+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    05.07.2024

    Корпоративная информационная безопасность

     

    Что такое корпоративная информационная безопасность (КИБ)? Это важный аспект современного предприятия, который относится к процессам обеспечения защиты конфиденциальной информации от несанкционированного доступа, распространения, изменения или уничтожения. Чем больше бизнес-процессов осуществляется на предприятиях, тем больше угроз существует, а значит, тем сложнее и многограннее становится сама корпоративная информационная безопасность.

    В данной статье предлагаем рассмотреть основные понятия корпоративной информационной безопасности, методологию оценки угроз, методы и средства защиты, соответствующие этой тематике федеральные законы, современные тенденции и стоимость решений по защите информации.

    Основные термины и определения

    Информационная безопасность (ИБ) — это совокупность профилактических и практических методов предотвращения несанкционированного доступа, использования, раскрытия, нарушения, изменения или уничтожения информации.

    Угроза — действие, которое потенциально может нанести ущерб системе информации компании. 

    Уязвимость — это снижение эффективности защиты информационной системы, что может привести к несанкционированному доступу или распространению конфиденциальных данных.

    Риск — это возможность потери или ущерба для информации, когда угроза использует уязвимость информационной системы. 

    Контроль — меры предосторожности или контрмеры, внедряемые для снижения информационных рисков.

    Методология оценки угроз информационной безопасности 

    Федеральная служба по техническому и экспортному контролю (ФСТЭК) в 2021 году создала Методику оценки угроз безопасности информации, направленную на установление единого подхода к идентификации, оценке и управлению угрозами безопасности информации в информационных системах. Основные цели и тезисы данной методики заключаются в следующем.

    Основные цели:

    1. Определение угроз. Методика предоставляет структурированный подход к выявлению потенциальных угроз безопасности информации, которые могут воздействовать на информационные системы.

    2. Оценка угроз. Оценка угроз проводится для определения их значимости и потенциального влияния на информационные системы. Это включает анализ вероятности реализации угроз и возможного ущерба.

    3. Управление рисками. Результаты оценки угроз используются для разработки мероприятий по снижению рисков и повышению уровня защищенности информационных систем.

    4. Единообразие подходов. Методика направлена на обеспечение единого подхода к оценке угроз, что способствует повышению эффективности мер защиты информации.

    Методология оценки угроз информационной безопасности в основном ориентирована на оценку антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей, а также может использоваться для разработки отраслевых методик оценки угроз ИБ.

    Основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются:

    1. Определение негативных последствий, наступающих из-за реализации угрозы ИБ.

    2. Определение потенциальных объектов защиты через инвентаризацию систем и сетей.

    3. Поиск и выявление источников угроз ИБ и оценка возможностей нарушителей по реализации этих угроз.

    4. Оценка вариантов создания и возможности реализации этих угроз, установление их актуализации.

    5. Оценка сценариев реализации угроз безопасности информации в системах и сетях.

    Компания своими силами или силами привлеченных экспертов и поставщиков услуг ИБ — может проводить анализ угроз безопасности информации, принимая для оценки базовые источники информации для ее измерения:

    1. общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России, модели угроз безопасности информации, разрабатываемых этим регулятором, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;

    2. описания шаблонов компьютерных атак из баз данных и иных источников в интернете, к примеру (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);

    3. документацию по использованию и стандарты безопасности на установленные для корпоративного использования системы и сети (техническое задание на создание систем и сетей, конструкторские, эксплуатационные инструкции и руководства, внутренняя техническая документация со сведениями о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей, уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы;

    4. договоры и соглашения между поставщиками и подрядчиками с условиями использования программных продуктов, информационно-телекоммуникационной инфраструктуры для обработки данных или облачной инфраструктуры поставщика услуг;

    5. нормативно-правовые акты Российской Федерации, согласно которым устанавливается правовой режим обращения с объектами информационной безопасности;

    6. технологические, производственные карты или иные документы, содержащие описание управленческих, организационных, производственных и иных основных процессов в рамках выполнения функций или осуществления видов деятельности обладателя информации;

    7. результаты оценки рисков (ущерба), проведенной обладателем

    8. информации и (или) оператором.

    В методике также изложена общая схема оценки угроз безопасности информации, которая состоит из трех этапов:

    1. Определение последствий, которые негативно влияют на ИБ.

    2. Определение объектов, на которых может быть направлено негативное воздействие.

    3. Оценка вероятности осуществления и актуальности угроз ИБ.

    С подробностями можно познакомиться на схеме (источник изображения).

    Общая схема оценки угроз безопасности информации

    Последствия, которые негативно влияют на ИБ

    К ним относятся событие или несколько событий одновременно, после наступления которых в компании может быть реализовано:

    1. нарушение персональных прав граждан;

    2. нарушение обороноспособности, безопасности, правопорядка в стране, проблемы в социальной, экономической, политической, экологической сферах деятельности государства;

    3. финансовые, технологические, производственные, репутационные риски для предприятия, источника информации.

