Правила информационной безопасности на предприятии

Не секрет, что каждое предприятие имеет свои особенности и специфику деятельности. Под них адаптировано управление, кадровая политика, юридическое и бухгалтерское сопровождение. Поэтому неудивительно, что и политика информационной безопасности учитывает эти особенности и подстраивает свой инструментарий под каждую отрасль и отдельное предприятие. Предлагаем сегодня вместе с аналитиками Falcongaze исследовать тему «Правила информационной безопасности на предприятии».

Существует ли необходимость внедрения правил информационной безопасности на предприятии

Информация на предприятии представлена в виде большого пула данных о бизнес-процессах, сотрудниках, партнерах, бухгалтерской, юридической, финансовой отчетностей, внутренних и внешних коммуникаций, инновационной деятельности и так далее. Все эти данные имеют свою ценность для компании, а значит, и для конкурентов или мошенников, которые будут предпринимать разнообразные попытки воздействовать на эту информацию или получить ее. Необходимо прибегать к инструментам защиты своих данных и устанавливать правила информационной безопасности на предприятии.

Причинами для внедрения правил безопасности на предприятии являются:

  1. Необходимость защиты коммерческой информации от утечки, кражи, изменения, подделки.

  2. Необходимость защиты бизнес-процессов от стороннего внедрения и воздействия.

  3. Необходимость защиты продукции/услуг и их качества.

  4. Необходимость защиты конституционных прав на сохранность персональных данных сотрудников.

  5. Необходимость исполнения внутригосударственных и международных требований по обеспечению информационной безопасности и др.

Почему необходимо адаптировать подход к информационной безопасности для каждого сектора предприятия и для разных отраслей

Каждая отрасль и административная единица на предприятии обладают своими индивидуальными характеристиками. И универсифицированный подход ко всем объектам не обеспечивает достаточный уровень управления безопасностью данных. Необходимо учитывать риски, характерные для конкретных областей, и адаптировать инструменты защиты к ним.

Рассмотрим на примере DLP-системы. Подход к настройке политик безопасности и отчетов для сотрудников отдела маркетинга и сотрудников отдела кадров будет разным. Так, частое использование социальных сетей для маркетолога — это не инцидент безопасности, а производственная необходимость. При этом в мониторинге активности сотрудников отдела кадров эти действия уже расцениваются как нарушение трудового распорядка. И ситуация наоборот: использование сайтов для поиска работы в отделе маркетинга — повод задуматься о лояльности сотрудников, а в отделе кадров — стандартный инструмент для найма.

Рассмотрим правила информационной безопасности для различных функциональных областей.

Правила информационной безопасности на предприятии для работников офиса

Работа в офисе — все еще популярная модель организации трудового коллектива и размещения сотрудников, даже несмотря на обилие дистанционных решений. Такой подход обеспечивает большую оперативность управленческих и производственных решений, готовность коллектива к быстрым действиям и сплоченность вокруг профессиональных задач. К офисным сотрудникам относятся работники юридического отдела, бухгалтерии, отдела управления кадрами, разработчики программного обеспечения, менеджеры проектов, бизнес-аналитики, дизайнеры, системные администраторы и так далее. Возможны и другие варианты специальностей, которые чаще всего работают в офисе.

Какие риски информации могут возникнуть в действиях офисных сотрудников:

  1. Инсайдерская атака или утечка конфиденциальной информации.

  2. Риск внедрения вредоносного ПО.

  3. Риск получения доступа к персональной информации через рабочую станцию.

  4. Атака со стороны конкурентов.

  5. Фишинг.

  6. Ошибки из-за человеческого фактора и так далее.

Офисные сотрудники являются удобной целью для воздействия, поскольку имеют доступ к критичной информации предприятия: финансовой и бухгалтерской отчетностям, стратегическому планированию, информации о продажах и инструментах продвижения товара, технологическим ноу-хау,  инновациям и др.

Основные способы защиты информации, которые применяются для работников офиса:

1. Своевременное информирование. Уполномоченные сотрудники должны своевременно проводить мероприятия по обучению и актуализации информации об инструментах защиты пользователей корпоративной сети.

