Основные информационные угрозы и методы защиты

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Типовые информационные угрозы базам данных CRM-систем и методы защиты от них

Защитите
своих клиентов

от конкурентов

В наш век — век информации — самые страшные угрозы — это угрозы, касающиеся информации. Сегодня поговорим о том, какие существуют угрозы базам данных CRM-систем и как можно с ними бороться.

Часто в компаниях, предоставляющих услуги населению, самым уязвимым местом являются внедренные CRM-системы со всей клиентской базой данных. Как правило, это привлекает конкурирующие компании, которые не всегда ведут честную конкурентную борьбу.

Какие существуют основные угрозы информационной безопасности CRM-системы?

Угроза конфиденциальности – несанкционированный доступ к базам данных с мотивом их хищения.

Угроза целостности – несанкционированная модификация, дополнение или уничтожение данных.

Угроза доступности – ограничение или блокирование доступа к базам данных.

Виды источников угроз

Источники угроз могут быть внешними и внутренними. Внешние – несанкционированный доступ к информации со стороны заинтересованных организаций, компьютерные вирусы и другое вредоносное ПО.

К внутренним источникам угроз будут относиться: ошибки пользователей и сисадминов, ошибки в работе ПО, сбой в работе компьютерного оборудования, нарушение регламентов компании по работе с информацией.

Основные способы защиты информации

Давайте рассмотрим основные способы защиты информации, которые предполагают использование определённого набора средств, например, таких как:

Физические средства – решётки на окнах, прочные двери, надёжные замки/электронные ключи, строгий пропускной режим, противопожарная система.

Технические и аппаратные средства – сигнализации; блоки бесперебойного питания для корректного завершения работы при отключении электричества.

Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

При эффективном использовании организационных средств работники предприятия должны быть хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполнять свои обязанности и нести ответственность за предоставление недостоверной информации, утечку или потерю данных.

Должен быть подписан договор о неразглашении конфиденциальной информации каждым сотрудником, имеющим доступ к секретным данным компании. Если произойдёт нарушение договора, виновного привлекут либо к административной, либо к уголовной ответственности.

Угрозы базам данных: как бороться?

В компании должны использоваться программные средства, отражающие хакерские атаки, проводящие резервное копирование данных примерно раз в неделю автоматически, а также рекомендуется использовать ПО по восстановлению баз данных. Приветствуется использование шифрования информации с помощью специальных алгоритмов (криптография).

Но, на самом деле, эти методы обеспечения безопасности информации недостаточно эффективны. Причина в том, что выяснить источник утечки информации в максимально быстрые сроки очень сложно и эти меры можно легко обойти…

Что делать? Предлагаю Вам пути их модификации:

Для увеличения уровня безопасности доступа не только к базам данных, но и к компьютерам, необходимо производить вход в систему с помощью индивидуального логина и пароля, последний из которых нужно периодически менять.

С помощью этой функции система будет ограничивать права пользователя согласно его роли в компании. Пароль администратора следует менять раз в неделю, смена всех паролей должна осуществляться после ухода кого-либо из сотрудников, имеющего доступ к системе.

Целесообразно использовать метод двухфакторной аутентификации пользователя в сети. Этот метод сейчас широко используется в интернете, так почему же не добавить это в авторизацию в корпоративных системах? Пользователь вводит логин и пароль, а ему на телефон приходит смс с кодом доступа.

После его корректного ввода осуществляется вход в систему. Этот способ не обязательно использовать для каждого сотрудника, но его рекомендуется применять для авторизации пользователей, у которых открыты большие права в системе.

Для более эффективной защиты информации отлично подойдут подавители сети. При обнаружении попытки взлома можно отключить сети на всём предприятии и не дать злоумышленникам повредить/скопировать оставшуюся часть информации.

Возможно использование программного обеспечения, которое будет отслеживать и фиксировать подключения к посторонним сетям, контролировать выгрузку данных в сеть Интернет или на внешние носители.

Если система зафиксирует выгрузку данных, то она может автоматически отправить смс руководству компании и администраторам, которые, в свою очередь, активируют глушители сети и заблокируют все компьютеры в офисе до выявления виновников несанкционированного доступа к базам данных.

А это того стоит?

Несмотря на то, что данные методы защиты повлекут за собой определённые финансовые затраты (как правило — незначительные), эффективность защиты CRM-систем существенно возрастёт.