    Объекты, на которых может быть направлено негативное воздействие

    Согласно принятой методологии ФСТЭК, выделяют несколько типов объектов, на которые будет направлено негативное воздействие:

    1. На сетевом уровне (на серверы, протоколы передачи файлов по сети типа HTTP/HTTPS, SSH, FTP и т. д.).

    2. На системном уровне (атака на операционные системы типа Microsoft Windows, Linux, MacOS, Unix и др.).

    3. На прикладном уровне (воздействие на программное обеспечение, браузеры, файлы и т. д.).

    4. На пользовательском уровне (сам пользователь, который может стать объектом воздействия с помощью социальной инженерии) (источник изображения).

    Приложение 10 к документу об ИБ от ФСТЭК

    Приложение 10 к методике содержит конкретные примеры и сценарии, иллюстрирующие процесс оценки угроз. Оно включает:

    1. Шаблоны и формы для документирования результатов оценки угроз.

    2. Примеры угроз, реальные сценарии и примеры, которые могут использоваться в процессе оценки.

    3. Методические рекомендации и подробные инструкции по выполнению оценки угроз на различных этапах.

    Оценка угроз — это систематический процесс, поэтому он в Приложении 10 фиксируется в виде структурированного подхода к оценке угроз, куда относят следующие шаги:

    1. Идентификацию активов: на что будет направлено воздействие.

    2. Идентификацию угроз: как будет осуществляться негативное воздействие.

    3. Идентификация уязвимостей: какие пути в ИБ компании самые доступные для воздействия.

    4. Оценка рисков: насколько опасно для компании.

    5. Внедрение контролей: какие инструменты применять для защиты.

    6. Мониторинг и обзор: как предупредить воздействие на информационное поле предприятия.

    Именно полная информация, полученная после оценки угроз, позволит предприятию составить максимально эффективный план реализации корпоративной информационной безопасности и обеспечить защиту своих информационных активов.

    Методы и средства защиты информации

    Защита информации — сложный процесс, требующий применения различных способов и методов обеспечения безопасности. Давайте разберемся подробнее.

    Какие методы обеспечения корпоративной информационной безопасности существуют?

    Шифрование и криптография. Это специальное преобразование информации в защищенный формат, благодаря которому невозможно считать эти данные без ключа дешифратора. Может осуществляться с помощью программных и аппаратных средств. Одним из популярных решений является ключ с электронной подписью (СКЗИ).

    Межсетевые экраны. Это специализированное ПО для предотвращения несанкционированного доступа в охраняемую сеть через своеобразный барьер, который отсекает негативное воздействие на систему безопасности извне.

    Система обнаружения вторжений (IDS). Это специализированные инструментальные или программные решения по обнаружению неавторизованного доступа в компьютерную систему, а также аномалий в сетевом трафике.

    Контроль доступа. Механизмы, обеспечивающие доступ к информации только для авторизованных лиц. Как правило, выделяют три модели по контролю доступа:

    • Автономные — системы контроля и управления доступом по типу дверных замков, которые предоставляют доступ на территорию через идентифицированную карту доступа, которая уже существует в базе программы.
    • Сетевые комплексы — имеют большую функциональность, чем автономные СКУД; более расширенная версия, которая предполагает наличие сервера управления, считывателей и карт доступа.
    • Биометрические — СКУД, которые предоставляют доступ к системе информации через идентификацию по выбранному типу биометрических данных (отпечаток пальца, снимок роговицы глаза, голос и др.).

    Правовые методы. Это методы, связанные с регулированием процессов по информационной безопасности в рамках федерального, регионального или местного законодательства, а также собственных регламентов организации при обработке данных.

    К основным Федеральным законам, регулирующим информационную безопасность, относятся:

    • Федеральный закон № 98-ФЗ «О коммерческой тайне»: закон устанавливает правовую основу для защиты коммерческих тайн, определяет права и обязанности субъектов по защите коммерческих тайн и указывает на наказания за их несанкционированное раскрытие.
    • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: закон обеспечивает основу для информационной безопасности в России и регулирует использование информационных технологий и меры по защите информации, включая персональные данные.
    • Федеральный закон № 152-ФЗ «О персональных данных»: направлен на защиту персональных данных, требует обработки, хранения и распространения персональных данных для обеспечения конфиденциальности и предотвращения их неправомерного использования.
    • Федеральный закон № 63-ФЗ «Об электронной подписи»: регулирует использование электронных подписей в юридических и бизнес-операциях, обеспечивает подлинность, целостность и неотказуемость электронных документов.

    Сюда также можно отнести введение режима коммерческой тайны и защиты информации в правовое поле компании.

    Административные методы. Это методы, которые обеспечиваются административными решениями и документированием процессов в рамках мероприятий по ИБ. Сюда можно отнести:

    • создание политики безопасности (внутренних правил и процедур для управления и защиты информации внутри компании);

    • проведение обучения и повышения осведомленности сотрудников в вопросах информационной безопасности (внутренние и внешние семинары, конференции, вебинары, выступление экспертов, гайды и программы обучения и т. д.);

    • создание кризисного плана (планирование реагирования на инциденты в информационной безопасности).

