Информационная безопасность предприятия

By | 10.04.2019

Недавно ко мне обратились представители одного предприятия за консультацией по обеспечению сохранности данных и предотвращению их утечки. Поскольку это не совсем моя сфера деятельности, я порекомендовал найти профильную фирму и обратиться за помощью к ним. Но при этом все-таки попытался сформулировать и кратко изложить свои мысли о решении подобной задачи, чтобы заказчики знали, на что следует обращать внимание, когда речь идет о защите данных. Эти мысли и рекомендации приведены ниже.

 

Основные вопросы, на которые нужно ответить при планировании мер по защите информации:

  • Что защищаем?
  • От чего (от кого) защищаем?
  • Каким образом защищаем?

 

  1. Что защищаем?

Поскольку речь идет о защите информации, то учитываем следующие моменты.

Информация может храниться и обрабатываться:

  • в материальном виде (бумажные документы, фотографии, образцы продукции и т.п.);
  • в электронном виде (данные на жестких дисках, в облаке, на флешках, в смартфонах и т.д.);
  • в нематериальном виде (знания и навыки персонала).

Информация также может быть предметной (непосредственно данные, документы) и служебной (логины, пароли, протоколы действий и т.п.). Знание служебной информации позволяет получить доступ к предметным данным. Поэтому защищать нужно и то, и другое.

Если вкратце, то в первую очередь нужно определить конкретный перечень охраняемых объектов, их представление (бумажный документ, база данных, ключ к кабинету и т.п.), наличие копий.

 

  1. От чего или кого защищаем?

В отношении информации должна соблюдаться:

  • доступность – данные должны быть доступны персоналу, допущенному к их использованию;
  • конфиденциальность – данные не должны быть доступны посторонним людям;
  • целостность – данные должны быть верными и актуальными.

Соответственно, необходимо обеспечивать доступность данных для работы, защищать их от утери или искажения, а также ограничивать доступ к ним посторонних лиц. Как ни странно, защита информации от копирования авторизованным персоналом не относится к классическим направлениям информационной безопасности.

Далее следует проанализировать все возможные сценарии нарушения целостности, доступности и конфиденциальности.

Например, целостность может быть нарушена случайно неверными действиями пользователя, преднамеренно (как авторизованным персоналом, так и другими людьми), вследствие программных или аппаратных сбоев и по другим причинам.

Информация может стать недоступной в результате отказа техники, программного сбоя, случайного или преднамеренного удаления (в том числе вирусами), кражи, порчи в результате стихийного бедствия или иных внешних воздействий.

Несанкционированный доступ к информации может быть получен:

  • путем физического доступа к документам;
  • путем удаленного доступа к компьютерным данным;
  • при краже, подборе, подсматривании, взломе или других способах узнавания пароля;
  • при отсутствии пароля или иных средств ограничения доступа;
  • путем кражи носителей информации;
  • путем передачи информации через лиц, имеющих к ней законный доступ;
  • с помощью различных технических средств без непосредственного доступа к данным (наблюдение, фотосъемка, видеозапись, звукозапись, скриншоты, кейлогеры, прослушка линий связи, подключения к сетям передачи данных и т.п.);
  • путем доступа к незащищенным копиям (архивы, черновики, устаревшие документы, пересылаемые документы, в том числе и по электронным каналам связи, и др.);
  • с применением методов социальной инженерии;
  • иными способами.

Другими словами, чтобы строить защиту, надо знать, от чего именно предстоит защищаться.

 

  1. Каким образом защищаем?

После получения ответов на первые два вопроса можно начинать планирование мероприятий по защите информации. Что следует при этом учитывать?