2. Создание эффективной системы идентификации сотрудников в корпоративной сети. Логины и пароли должны быть уникальными для каждого сотрудника офиса, периодически обновляться, никогда не передаваться другим пользователям.

3. Разделение корпоративной и личной почты, мессенджеров, социальных сетей. В целях обеспечения защиты коммерческих данных сотрудникам нельзя использовать личные аккаунты для передачи информации, ведь невозможно гарантировать сохранность и безопасность своих аккаунтов.

4. Применение правил цифровой гигиены. Отказ от необдуманного серфинга в интернете и посещения сомнительных сайтов, минимизация переходов по ссылкам.

5. Отказ от использования облачных сервисов для хранения критичной информации, отчетности для минимизации вероятности утечки данных из-за взлома облачного сервиса.

6. Повышение осведомленности о фишинг-атаках и обучение распознаванию этих атак.

7. Реализация инструкции по обращению с печатными носителями информации и их утилизации.

8. Использование двухфакторной авторизации для сотрудников, которые обладают доступом к чувствительной и критичной для бизнеса информации.

9. Архивирование и отчетность для информации за предыдущие периоды.

10. Обеспечение внутренней и внешней коммуникации по официальным каналам связи, передача данных только после официального запроса и т. д.

Эти доступные правила существенно укрепят контур безопасности и сократят риски утечки конфиденциальной информации компании.

Правила информационной безопасности на предприятии для дистанционных сотрудников

Современная компания использует услуги удаленных сотрудников, что стало особенно актуальным в последнее пятилетие. Работодатель получает дополнительные плюсы от дистанционного сотрудника — повышенную лояльность, привлечение высококвалифицированных кадров, международного опыта, снижение затрат на оборудование и офисное обеспечение, минимизацию больничных листов и так далее. Однако вместе с лояльностью возникает и дополнительная нагрузка на информационную безопасность компании, ведь удаленный сотрудник должен быть обеспечен надежным каналом связи и безопасностью информационного оборота.

Какие риски информации могут возникнуть в результате удаленного формата работы:

  1. Фишинг. Популярная проблема при работе дистанционно, т. к. сотрудник может снизить внимание и осторожность при работе вне офиса и стать жертвой мошенников.

  2. Обмен файлами через незашифрованные сервисы (почтовые службы, мессенджеры).

  3. Проблема с паролями, слабая защита. Сотрудники на удаленке могут допустить несанкционированное подключение к своему аккаунту из-за ненадежного пароля, который нетрудно взломать. К таким паролям относятся простые наборы цифр, букв, имена и даты рождения.

  4. Небезопасное интернет-соединение. Сотрудник может использовать общедоступные сети Wi-Fi или домашние сети, которые сами по себе являются источником распространения вредоносного ПО.

  5. Социальная инженерия. Дистанционные сотрудники подвержены большему давлению с помощью инструментов социальной инженерии, поскольку мошенники могут выполнить таргетированную атаку на пользователя — благодаря возможности доступа к персональным данным и личной информации сотрудника. К тому же здесь также влияет большая восприимчивость из-за внешней среды и отвлечение на внешние факторы.

Опыт взаимодействия с дистанционными сотрудниками для компании крайне полезен, даже если сейчас в планах нет вывода своих сотрудников на такую форму работы. При этом необходимо понимать, какие инструменты и методы обеспечения безопасности информации в компании станут полезными и действенными для удаленных работников.

Для безопасности информации в этом случае можно использовать:

1. Усиление сетевой безопасности через VPN-подключение для незащищенных домашних сетей.

2. Оборудование компании для того, чтобы сотрудник не использовал личные устройства в работе и не подвергал риску безопасность информации компании. К тому же оборудование компании будет с установленным заранее актуальным софтом для безопасности: антивирусами, безопасными приложениями для обмена файлами, общения и видеоконференций.

3. Сервисы для проверки ссылок на фишинг. Перед переходом по ссылке для подключения к конференции лучше проверить ее на фишинг с помощью специального приложения.