Таким образом, предложенные методы модификации средств защиты информации помогут усилить степень безопасности конфиденциальной информации организации.

А сталкивались ли Вы с угрозой безопасности Ваших баз данных? Расскажите в комментариях, что это были за угрозы и как Вам удалось с ними справиться.

Конфиденциальная информация: как защитить корпоративные данные

С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Документы материальные и представленные в электронном виде.

Технические средства носителей информации и их обработки.

Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.

Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Запросы из государственных органов.

Проведение переговоров с потенциальными контрагентами.

Посещения территории предприятия.

Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Доступ к компьютерной сети.

Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

Оптимизировать защищаемые информационные потоки.

Определить формы представляемой информации.

Установить виды угроз защищаемой информации и варианты их реализации.

Установить, кому может быть интересна защищаемая информация.

Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

Удаленный доступ к информации.

Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

Настройка программного оборудования (особенно после обновления).

Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

Разграничение доступа к информации.

Дробление информации на части.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
  • Владельцам бизнеса;
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

Правовые основы информационной безопасности в России

Проблемы обеспечения информационной безопасности федеральными органами законодательной и исполнительной власти Российской Федерации, политическим руководством страны, учеными и практиками воспринимаются как одни из наиболее актуальных и жизненно важных для современного состояния и перспектив развития российской государственности, демократии, гарантий защиты интересов общества и личности. Социально-политическая рефлексия данных проблем в значительной степени определяется динамикой современных политических процессов, связанных с формированием нового миропорядка, объективными процессами изменения роли и места России на мировой политической арене, происходящими на фоне кризисных явлений в ходе модернизации Российского государства, в том числе и в информационной сфере.

Функционирование государственных органов по обеспечению предотвращения развития и профилактики информационных конфликтов должно базироваться на следующих основных принципах:

  • Соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации.
  • Открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации.
  • Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом.
  • Приоритетное развитие современных отечественных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Государство в процессе реализации своих функций по обеспечению информационных безопасности в Российской Федерации:

  • проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
  • организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
  • поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искажённой и недостоверной информации;
  • осуществляет контроль над разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
  • проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
  • способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
  • формулирует и реализует государственную информационную политику России;
  • организует разработку федеральной программы обеспечения им формационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
  • способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Это предполагает:

  • оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования;
  • создание организационно-правовых механизмов обеспечения информационной безопасности;
  • определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере;
  • создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления;
  • разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий;
  • разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе;
  • совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.

Правовое основы информационной безопасности должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.

Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.

Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, — важнейшая задача государства в области информационной безопасности.

В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.

Государственные органы, органы местного самоуправления в соответствии со своими полномочиями:

  • участвуют в разработке и реализации целевых программ применения информационных технологий;
  • создают информационные системы и обеспечивают доступ к содержащейся в них информации.

Определяющую роль играет государство в создании единой системы подготовки кадров в области информационной безопасности и информационных технологий. Несмотря на то, что большое количество высших учебных заведений готовят специалистов в указанных областях, работодатели все чаще сетуют на недостаточную подготовку выпускников. По-видимому, быстрое развитие информационных технологий, появление новых информационных угроз, необходимость оперативного реагирования на них при создании систем защиты требуют постоянного совершенствования учебных программ, создания системы переподготовки кадров, повышения квалификации, новых подходов к организации производственной практики студентов.

Информация стала ценным активом для физических лиц, предприятий, организаций и государств. Когда важные данные не удается эффективно защитить, под угрозу становится личная безопасность и, что еще важнее, национальная безопасность государств. Проблема защиты информации становится личным, деловым и национальным приоритетом и в той или иной мере затрагивает каждого члена общества.

По мере все большего вовлечения стран в глобальное информационное общество происходит осознание того, что информационная безопасность нельзя обеспечить с помощью одной только технологии. Эффективное решение возникающих проблем зависит не только от действий государственных органов, но и, может быть в решающей степени, от превентивных мер и поддержки во всем обществе.

Государственные органы, предприятия, организации, индивидуальные владельцы и пользователи продуктов ИТ-индустрии должны знать о факторах, угрожающих информационной безопасности, и возможных превентивных действиях, должны сознавать свою ответственность и принимать меры для повышения безопасности информационных технологий. С этой целью в современном обществе должна быть сформирована культура информационной безопасности, которая является составной частью информационной культуры общества.