  • Универсальных средств защиты нет. Например, антивирус не защитит ни от кражи диска, ни от его поломки, ни от пожара, ни от передачи паролей. Для каждого защищаемого объекта и каждой угрозы необходимо разрабатывать свой комплекс защитных мер.
  • Стопроцентно надежных средств защиты нет. Тот же антивирус ловит не все вирусы, а уж тем более не восстанавливает информацию после их действий.
  • Защита может быть только комплексной. Например, смысла в использовании паролей почти нет, если они записаны на бумажке у монитора, а доступ к компьютеру есть у всех работников. Более-менее надежная защита обеспечивается только при одновременном использовании подходящих технических, программных и административных мер. Например, придется четко регламентировать и разделить обязанности сотрудников, продумать методы ограничения и контроля доступа к рабочим местам, ввести дополнительные меры дисциплинарного воздействия и т.п.
  • Для каждой угрозы производится оценка риска с учетом вероятности ее возникновения и потерь при ее реализации. Информация скорее будет повреждена или утеряна вследствие некорректных действий пользователя, отключения питания при отсутствии ИБП или просто из-за отказа диска, чем от падения метеорита. При этом повреждение одной информации может вызвать многодневный простой предприятия и убытки, а повреждение другой — пройти почти без последствий.
  • При оценке важно учитывать наличие копий защищаемой информации. С одной стороны, регулярное создание резервных копий – это до сих пор самый надежный, а временами даже единственный способ быстрого и полного восстановления информации в случае утери. С другой стороны, наличие копий требует распространять методы защиты и на них тоже.
  • Варианты мер по защите обязательно оцениваются на эффективность. Вряд ли есть смысл оборудовать защищенное помещение с доступом по отпечаткам пальцев для хранения командировочных удостоверений.
  • В любом случае следует понимать, что экономического эффекта от разработки и внедрения мер защиты может и не быть. Это как страховка – выгоды нет, но в определенных случаях возможные потери компенсируются.
  • Защита информации не должна нарушать или значительно усложнять работу предприятия. В противном случае предпринимаемые меры защиты будут попросту саботироваться. Работника никак не волнует сохранность данных работодателя, а штрафные санкции дисциплинируют не всех.
  • Надо понимать, что любое повышение уровня защиты информации требует определенных материальных затрат и выполнения ряда административных действий. Если защищать действительно серьезно (например, как в банке), то для этого потребуется создание собственной службы информационной безопасности. Приобретение и внедрение любых аппаратных и/или программных систем без предварительного всестороннего анализа, без последующей разработки мер и без постоянной их поддержки и корректировки ничего не даст.

 

Резюме

Я бы рекомендовал начинать заботиться об информационной безопасности с реализации минимально необходимых мер по защите от утери компьютерных данных. Это наиболее просто и наименее затратно, а риски утери информации всегда велики (отказ оборудования, повреждение при отключении электропитания, вирусы, неумышленное повреждение и т.п.).

Меры по ограничению несанкционированного доступа к информации для большинства предприятий также не требуют сверхсложного подхода и больших затрат. Правда, если переусердствовать, то можно столкнуться с усложнением работы, снижением оперативности решения задач, сопротивлением персонала и нарушением функционирования предприятия в целом. На практике это закончится игнорированием или отменой установленных протоколов безопасности.

Что касается защиты от доступа извне в локальную сеть, то эта задача также не слишком сложна. К тому же для большинства предприятий риск утечки информации по вине собственного персонала намного выше, чем риск кражи данных хакерами. Так что помним про «неуловимого Джо», но одновременно не забываем о брандмауэрах и антивирусах.

А вот работа по защите от утечки информации, наверное, наиболее сложная и ресурсоемкая часть обеспечения информационной безопасности. Так что для ее выполнения желательно найти и пригласить специалиста по информационной безопасности для консультации, а при наличии желания и средств – заказать аудит предприятия для выработки действенных мер по защите данных.

 

Еще раз напомню, что я не являюсь специалистом по информационной безопасности, и в этой статье излагаю свой субъективный взгляд на обеспечение безопасности данных в небольших организациях, не работающих с секретной информацией. Буду рад прочесть комментарии и замечания.

Share

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *