Рекомендации по информационной безопасности для малого и среднего бизнеса (smb)
Содержание:
- Защита информации как законное требование
- Что такое информация?
- Категории и носители информации
- Угрозы информационной безопасности
- Модель системы безопасности
- Особенности АСУ
- Современный цифровой мир и его влияние на национальную безопасность
- SIEM-системы
- Способы защиты и передачи информации
- Средства криптографической защиты информации
- Объекты защиты в концепциях ИБ
- Понятие «угроза информационной безопасности»
- Методы защиты
- Принципы формирования системы информационной безопасности
- Основными направлениями совершенствования системы обеспечения ИБ РФ являются:⚓︎
Защита информации как законное требование
Большинство организаций сталкиваются с необходимостью обеспечения безопасности информации только в части персональных данных сотрудников клиентов, охранять которые от утечек предписывают законы РФ. Но даже в этом, относительно легком, случае вопросы ее сохранности данных жизненно важны. Утечка фотографий из клиники эстетической медицины или историй болезни может сломать и жизнь человека, и успешную деятельность медицинского учреждения, утечка баз данных ГИБДД или Росреестра может нанести ущерб имуществу граждан.
Но существуют и другие риски. Одним из наиболее серьезных становится риск внешнего вмешательства в системы управления стратегических объектов, например, электростанций, в системы кредитных организаций, в оборонные информационные системы. Утрата или искажение информации в этих базах может причинить ущерб десяткам тысяч людей.
Существуют следующие типы угроз безопасности информации:
- утрата конфиденциальности – утечка, перехват, съемка, неумышленная утрата, разглашение;
- нарушение целостности – модификация, искажение, отрицание подлинности достоверных данных, навязывание ложной информации, в Доктрине информационной безопасности под этим термином понимается не только изменение данных, как в случае искажения, но и включение новых в текст сообщения;
- нарушение доступности, что выражается в блокировке или уничтожении.
Что такое информация?
Общего определения термина «информация» не существует. Чаще всего под ним понимают совокупность данных, сведений, знаний, в том числе:
- научные, образовательные сведения;
- технологические регламенты;
- персональные данные;
- интеллектуальная собственность;
- финансовые данные;
- структурная информация (состав, род деятельности организаций, объединений или иных сообществ).
Основные свойства грамотно охраняемой информации:
- конфиденциальность – доступ к массивам данных должен быть только у доверенных лиц или сотрудников;
- целостность – сведения не могут быть изменены, скопированы или обработаны иным способом без соответствующих разрешений;
- доступность – доверенные сотрудники не должны испытывать затруднений в пользовании или работе с данными.
Сведения хранятся в виде бумажных документов или электронных файлов. Способ представления информации не имеет принципиального значения, поскольку это лишь вариант ее консервации до момента использования. В современных условиях предпочтительны цифровые способы хранения данных, поскольку они удобны для быстрой передачи, тиражирования, изменения и прочих видов обработки. Однако это удобство имеет обратную сторону – появляется возможность доступа к информации для посторонних лиц или злоумышленников. Возникает необходимость охраны информационных массивов с помощью организационных или технических средств, программных методов.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
- информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
- сведения в открытом доступе;
- общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
- опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.
Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
- на информационное самоопределение;
- на доступ к личным персональным данным и внесение в них изменений;
- на блокирование персональных данных и доступа к ним;
- на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
- на возмещение причиненного ущерба.
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
- печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
- сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
- средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
- документы всех типов: личные, служебные, государственные;
- программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
- электронные носители информации, которые обрабатывают данные в автоматическом порядке.
Угрозы информационной безопасности
Анализ потенциальных киберугроз для организации является услугой, которую можно купить на рынке:
Услуги исследования киберугроз (рынок России)
Действия, несущие угрозу для информационных систем, можно разделить на две основные категории: внутренние (умышленные и неумышленные действия сотрудников) и внешние (сетевые кибератаки, кража носителей информации).
Внутренние угрозы
Внутренние угрозы связаны прежде всего с утечками данных:
Утечки данных
Чаще всего к утечкам приводят следующие действия, осуществляемые авторизованными пользователями (сотрудниками, инсайдерами):
- целенаправленная кража, замена на заведомо ложные или уничтожение данных на рабочей станции или сервере;
- повреждение данных пользователем, вызванное неосторожными или халатными действиями;
- утеря носителей информации за периметром организации.
Внешние угрозы
Электронные методы воздействия, осуществляемые хакерами:
- несанкционированное проникновение в компьютерные сети;
- DoS- и DDoS-атаки;
Естественные угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные и другие обстоятельства.
Модель системы безопасности
Информация считается защищенной, если соблюдаются три главных свойства.
Первое – целостность – предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.
Второе – конфиденциальность – означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.
Третье – доступность – подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.
Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным.
Особенности АСУ
Для автоматизированной системы управления предприятием, посягательства на которую совершаются наиболее часто именно с целью приостановить производство или вмешаться в его работу и вызвать аварию, характерно управление процессами и физическими объектами, тогда как обычные административные системы управляют информацией.
Это порождает отличия, которые влияют на организацию процесса обеспечения безопасности:
в отличие от ИС АСУ оказывается системой реального времени. Время реакции и срабатывания на вызовы всегда критично, неприемлемы потери данных или задержки их передачи
Крайне важно своевременное срабатывание в аварийных ситуациях
Системы управления доступом не должны препятствовать работе обычного интерфейса взаимодействия оператора и оборудования;
для АСУ недопустимы перерывы в работе, перезагрузка как метод решения проблем не применяется, технические работы планируются заранее при условии запуска дублирующих решений;
при управлении рисками для АСУ внимание концентрируется на физических процессах, а не на информационных объектах, как для ИС. Безопасность людей и оборудования, безотказность имеют приоритет над конфиденциальностью и целостностью данных
Информационная безопасность концентрируется на непрерывности процесса обмена информацией и сохранении ее целостности
Главным риском, который должен учитывать специалист, разрабатывающий механизм безопасности, станет соответствие требований регуляторов, касающихся опасных производственных объектов и объектов критической информационной инфраструктуры, предотвращение причинения вреда работникам предприятия, его имуществу, экологии;
для АСУ чаще используются специализированные, а не общедоступные операционные системы. Они лишены большинства известных хакерам уязвимостей, но не содержат встроенных модулей безопасности. Используются специализированные алгоритмы управления, все изменения тщательно внедряются поставщиками ПО, и это занимает длительное время из-за необходимости их обязательной сертификации;
системные ресурсы АСУ ограничены, они предназначены строго для управления промышленными объектами и не имеют ресурсов для развертывания вычислительных мощностей или модулей безопасности;
коммуникации в рамках АСУ проходят по специализированным протоколам с использованием особых типов медиа, не реализуемых в офисных ИС. Прокладка и поддержание безопасности сетей связи требуют специальных инженерных компетенций;
эксплуатация и поддержка АСУ осуществляются только разработчиками;
все АСУ сертифицируются и лицензируются, то же происходит со всеми обновлениями.
Такие отличия порождают различные подходы в вопросах обеспечения информационной безопасности. Реализация любых стратегий защиты может оказаться невозможной без привлечения поставщика программного обеспечения для системы. Стоимость модернизации в целях повышения защиты может оказаться очень высокой, только лицензирование и сертификация изменений могут занять до 10 % от общей стоимости проекта внедрения.
Современный цифровой мир и его влияние на национальную безопасность
За последние несколько десятилетий мир полностью изменился, и большинство коммуникаций, финансовых трансакций, информационных архивов попали в Интернет. Это увеличило их доступность для третьих лиц по сравнению с эпохой только материальных носителей, и, соответственно, вместе с доступностью повысилась и уязвимость.
Интересы личности и общества, выражающиеся в сохранности информации или в защите от деструктивного информационного воздействия, постоянно подвергаются угрозам, в основе которых лежит не только коммерческий, но и психологический или идеологический интерес.
Интересы государств в области информационной безопасности, в свою очередь, также находятся под ударом не только хакерских группировок, но и отдельных государств. Доктрина информационной безопасности, принятая в 2016 году, в числе угроз называет стремление отдельных государств доминировать в международном информационном поле. Это выражается не только в систематическом снижении значения международных организаций, в том числе в непризнании значимости принимаемых ими документов международного права в области информационной безопасности, но и в конкретных действиях.
Информационные технологии сегодня приобрели глобальный трансграничный характер, что создает невозможность как их регулирования на национальном уровне, так и безошибочного выявления источников угроз.
SIEM-системы
Сокращение расшифровывается, как «Управление информацией о безопасности и событиями ИБ» (Security information and event management). Система может оперативно обнаружить внешние и внутренние атаки, анализировать инциденты и события, оценивать уровень защиты информационной системы, формировать отчеты и другую аналитику.
Информационная безопасность
Узнать больше
Главное преимущество SIEM-систем — они одновременно собирают и анализируют большое количество данных, благодаря чему могут обнаружить атаки очень быстро. Именно поэтому многие компании воспринимают SIEM-системы, как важную часть защиты корпоративной сети.
В качестве примеров можно привести следующие решения:
- MaxPatrol SIEM. Популярная российская разработка с русскоязычными техподдержкой и документацией. Также есть сертификация ФСТЭК и Минобороны РФ. Кроме того, она проста в использовании. MaxPatrol умеет собирать данные более чем с 300 источников, включая «Лабораторию Касперского», «1С» и многие другие.
- LogRhythm. Американское решение, разработанное одноименной компанией. Особенность системы — для анализа ситуации в корпоративной сети она использует множество интеллектуальных решений. Например, поведенческий анализ и логарифмическую корреляцию. Также LogRhytm регулярно занимает лидирующие места в отраслевых рейтингах SIEM-решений.
- RuSIEM. Еще одно российское решение, ориентированное на отечественный рынок. Среди преимуществ — масштабируемость, а также отсутствие ограничений по количеству событий, их источникам и размеру архивного хранилища.
Способы защиты и передачи информации
Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации
При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны.
Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).
К формальным способам относятся:
- физические – электрические, механические, электроустройства, функционирующие независимо от информсистем;
- аппаратные – зрительные, электронные, лазерные и иные устройства, встроенные в информсистемы, специализированные компьютеры, системы по наблюдению за сотрудниками, препятствующие доступу к сведениям;
- программные (DLP-, SIEM-системы);
- специфические (криптографические, стенографические – обеспечивают безопасную передачу сведений в корпоративной и глобальной сети).
К неформальным относятся организационные, законодательные и этические способы:
- Законодательные – это императивные нормы, которые прописаны в законах, подзаконных актах. Они регламентируют порядок эксплуатации, анализа и передачи информации, ответственность при нарушении каких-либо принципов и правил использования данных. Законодательные нормы распространяются на все субъекты отношений (в настоящее время около 80 актов регулируют информационную деятельность).
- Организационные – общетехнические, юридические процедуры, являющиеся обязательными на всем жизненном цикле системы информации (например, цикл Шухарта-Деминга). Это возможности организации, которые помогают функционированию системы. К ним относят сертификацию системы и ее элементов, аттестацию объектов и субъектов.
- Высоконравственные (этические) – это принципы морали, правила этики, которые исторически сложились в обществе. Нарушение этих норм приведет к потере безопасности информации, в частности статуса и уважения граждан.
Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных:
- надежный канал связи между пользователями;
- использование общедоступного канала шифрования;
- использование информационного канала с преобразованием данных в такой вид, в котором только адресат сможет расшифровать их.
Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).
Средства криптографической защиты информации
Эти СЗИ защищают уже не доступ к информации, а ее саму — с помощью криптографии. То есть, вся она передается в зашифрованном виде и декодируется с помощью криптографических ключей. Без них злоумышленник не сможет понять смысла данных, даже если перехватит их. Вот два примера:
- КриптоПро CSP. Алгоритмы криптографии здесь отвечают требованиям ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая». Есть сертификаты соответствия ФСБ России.
- КриптоАРМ. Еще одно решение с сертификатами соответствия ФСБ России. Шифрование здесь также соответствует требованиям ГОСТ 28147-89.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
- информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
- права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
- система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
- система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Понятие «угроза информационной безопасности»
Рассмотрим, какие угрозы существуют, и на какие свойства информации они направлены. Свойства и краткие пояснения указаны в скобках.
- Противоправные сбор и использование информации (нарушение конфиденциальности).
- Нарушение технологии обработки информации (нарушение целостности, аутентичности).
- Внедрение в аппаратные и программные изделия компонентов функций не предусмотренные документацией (нарушение достоверности).
- Разработка и распространение программ нарушающих нормальное функционирование информационных систем и систем защиты информации (нарушение целостности).
- Уничтожение, повреждение или разрушение средств и систем обработки информации (нарушение целостности).
- Воздействие на парольно-ключевые системы защиты систем обработки информации (нарушение доступности – ввести несколько раз неправильно пароль, блокировка информации через систему защиты; отключение парольной защиты – нарушение целостности).
- Компрометация ключей и средств криптографической защиты информации (угроза конфиденциальности, применительно к системе защиты информации).
- Утечка информации по техническим каналам, например, акустическим (нарушение конфиденциальности информации).
- Внедрение электронных устройств для перехвата информации в технические средства обработки информации «жучки» (нарушение целостностипомещения, системы).
- Уничтожение, повреждение, разрушение носителей информации, хищение (угроза целостности).
- Несанкционированный доступ к информации в БД (нарушение конфиденциальности).
- Перехват информации в сетях, дешифрирование и передача ложной информации (нарушение конфиденциальности/целостности).
- Использование несертифицированных средств защиты информации. Это не совсем угроза. Ну, приведу простое сравнение, например. Вы пришли в больницу, а почему я заболел – по тому, что таблетки не пили. Сертификация направлена на обнаружение недекларированных возможностей (нарушение достоверности).
- Нарушение законных ограничений на распространение информации (нарушение доступности).
То есть, нарушение информационной безопасности – случайное или преднамеренное неправомерное действие вызывающее негативные последствия (ущерб/вред) для организации.
Теперь немного не связно, но по сути.
Методы защиты
На практике используют несколько групп методов защиты, в том числе:
- препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
- управление, или оказание воздействия на элементы защищаемой системы;
- маскировка, или преобразование данных, обычно – криптографическими способами;
- регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
- принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
- побуждение, или создание условий, которые мотивируют пользователей к должному поведению.
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.
Принципы формирования системы информационной безопасности
Для максимально эффективной защиты важных для бизнеса данных информационная безопасность
компании должна строиться на 5 важных принципах:
-
Комплексность. При разработке мероприятий по защите необходимо предусматривать все возможные пути
проникновения и нанесения ущерба, в том числе удаленные и внутренние каналы. Выбор
средств защиты должен соответствовать потенциальным угрозам, все они должны работать
комплексно, частично перекрывая задачи друг друга. В этом случае злоумышленнику
будет сложнее совершить кражу. -
Многоступенчатость. Информационная безопасность должна представлять собой несколько ступеней защиты,
каждый из которых срабатывает последовательно. При этом наиболее надежной ступенью
является то, что расположена глубже всего и защищает самую важную информацию. -
Надежность. Все ступени защиты информации должны быть одинаково надежными и соотносится с возможной
угрозой со стороны третьих лиц. -
Разумность. При внедрении в работу компании стандартов защиты информации необходимо, чтобы они
предотвращали возможные угрозы, но не мешали деятельности компании и доступу к данным
легальным пользователям. Кроме того, стоимость мероприятий по защите должна быть
такой, чтобы работа компании оставалась рентабельной. -
Постоянство. Средства защиты данных от неправомерного доступа должны работать постоянно независимо
от режима работы компании и других факторов.
Основными направлениями совершенствования системы обеспечения ИБ РФ являются:⚓︎
- Систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности и определение соответствующих практических задач
- Проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления и связи, имеющих в своем составе элементы вычислительной техники
- Постоянное совершенствование средств защиты информации, развитие защищенных систем связи и управления, повышение надежности специального программного обеспечения
- Совершенствование структуры функциональных органов системы, координация их взаимодействия.