Одним из наиболее важных механизмов повышения компетентности и формирования культуры информационной безопасности является массовое обучение людей тому, как ценить безопасность, ответственно использовать компьютерные технологии; как реагировать на инциденты, связанные с нарушением безопасности; как восстанавливать компьютерные системы и информацию после таких инцидентов; как обращаться с доказательствами, которые могут потребоваться во время судебного расследования компьютерных преступлений; как и кому сообщать об инцидентах, связанных с нарушением информационной безопасности. Практика показывает, что обучение основам информационной безопасности и преподавание этики использования компьютерных технологий больше способствует укреплению информационной безопасности, чем какие-либо другие меры. Без преподавания нравственности и этики, особенно молодым людям, по всей видимости, не будут преодолены проблемы компьютерной и сетевой безопасности.

Задачей государства в сфере обеспечения информационной безопасности является разработка федеральных целевых программ (ФЦП) обеспечения информационной безопасности Российской Федерации. Не ФЦП, но проекты создания систем защиты информации в рамках ФЦП, разработки нормативных правовых актов, направленных на эти цели, реализуются. Однако в отсутствие объявленных и обоснованных приоритетов, обусловленных стратегическими целями, эти проекты носят разрозненный несистемный характер и существенным образом не содействуют сохранению и развитию отечественной отрасли информационной безопасности, которая, по мнению экспертов, пока сохраняет конкурентоспособность. Очевидно, что ФЦП должны быть направлены на обеспечение технологической независимости Российской Федерации в важнейших областях применения информационно-телекоммуникационных технологий, определяющих ее безопасность (в первую очередь в области создания образцов вооружения и военной техники), разработку современных методов и средств защиты информационно-телекоммуникационных технологий (прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами).

Состояние информационной безопасности в России характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Эта проблема осознается ведущими странами Европы и Азии, которые ищут альтернативу продукции Майкрософта в разработке национальных программных продуктов на основе систем с открытым кодом. Подобные разработки необходимы и России, заказчиком их, несомненно, должно быть государство.

Инструментом реализации государственной политики является также установление требований к тем или иным видам деятельности или используемым технологиям. В соответствии с положениями Конституции Российской Федерации эти требования должны устанавливаться только федеральными законами. Отдельные виды деятельности могут осуществляться в уведомительном или разрешительном порядке. В уведомительном порядке, например, может осуществляться деятельность удостоверяющих центров (Федеральный закон «Об электронной цифровой подписи») и операторов информационных систем персональных данных (Федеральный закон от 27 июля 2007 г. № 152-ФЗ «О персональных данных»).

Таким образом, обозначив основные функции государства в сфере обеспечения информационной безопасности можно убедиться в том, что поле деятельности огромно, хотя бы потому, что проблемы информационной безопасности в той или иной мере касаются каждого человека, общества в целом, государственных институтов. Вместе с тем деятельность государства требует осмысления и совершенствования в целях создания благоприятных условий для использования информационных и коммуникационных технологий во всех сферах жизни, защиты интересов личности, общества и государства при вхождении России в глобальное информационное общество.

Как обеспечить информационную безопасность в компании

В сегодняшних реалиях информация — не просто деньги, а намного более ценный ресурс. Персональные данные, инсайдерские знания о рынке, организация работы, ноу-хау — к защите этих данных следует отнестись максимально серьезно. Расскажем, как системно подойти к корпоративной информационной безопасности.

Что такое информационная безопасность

Чтобы исключить риски, в компании необходимо грамотно организовать работу с оборудованием, ПО и прописать политику безопасности — методы управления данными, а также используемые в работе стандарты и технологии. Профессионально организованная корпоративная информационная безопасность (ИБ) помогает защитить данные от злоумышленников.

Перечислим цели работы решений ИБ.

  1. Конфиденциальность. У вас появляется контроль над корпоративной информацией — вы точно понимаете уровень защищенности своих данных, в том числе при их хранении или транзите данных любым способом и в любом формате. Вы знаете, что сделано, чтобы исключить несанкционированный доступ к информации и понимаете, насколько надежны эти меры.
  2. Целостность. Важная вещь, чтобы не допустить искажения информации на разных стадиях бизнес-операций. Этой цели добиваются, стандартизируя процессы работы с данными на разных этапах и в разных отделах.
  3. Доступность. Все важные данные должны быть доступны всегда, с учетом всех полномочий пользователей. Благодаря этому, процессы в корпоративной сети становятся предсказуемыми. Один из важных плюсов доступности — возможность быстро и полноценно восстановить систему в случае проблем.