4. При использовании устройств сотрудника перед началом работы необходимо обновить программное обеспечение, антивирусы до последних версий. Разработчики ПО в обновлениях кроме расширения функционала обновляют и протоколы защиты, что укрепит контур безопасности информации.

5. Установка DLP-системы. Это программное обеспечение создаст надежную защиту от утечек данных, а также обеспечит мониторинг эффективности рабочего времени удаленного сотрудника.

Правила информационной безопасности на производстве

Объемная и интересная тема для исследования, особенно в разрезе информационной безопасности, поскольку производство не всегда оценивается как источник информации. В то же время для информационной безопасности на предприятии существует множество рисков:

1. Кибератаки с помощью вредоносного ПО. Вирусы, DDoS-атаки, трояны, шпионские программы могут проникнуть в производственные системы и нанести ущерб данным и оборудованию.

2. Злоупотребление, ошибки и халатность при физическом доступе. Сотрудники могут намеренно или случайно использовать свои полномочия для несанкционированного доступа к информации. Или сработает человеческий фактор, включающий случайное удаление данных или неправомерное обращение с информацией.

3. Физические угрозы. Сюда можно отнести кражи, подмену и вандализм с оборудованием предприятия, которое может являться источником информации.

4. Природные катастрофы, стихийные бедствия, которые могут повлиять или уничтожить физические носители данных и оборудование, тем самым нарушив производственные процессы.

5. Технические сбои, отказ оборудования и программного обеспечения. Примером такого риска на предприятии может являться отказ серверов, жестких дисков и другого оборудования, а также отключение интернет-сообщения, электричества, блокировка программного обеспечения, что может привести к отказу средств защиты, повреждению систем и потере данных.

6. Отсутствие или недостаток резервного копирования. Утрата данных из-за отсутствия актуальных резервных копий.

7. Ошибки в программировании и устаревшие версии ПО. Баги и уязвимости в программном обеспечении из-за устаревшей версии могут негативно повлиять на информационную безопасность и использоваться злоумышленниками для атак.

9. Проблемы с подрядчиками и поставщиками. Недостаточный контроль за информационной безопасностью у подрядчиков и поставщиков может привести к утечкам данных или кибератакам.

Производственные процессы управляются специализированным программным обеспечением — системами управления производственными процессами (ICS, SCADA). Поэтому основные атаки, как и основная защита, должны быть сконцентрированы на этих объектах. Можно применять следующие средства защиты информации.

  1. Защиту промышленных систем управления (ICS/SCADA). С помощью разделения сетей информационных и операционных технологий, создания зон безопасности с межсетевыми экранами между этими сетями.

  2. Ограничение физического доступа и видеонаблюдение. Эффективно также применение ограничения и контроля доступа сотрудников к системам управления, с закреплением персональной ответственности. Плюс к контролю доступа многие компании дополнительно устанавливают системы видеонаблюдения, чтобы осуществлять мониторинг среды в режиме нон-стоп.

  3. Мониторинг и поиск аномалий. Постоянный мониторинг сетевого трафика и логов в системах управления производством обеспечит своевременное обнаружение аномалий и подозрительной активности, которые, в свою очередь, являются признаками риска для безопасности.

  4. Резервное копирование и защита данных. Для защиты чувствительной информации о производственных процессах возможно применение шифрования данных — для дальнейшего хранения и передачи их. Это обеспечит доступность и конфиденциальность процессов обмена информацией. А резервное копирование сохранит данные на случай критического инцидента безопасности.

  5. Регулярное обновление программного обеспечения и операционных систем на всех производственных устройствах обеспечивает использование актуальной защиты от уязвимостей, предложенное поставщиками ПО.

  6. Специальное обучение сотрудников по вопросам безопасности производственных систем, включая правила работы с оборудованием и ПО, а также регулярные тренировки по действиям в случае инцидента безопасности позволят подготовить сотрудников и минимизировать человеческий фактор в программно-информационном обеспечении производства.

  7. Риск-менеджмент. Менеджмент на производстве должен учитывать риски информационной безопасности и составлять четкие инструкции по реагированию на инциденты, в том числе кто и в каком порядке выполняет все действия по реагированию на риск ИБ.

  8. Контроль сторонних поставщиков. Для минимизации негативного воздействия на информационную безопасность предприятия необходимо обеспечить проверку соблюдения стандартов безопасности сторонними поставщиками и подрядчиками, которые непосредственно участвуют в производственных процессах.

  9. Политика использования мобильных устройств. При использовании личных мобильных устройств в производственных зонах могут возникнуть риски информационной безопасности. Поэтому предприятие должно ограничить использование таких устройств. Например, с помощью MDM (Mobile Device Management) для контроля и защиты мобильных устройств, используемых в производственных процессах. Это специализированное технологичное решение по централизованному управлению смартфонами, планшетами, ноутбуками и другими типами мобильных устройств, которые используются в производстве, а также личными устройствами, которые могут иметь доступ к корпоративным данным.

Системы мониторинга активности, обнаружения и предотвращения угроз

Рынок информационной безопасности сегодня достаточно насыщен специализированным оборудованием и программным обеспечением, которое может использоваться для защиты информации. Основной задачей для компании выступает создание оптимального комплекса аппаратных и программных инструментов, которые обеспечат максимальную защиту данных. Примерами элементов такого комплекса защиты могут являться:

  • SIEM-системы (управление информацией и событиями безопасности) — это комплексный подход к управлению информацией и событиями безопасности в организации. SIEM-системы объединяют функции управления событиями безопасности (Security Event Management, SEM) и управления информацией о безопасности (Security Information Management, SIM) в одной платформе и выполняют функции сбора данных, корреляции, мониторинга, оповещения о событиях безопасности, составления отчетности и анализа.

  • IDS (система обнаружения вторжений) — это система, предназначенная для выявления несанкционированного доступа или аномальной активности в компьютерной сети или на отдельных устройствах. Распространены два типа IDS: сетевая IDS (NIDS) для мониторинга сетевого трафика и анализа его на предмет подозрительных действий или известных атак и хостовая IDS (HIDS) на отдельных устройствах (хостах) для анализа журнала событий, системных файлов и сетевого трафика на наличие признаков атак или вредоносной активности.

Системы обнаружения вторжений используются для некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей). Положительно влияют на качество информационной безопасности как на предприятиях производственного характера, так и на другие организационные формы.

Правила информационной безопасности для применения паролей

Пароли — это кодовые идентификаторы, которые используются для подтверждения легитимности доступа в систему и использования конфиденциальных данных. А еще получение пароля злоумышленниками — это одна из частых проблем информационной безопасности не только на производстве, но и большинстве организаций разного типа. Основные риски возникают в системе ИБ из-за:

  1. Использования неактуальных паролей. Сюда можно отнести простые пароли, которые легко подбираются даже вручную. Например, такие шаблонные связки, как 1122334455, qwerty, 12345! и так далее.

  2. Использования паролей к корпоративным сервисам для авторизации на других ресурсах. Это может привести к утечке информации организации, если другой ресурс с тем же паролем взломали.

  3. Нерегулярного обновления паролей. Специалисты ИБ советуют менять пароли для авторизации с периодичностью 90-120 дней в году, чтобы снизить риск утечки данных.

  4. Отсутствия менеджмента управления паролями. Организация должна позаботиться о создании централизованного управления паролями и их обновлении, иначе этот процесс приобретает хаотичный характер.

Какие действия необходимо предпринять в организации для улучшения управления паролями:

  1. Стандартизировать управление. Необходимо описать для сотрудников правила создания и обновления паролей, с подробными рекомендациями, что можно использовать, а какие фразы, темы, знаки не рекомендуются.

  2. Отказаться от использования паролей второй раз. Сотрудники должны быть осведомлены о недопустимости повторного использования паролей, особенно для авторизации в личных аккаунтах.

  3. Ввести график смены паролей и закрепить ответственных за это действие сотрудников.

  4. Установить двухфакторную авторизацию, которая обеспечит дополнительное подтверждение доступа к конфиденциальным данным.

