
    2. Отказ поддерживающей инфраструктуры.

    Основными источниками внутренних отказов являются:

    • Нарушение (случайное или умышленное) от установленных правил эксплуатации
    • Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
    • Ошибки при (пере)конфигурировании системы
    • Вредоносное программное обеспечение
    • Отказы программного и аппаратного обеспечения
    • Разрушение данных
    • Разрушение или повреждение аппаратуры

    По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

    • Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
    • Разрушение или повреждение помещений;
    • Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

    Основные угрозы целостности

    Можно разделить на угрозы статической целостности и угрозы динамической целостности.

    Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.

    С целью нарушения статической целостности злоумышленник может:

    • Ввести неверные данные
    • Изменить данные

    Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.

    Основные угрозы конфиденциальности

    Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

    Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

    К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

    Для наглядности данные виды угроз так же схематично представлены ниже на рис 1.

    Рис. 1. Классификация видов угроз информационной безопасности

    Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.

    Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:

    1. Что защищать?
    2. От кого защищать, какие виды угроз являются превалирующими: внешние или внутренние?
    3. Как защищать, какими методами и средствами?

    Принимая все выше сказанное во внимание, Вы можете наиболее полно оценить актуальность, возможность и критичность угроз. Оценив всю необходимую информацию и взвесив все «за» и «против». Вы сможете подобрать наиболее эффективные и оптимальные методы и средства защиты.

    Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».

    Защита информации от внутренних угроз

    2006 год отличился значительным ростом зафиксированных случаев утечки информации. Удивляет не только их количество, но и масштабы. Если сохранится наметившаяся тенденция, в скором будущем понятие конфиденциальности будет лишь условным атрибутом общедоступной информации.

    Современные информационные системы позволяют защитить конфиденциальные данные компаний от внешних злоумышленников. Но, как правило, остается одно уязвимое место – собственный персонал, обладающий легитимным доступом к накопленным сведениям. Поскольку организации стараются скрыть инциденты с утечкой своих информационных ресурсов, составить достоверную картину о масштабах происшествий затруднительно. Но между тем, согласно исследованиям ФБР и Института компьютерной безопасности США, более 70 процентов от общего объема потерь компаний, возникающих в результате реализации ИТ-рисков, связаны именно с их персоналом.

    На отечественном рынке труда, к сожалению, нормой стало то, что сотрудники организаций, увольняясь, безнаказанно переносят конфиденциальные сведения с одного места работы на другое. Успешных примеров проведения расследований по статье 183 Уголовного кодекса «Незаконное получение и разглашение коммерческой тайны» к настоящему моменту крайне мало. Поэтому инсайдеры и нелояльные сотрудники продолжают безбоязненно копировать и использовать сведения, составляющие коммерческую тайну предприятия, в котором они работают.

    Даже среди организаций, специализирующихся на предоставлении услуг в области информационной безопасности, вряд ли найдется компания, которая никогда не сталкивалась с финансовыми потерями в результате утечки конфиденциальных сведений, не говоря уже о фирмах, основная деятельность которых не связана с защитой информации. Решение проблемы утечки информации

    Многие предприятия предоставляют своим сотрудникам значительную свободу в выборе и использовании компьютерной техники и программного обеспечения, а также не уделяют должного внимания вопросу найма собственных IT-специалистов. Другая крайность проявляется в том, что топ-менеджеры некоторых компаний устанавливают режим тотальной секретности, отслеживая практически все перемещения информации, в том числе и не содержащей коммерческой тайны. В таких случаях часто неоправданно велики требования к ресурсам службы экономической безопасности предприятия. Поэтому очень важно добиться разумного компромисса между разумной управляемостью и жестким контролем.

    На основе зарубежного и отечественного опыта решения задач защиты конфиденциальных сведений разработаны методологии построения системы управления информационной безопасностью (далее – СУИБ), например:

  • стандарты британского института ISO 27001 (ISO 17799);
  • требования акта Сарбанеса–Оксли (США) SOX;
  • стандарт Банка России СТО БР ИББС-1.0-2006;
  • отраслевые стандарты предприятий.

    Каждая методология включает рекомендации как по организационным, так и по техническим мерам обеспечения безопасности. Помимо выполнения внутренних проверок, предприятия заказывают такие услуги, как комплексный аудит информационной безопасности – «взгляд со стороны». В основе процессного подхода западных стандартов лежит также непрерывный контроль и совершенствование уже существующих мер. В российской действительности защиту конфиденциальных сведений следует начинать с введения в компании режима коммерческой тайны.