Надежность — прежде всего

Для достаточного уровня ИБ в компании необходим системный подход, который учитывает не только все актуальные уязвимости, но и потенциальные проблемы. Поэтому, здесь не обойтись без круглосуточного контроля на каждой из стадий работы с данными, начиная с момента появления в системе и заканчивая удалением из нее.

Есть три основных типа контроля, которые позволяют предусмотреть все (или почти все) опасности.

Административный

Высокий уровень информационной безопасности поддерживается с помощью системы, состоящей из нормативных актов, корпоративной политики безопасности, правил найма, дисциплинарных методов и другого.

Логический

Здесь используются различные средства технического контроля. Это могут быть файрволы, специальное программное обеспечение, менеджеры паролей и многое другое.

Эти два типа контроля помогают предотвратить искусственные угрозы безопасности. Все они так или иначе создаются людьми и представляют собой результат их действий. Это, например, атаки злоумышленников или действия конкурентов.

Физический

Сюда входят системы управления доступом и инженерные системы компании, влияющие на процесс передачи и хранения данных. Это, к примеру, пожарная сигнализация, кондиционирование, отопление и другое. Кроме того, этот подход распространяется непосредственно на устройство рабочих мест и техники. Этот тип контроля помогает предотвратить угрозы естественного происхождения, в том числе обстоятельства непреодолимой силы — пожары, наводнения и т. п.

Вечная гонка

Сегодня в работе любой компании практически не осталось областей, где не были бы задействованы ИТ-технологии. Поэтому, теоретически, злоумышленники могут получить несанкционированный доступ почти к любому аспекту деятельности вашей компании. Таким образом, построение системы корпоративной информационной безопасности — это, в прямом смысле слова, гонка со злоумышленниками. Вы должны максимально оперативно узнавать об их новых схемах и выстраивать систему так, чтобы противостоять им.

Средства защиты информации

Средства защиты информации (СЗИ) — это ПО и оборудование, помогающие предотвратить утечки данных и эффективно противостоять угрозам. В их число входят различные аппаратные решения, программное обеспечение и организационные меры, которые должны работать в комплексе.

Из всех СЗИ наиболее популярны программные средства. Перечислим основные типы такого ПО.

Традиционные антивирусы

Некоторые из антивирусов способны не только обнаружить и обезвредить вредоносные программы, но иногда и восстановить поврежденные файлы. Важная функциональность, о которой не стоит забывать — сканирование, периодичность которого можно настраивать в соответствии с расписанием.

Облачные антивирусы

Основное отличие от традиционного ПО — в том, что анализ файлов происходит непосредственно в облачной инфраструктуре, а на устройстве устанавливается только клиент. Таким образом, антивирус не нагружает ОС рабочих ПК. Поэтому они хорошо подходят для не очень производительных систем. Среди примеров можно назвать Panda Cloud Antivirus, Crowdstrike, Immunet.

Системы мониторинга и управления информационной безопасностью (SIEM)

Это специализированное ПО, созданное для мониторинга ИТ-инфраструктуры. SIEM-решения собирают информацию о событиях в сети из всех критичных источников. Это антивирусы, межсетевые экраны, операционные системы и так далее. Вся эта информация централизованно хранится в одном месте и анализируется в автоматическом режиме. На основе анализа система мгновенно уведомляет ИТ-отдел об активности, похожей на хакерские атаки, сбои и другие угрозы.

Data Leak Prevention (DLP)

Это специализированное ПО, разработанное для защиты данных от утечки. Такие решения эффективны, но требуют больших организационных и финансовых затрат от компании. Хороший выбор, если вы готовы заплатить за действительно серьезный уровень безопасности.

Также можно выделить такие типы, как криптографические системы, межсетевые экраны, VPN и прокси-серверы. Особое внимание следует уделить и защите мобильных устройств, которыми пользуются сотрудники. Для этого существует целый ряд решений, например AirWatch, IBM MaaS360, VMware, Blackberry Enterprise Mobility Suite.

Выбор оптимальных инструментов

Принимая окончательное решение, вам необходимо учитывать множество факторов. Среди них:

  • характер работы компании;
  • размер компании, наличие отдаленных офисов, а также подразделений;
  • технический уровень— спецификации используемого оборудования, уровень износа и т. д.;
  • степень технической грамотности сотрудников, работающих с информационной инфраструктурой.