  5. Управлять актуальным списком учетных данных. Необходимо синхронизировать процессы найма и увольнения сотрудников с доступами в контур безопасности предприятия для того, чтобы своевременно блокировать доступ в личный кабинет для уволенных и предоставлять доступ для принятых сотрудников и другие правила безопасности.

Риски и правила безопасности при использовании Wi-Fi

Современная компания нуждается в постоянном и безопасном интернет-соединении, ведь множество производственных процессов используют сеть для передачи команд и данных. И обеспечение компании безопасным Wi-Fi — одна из приоритетных задач специалистов, ведь незащищенная или минимально защищенная беспроводная сеть для передачи данных это легкая цель для хакера.

Какие риски могут возникнуть при использовании производственной Wi-Fi сети:

  1. Риск внедрения сотрудников, не относящихся к производственной части, например, получение доступа к данным офисными сотрудниками.

  2. Риск заражения сети, обслуживающей производство, вредоносным ПО. В этом случае могут пострадать все производственные процессы и устройства, подключенные к ней.

  3. Риск внедрения извне. Если хакер использует возможности Wi-Fi сети по передаче или получении информации, ему достаточно находиться территориально рядом с предприятием — и даже не входить в его пределы.

Кроме стандартной защиты сети Wi-Fi паролем, организации могут использовать и другие средства обеспечения информационной безопасности на производстве. К ним относятся:

  1. Разграничение сетевого доступа между производственной и офисной сетями. Для этого используются файерволы (межсетевые экраны, обеспечивающие сетевую безопасность путем контроля входящего и исходящего трафика).

  2. Использование частных виртуальных сетей. Установка VPN-серверов для контроля прохождения данных и безопасного доступа между устройствами на производстве и веб-сетью.

  3. Усложнение паролей доступа к Wi-Fi сети. Применяется тот же принцип, что был описан в пункте «Правила информационной безопасности для применения паролей». Предприятие должно использовать надежные пароли для подключения к Wi-Fi сети, обновлять, оптимизировать и не допускать утечки этих данных.

Правила безопасного использования браузеров и сайтов

Серфинг в интернете может являться источником опасности для вашей информации. И это очевидно, ведь пользователи проводят большую часть времени в сети именно на многочисленных сайтах, профессионального или частного толка. Поэтому мошенники используют этот тип соединения для внедрения. Какие риски несет сетевой серфинг и использование интернет-браузеров:

  1. Риск потери персональных данных. Фишинг с целью получения частной информации пользователя, финансовых данных — один из действенных инструментов внедрения в информационное поле.

  2. Вредоносное ПО. Часто может загружаться в скрытом режиме вместе со скачанными данными. Может привести к потере конфиденциальной информации.

  3. Риск потери финансовых данных: номер и код банковской карты, логины и пароли цифровых кошельков, бирж.

Какие правила безопасности действуют при использовании браузеров и сайтов? Рекомендуется: 

  1. Проводить регулярные обновления браузеров. Часто разработчики в обновлениях не только добавляют новый функционал, но и исправляют баги и уязвимости.

  2. Применять актуальные пароли для доступа к сайтам и расширениям. Отказ от дублирования паролей и простых комбинаций.

  3. Использовать безопасное соединение. Обращайте внимание на использование HTTPS вместо HTTP. HTTPS шифрует данные, передаваемые между вами и сайтом, что делает их недоступными для посторонних.

  4. Внимательно использовать электронную почту. Фишинг-рассылки могут имитировать реальные сайты и подписки, и пользователь по невнимательности легко переходит по ссылкам мошенников.

  5. Устанавливать только безопасные расширения браузера. Для сохранения информационной безопасности необходимо устанавливать браузерные расширения только из официальных магазинов расширений, а также лучше минимизировать количество таких сервисов.

  6. Не оставлять личную информацию на сайтах, если она противоречит предлагаемому сервису или может быть использована мошенниками.

  7. Ограничить права доступа сайтам и приложениям. Заблокировать возможность подключения веб-камеры, микрофона, мониторинга GPS-данных.

  8. Использовать официальные сайты и сток-сервисы для скачки фото и видеоконтента. Часто вместе с цифровым контентом скачивается и вредоносное ПО.

  9. Цифровая гигиена. Необходимо придерживаться правил корректного и тактичного использования сети. Не посещать подозрительные сайты, сайты с незаконным, запрещенным контентом.

Правила для электронной почты

Электронная почта выступает одним из самых популярных источников фишинг-атак на пользователей. Мошенники используют множество писем и то, что адресаты ведут себя невнимательно из-за большого объема переписки. К рискам использования электронной почты также можно отнести целевой и нецелевой спам, фишинг организаций, почтовую бомбардировку. 

Какие средства защиты информации от рисков использования электронной почты существуют:

  1. Минимизирование использования авторизации через почтовые службы. По возможности обеспечить подключение через логины и пароли, авторизацию через смартфон.

  2. Отказ от e-mail-рассылки. Минимизирование рекламного спама уменьшит вероятность перехода по мошенническим ссылкам. К тому же могут возникнуть проблемы с информационной безопасностью у компании, которая запросила ваш почтовый адрес, и тогда персональная информация будет доступна мошенникам.

Правила информационной безопасности для приложений и социальных сетей

Мобильные сервисы продолжают расширяться и использоваться не только частными пользователями, но и в производственных задачах. Поэтому безопасность приложений и социальных сетей также важна. Основные риски, которым могут быть подвержены пользователи:

  1. Получение доступа к логину и паролю к приложению или социальной сети. Захват аккаунта с разными целями: от получения данных до финансового мошенничества.

  2. Deepfake-атака. Современные технологии позволяют создавать псевдоавторский контент от имени известных персон — для повышения доверия к поставляемой информации. Особенно успешно это осуществляется с помощью технологии deepfake и ИИ-генераторов.

  3. Зеркалирование официальных приложений. Даже официальные магазины Google Play и AppStore не гарантируют безопасность приложений, которые там реализуются. Часто на верхних строчках магазина продается не оригинальное приложение, а сервис-зеркало мошенников.

Какие решения могут быть использованы для информационной безопасности приложений и социальных сетей:

  1. Используйте оригинальные пароли для авторизации и двухфакторную аутентификацию для защиты аккаунта. Эти действия минимизируют возможность несанкционированного доступа по классическим причинам использования подобранного или полученного в результате утечки данных пароля.

  2. Критический подход к контенту. Исследуйте логичность публикуемого контента, насколько предложенные преференции оправданы и могут исходить от данного пользователя.

  3. Исследуйте отзывы, количество скачиваний, рейтинг приложений, которые скачиваются из официальных магазинов. Как правило, зеркальные сервисы имеют низкий рейтинг и небольшое количество скачиваний (несколько тысяч).

Безопасность использования банковских карт

Использование банковских карт априори сопровождается риском информационной безопасности, поскольку это легкий путь получения доступа к финансовой информации пользователя. Это основной риск безопасности в данном процессе.

Как защитить финансовую информацию от утечки:

  1. Запрещено предоставлять сторонним лицам, сайтам, приложениям данные банковских карт, особенно СVV- или CVC-код подтверждения подлинности.

  2. Запрещено передавать сторонним пользователям логины и пароли от банковских приложений, в которых происходит управление картами.

  3. Необходимо подключить дополнительную верификацию операций с карты, например, СМС- или пуш-сообщения. Это обеспечит дополнительный уровень защиты банковских операций и подтверждения их подлинности.

  4. Использовать только собственные гаджеты для осуществления оплаты через банковскую карту. Никто не сможет гарантировать, что персональная финансовая информация будет находиться в безопасности на стороннем устройстве.

Выводы

В современном мире множество форм мошенничества в интернете: фишинг, вредоносное ПО, атаки на цифровые сети и др. То, что объединяет всех участников цифровой среды, это потребность в защите от этих атак и возможность использовать актуальные инструменты обеспечения безопасности. Независимо от того, где находится объект защиты: производство, офис, частное предприятие, цель будет одна — создать максимальную безопасность данных и обеспечить надежный контур безопасности объекта.

 

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально опасных сотрудников
  • Ведение архива бизнес-коммуникации