    Поскольку поток документов, обрабатываемых сотрудником, в большинстве случаев превышает то количество, с которым он одновременно может работать, возрастает необходимость в технических средствах автоматизированного выполнения следующих основных действий:

  • классификации информации (разделения на конфиденциальную и открытую);
  • разграничения доступа к сведениям, содержащим коммерческую тайну;
  • учета перемещений данных между сотрудниками;
  • регистрации исходящих сообщений. Технические меры
  • В настоящее время существуют совершенные средства защиты от внешних рисков – антивирусы, межсетевые экраны, антиспам и т. д. А вот рынок защитных устройств от внутренних угроз еще не настолько развит, чтобы можно было ограничиться неким «универсальным» средством для покрытия всех каналов утечки конфиденциальной информации.

    Попробуем разобраться в вариантах IT-решений по защите информации при различных сценариях поведения нарушителей. Так, если злоумышленник не является специалистом в шпионском оборудовании, то, скорее всего, он воспользуется одним из наиболее доступных способов передачи информации:

  • перепишет файлы на мобильный носитель (например, наладочный компьютер, сотовый телефон, записываемые диски, по IR- или BlueTooth-каналу на личный ноутбук);
  • отправит файлы по электронной почте;
  • перешлет через web-почту или выгрузит на внешний файловый сервер;
  • распечатает и унесет на бумажных носителях.

    В данном случае для защиты информации можно выбрать различные устройства, различающиеся как по используемым технологиям, так и по количеству покрываемых каналов утечки.

    1. Средства контроля мобильных носителей. На отечественном рынке распространены решения DeviceLock, которые позволяют управлять открытием и закрытием портов ввода-вывода информации в зависимости от привилегий пользователей и профилей устройств. Эти IT-решения чаще всего используются для целей контроля USB-носителей.

    Решение Net Monitor компании InfoWatch позволяет следить за перемещением информации на основе меток уровня конфиденциальности документов. Так, согласно политике безопасности, для определенной группы пользователей могут быть установлены запрет или разрешение на такие действия над документами, как открытие, модификация, сохранение, печать, копирование на носители.

    Особый тип в данной группе составляют IT-решения по защите мобильных компьютеров. Ведь именно кражи корпоративных ноутбуков, согласно последним данным статистики от компании InfoWatch, среди прочих внутренних угроз вызывают наибольшие потери. Помимо организационных мер, рекомендуется использовать криптографические средства, например шифрование дисков, одновременно с созданием нескольких виртуальных машин для разделения данных.

    2. Средства фильтрации почтового и web-трафика. Система «Дозор-Джет» защищает фирмы от нецелевого использования web-ресурсов и предотвращает утечку конфиденциальной информации по web-каналам и через корпоративную электронную почту. В основе технологии – программа-фильтр, которая проверяет входящие и исходящие сообщения по ключевым словам и по шаблонным выражениям, поэтому требуется ее предварительная настройка в соответствии с каталогом конфиденциальной информации.

    Решение Traffic Monitor компании InfoWatch также защищает предприятия от утечек информации через web-каналы, электронную почту и создает хранилище отправленных сообщений для оперативного разбора инцидентов. В зависимости от плана внедрения действия программы могут быть скрыты от пользователей для целей прозрачного контроля, а информация об их действиях, нарушающих безопасность, моментально доводится до сведения сотрудника службы безопасности. IT-решение основывается на морфологическом анализе исходящего текста, при котором учитываются словоформы русского языка и возможные подмены символов.

    Отдельно можно отметить западное решение SurfControl, уже достаточно известное и распространенное в России благодаря возможностям тонкой настройки контроля использования web-ресурсов. Технология фильтрации основана на перечне запрещенных слов, которые не должны покинуть пределы корпоративной информационной системы. Если в исходящем сообщении суммарный «вес» запрещенных слов превысит установленный уровень, то действия сотрудника будут блокированы. Как выбрать IT-решение

    На выбор IT-решения для защиты информации влияют несколько факторов.

    1. Цели внедрения технологического решения:

  • соответствие стандартам по информационной безопасности – в связи с вступлением в ВТО, а также для повышения инвестиционной привлекательности обязательным требованием к компаниям зачастую становится соответствие одному из отечественных или зарубежных стандартов (ФЗ РФ, СТО БР ИББС, ISO 27001/17799, SOX § 404);
  • выявление каналов утечки;
  • комплексная защита предприятия от утечек путем создания системы управления информационной безопасностью.

    2. Размер компании: в организациях, использующих более 300–500 рабочих станций, возрастают требования к консолидации управления информационной безопасностью. Можно выделить решение InfoWatch Enterprise Solution, которое предоставляет единый интерфейс контроля сразу нескольких каналов утечки.

    3. Унаследованная инфраструктура: промышленные гиганты борются за унификацию своей инфраструктуры, но многочисленные унаследованные приложения, которые используются для управления ресурсами предприятия, а также большие затраты по их интеграции ее затрудняют.

    4. Сертификация: ряд организаций, например министерства, предъявляют требования к компании-разработчику и к внедряемым программно-аппаратным комплексам по наличию у них сертификатов и лицензий ФСТЭК и ФСБ. В результате выбор может быть предопределен набором тех IT-решений, которые имеют требуемый сертификат. Цена защиты

    Объем инвестиций в комплексную защиту от утечек конфиденциальной информации определяется составляющими:

    1. Лицензионной – как правило, лицензирование программных комплексов привязывается к количеству контролируемых узлов (рабочих станций, серверов, почтовых ящиков). Следует учесть также и стоимость сопутствующего программного обеспечения (операционных систем, Oracle DataBase, MS SQL Server, MS ISA Server и т. д.).

    2. Аппаратной – каждое программно-техническое решение имеет свои требования к серверному и сетевому оборудованию, используемому для реализации проекта. Например, оперативный контроль над почтовым трафиком является чрезвычайно важным элементом бизнеса и может потребовать отдельного сервера для его фильтрации.

    3. Работами по внедрению – часть рассмотренных решений являются «коробочными» продуктами и настраиваются системными администраторами компании, однако другие требуют выполнения проектных работ с привлечением консультантов, лингвистов, технических специалистов. Объем работ может составлять от 30 до 100 процентов от лицензионной составляющей программного комплекса.

    4. Обслуживанием – после внедрения IT-системы компания несет затраты на ее техническое сопровождение (обычно от 10 до 30% от стоимости лицензии за один год).

    5. Работами по интеграции – дополнительные расходы могут быть связаны с настройкой межсистемных интерфейсов. Если СУИБ внедряется на основе решений нескольких поставщиков, то затраты на их интеграцию и сопровождение также возрастают и требуют учета.

    6. Занятостью персонала – на этапе внедрения системы и ее промышленной эксплуатации для изучения и сопровождения СУИБ необходимо привлекать технических специалистов и сотрудников службы безопасности. Требования к работникам зависят от достоверности и уровня автоматизированности основных действий по контролю над информационными ресурсами.

    Таким образом, внедрение СУИБ в компании – многофакторный процесс, а его успешная реализация позволяет значительно снизить риски организаций при использовании информационных ресурсов и иметь законную основу для защиты конфиденциальных сведений.

    Принципы построения СУИБ:
    1) анализ текущего состояния предприятия с точки зрения существующих уязвимых мест в информационной безопасности;
    2) оценка возможных рисков компании, связанных с использованием информационной инфраструктуры;
    3) разработка СУИБ организации на основе наложения рисков и уязвимых мест;
    4) внедрение СУИБ и осуществление соответствующих организационных мер.

    Введение в компании режима коммерческой тайны сопровождается:
    1) разработкой положения о коммерческой тайне компании;
    2) выпуском приказа по организации, утверждающего положение;
    3) подписанием с сотрудниками приложений к трудовому договору о неразглашении секретных сведений;
    4) включением раздела о конфиденциальности во все договора предприятия;
    5) физическим и техническим разграничением доступа к информации;
    6) организацией учета лиц, получающих доступ к коммерческой тайне;
    7) регистрацией всех исходящих документов, содержащих секретные сведения.

    Александр Чачава, президент LETA IT-Сompany

    ПРАКТИЧЕСКАЯ ЭНЦИКЛОПЕДИЯ БУХГАЛТЕРА

    Полная информация о правилах учета и налогах для бухгалтера.
    Только конкретный алгоритм действий, примеры из практики и советы экспертов.
    Ничего лишнего. Всегда актуальная информация.

    Мы пишем полезные статьи, чтобы помочь вам разобраться в сложных проблемах бухучета, переводим сложные документы «с чиновничьего на русский». Вы можете помочь нам в этом. Это легко.

    *Нажимая кнопку отплатить вы совершаете добровольное пожертвование

    Основы информационной безопасности. Типы угроз и способы защиты.

    Основы информационной безопасности. Типы угроз и способы защиты.

    Сегодня мы поговорим об основных правилах информационной безопасности. И сразу хотелось бы отметить, что 100% защиты просто не существует, кто бы, что не говорил. Даже локальные сети, полностью изолированные от внешней сети и сети Интернет подвержены угрозам, поскольку, так или иначе, информация попадает в эту сеть (флешки, диски и т.д.).

    Угрозы информационной безопасности можно разделить на два типа: технические угрозы и человеческий фактор.

    Технические угрозы информационной безопасности.

    — Ошибки в программном обеспечении

    Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.

    — DoS и DDoS-атаки

    Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

    — Компьютерные вирусы, троянские кони

    Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

    — Анализаторы протоколов и «снифферы»

    В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

    — Технические средства съема информации

    Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

    Угрозы информационной безопасности связанные с человеческими факторами:

    — Уволенные и недовольные сотрудники

    Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачатую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

    Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети — не самый простой вариант. Очень может статься, что уборщица, моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

    Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, — в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

    Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один — обучение пользователей, создание соответствующих документов и повышение квалификации.

    Способы защиты от несанкционированного доступа

    Какие мероприятия мы можем провести, чтобы минимизировать риск взлома нашей информационной сети? Для этого нужно:

    1) В первую очередь необходимо обеспечить физическую безопасность. Доступы во все серверные и коммутационные комнаты должен быть предоставлен ограниченному числу сотрудников. Если используются точки доступа, они должны быть максимально скрыты что бы избежать к ним физический доступ. Данные должны иметь физические резервные копии Утилизация жёстких дисков должна проходить под строгим контролем. Ведь получив доступ к данным, последствия могут быть печальными.

    2) Позаботится о внешней безопасности. Первый «защитник сети», выступает farewall или межсетевой экран, обеспечивающий защиту от несанкционированного удалённого доступа.

    Сеть можно разделить на подсети для ограничения серверов от пользователей. Использование фильтрующего маршрутизатора, который фильтрует исходящие и входящие потоки. Все устройства подключение к сети буду иметь доступ в интернет, а обратно доступ к устройствам из Интернета блокируется.

    3) Разграничения в ролях администраторов и пользователей

    — Доступ к серверам не должен иметь рядовой пользователь;

    — Доступ управления конфигурацией компьютеров должен иметь только администратор;

    — Доступ к сетевым ресурсам должны иметь каждый там, где ему это необходимо для выполнения должностных обязанностей;

    — Трафик всех сотрудников должен фильтроваться, и в этом поможет прокси-сервер;

    — Каждый пользователь должен устанавливать сложный пароль, и не должен не кому его передавать. Даже IT специалисты его не знают.

    4) Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует проникновения в сеть вирусов. В первую очередь необходимо защитить сервера, рабочие станции, шлюзы и систему корпоративной почты

    5) Установка актуальных обновлений программного обеспечения.

    6) Защита сети через виртуальные частные сети VPN. В связи со спецификой работы организаций, как показывает практика, многие сотрудники осуществляют рабочую деятельность удалённо, в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN, о которых мы рассказывали в статье «Как настроить VPN соединение для Windows? Настройка VPN сервера»

    7) Безопасность корпоративной почты. Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг атакам. Чтобы решить данную проблему рекомендуется использовать следующие методы:

    — Использование спам списков (рейтинг почтовых сервисов)

    — Анализ вложения письма (должен осуществляться анализ не только текста, но и самих вложений)

    — Определение массовости письма (большинство почтовых серверов имеют такую функцию, можно посмотреть, кому в почтовые ящики упали письма)

    8) Никакая система не защитит от человеческого фактора. Все сотрудники компании, вне зависимости от должности должны понимать и главное соблюдать правила информационной безопасности. Любые посторонние файлы, скаченные из сети или из почты могут быть опасны и нести в себе угрозу, а так же внешние накопители информации, которые не относятся к рабочему процессу.

    Договориться, чтобы перед информированием сотрудника об увольнении, сначала сообщили вам, а вы продумали ряд мероприятий, для защиты рабочих документов данного сотрудника от кражи или порчи.

    А так же повышать квалификацию работников в области информационной безопасности и компьютерной грамотности!

    Это основные аспекты защиты информации в корпоративной сети, которые действенны, и используются почти в каждой компании. Выбор комплекса защиты зависит от самой структуры корпоративной сети. Не забывайте использовать защиту комплексно.