    Физические методы. К этому типу относятся:

    • физическая защита объекта (предприятия, компании) от недопущения проникновения на территорию и местам хранения информации, установление контрольно-пропускных пунктов  и т. д. 

    • контроль окружающей среды (защита от природных угроз и стихийных бедствий).

    Программные методы. Это методы защиты информации через применение программных решений. Сюда можно отнести:

    • антивирусные программы, направленные на пресечение внедрения вредоносного ПО на устройство;

    • программные брандмауэры, которые осуществляют разделение сети и фильтрацию внешних угроз информации;

    • создание локальной внутренней сети интранет для корпоративных целей, как изолированного от интернета типа, так и с возможностью подключения;

    • патчинг и программные обновления как способ актуализации существующих методов и повышения их эффективности;

    • SIEM-системы, которые обеспечивают в реальном времени актуальную информации о состоянии событий безопасности, исходящих от сетевых устройств и приложений;

    • DLP-системы, для полного мониторинга внутреннего состояния информационной безопасности предприятия и пресечения возможных угроз по вине утечки, разглашения, инсайдерства.

    Эти методы обеспечивают комплексный подход к безопасности и управление всей системой ИБ предприятия.

    Методы обеспечения корпоративной информационной безопасности

    Тенденции в области корпоративной защиты информации

    Область информационной защиты динамично развивается — и представляет собой постоянно изменяющуюся среду, согласно которой необходимо адаптировать имеющийся инструментарий обеспечения ИБ, а также актуализировать средства корпоративной защиты информации.

    Для современной ИБ нетрудно выделить популярные решения, которые особо актуальны в последние годы. К ним относятся:

    Актуализация архитектуры Zero Trust

    Zero Trust — это модель подхода к информационной безопасности, при которой принято за аксиому положение нулевого доверия ко всем объектам внутри круга информационной безопасности предприятия. Это современный подход к кибербезопасности, основанный на принципе «никогда не доверяй, всегда проверяй».

    Согласно этой модели безопасности, каждый человек, который как внутри, так и вне сети, не является доверенным по умолчанию. Она подчеркивает необходимость непрерывной верификации, строгих мер контроля доступа и политики минимальных привилегий.

    Использование Zero Trust производится согласно следующим принципам:

    • Строгая аутентификация и авторизация, независимо от местоположения (внутри или вне корпоративной сети) каждого пользователя.

    • Многофакторная аутентификация (MFA) для повышения уровня безопасности. Могут использоваться такие методы подтверждения личности пользователя, как комбинация пароля и SMS-кода или биометрический анализ.

    • Минимальные привилегии для пользователей и систем, необходимые только для выполнения их текущих задач, что ограничивает потенциальный ущерб от компрометации аккаунта.

    • Сегментация сети. Внутрикорпоративная сеть разделяется на сегменты, чтобы минимизировать возможные последствия в случае взлома одного из них. Каждое соединение между сегментами должно быть проверено и авторизовано.

    • Постоянный мониторинг и аналитика активности пользователей и систем позволяет выявлять аномалии и потенциальные угрозы безопасности, анализировать события в реальном времени и оперативно реагировать на возможные инциденты.

    Современная модель Zero Trust обладает значительными преимуществами, ведь благодаря такому подходу обеспечивается: 

    1. Снижение рисков утечки данных и их несанкционированного использования за счет строго контроля доступа и постоянного мониторинга состояния сети.

    2. Более мощная устойчивость к угрозам информационной безопасности, благодаря сегментации и минимизации привилегий для участников, что затрудняет злоумышленникам движение по сети и распространение вредоносного ПО.

    3. Большее внимание на участников сети. Даже если злоумышленник уже проник внутрь периметра безопасности предприятия, он сталкивается с такими же строгими проверками, как и внешние угрозы.

    Интеграция искусственного интеллекта и машинного обучения

    Современные программные продукты, особенно в сфере информационной безопасности, требуют новых подходов к ее обеспечению. Одной из последних популярных тенденций цифровых продуктов стала интеграция искусственного интеллекта (artificial intelligence, AI) и машинного обучения (machine learning, ML). Эта тенденция коснулась и сферы информационной безопасности.

    Искусственный интеллект и машинное обучение все чаще используются для обнаружения аномалий, предсказания угроз и автоматизации ответных действий в инструментах корпоративной информационной безопасности благодаря доступу к большому объему информации и данных, а также возможности автономного обучения на основе этой информации. Эти технологии повышают способность проактивно выявлять и смягчать риски безопасности.

    Фокус на защите данных и соблюдении нормативных требований

    Вместе с процессами становления информационной безопасности как целой сферы, происходит и рост законодательной базы в этой области. На мировом, региональном, государственном уровнях фиксируется рост числа законов о защите данных. Это положительно влияет на организации, которые придают все больший приоритет соблюдению норм и внедряют надежные меры по обеспечению конфиденциальности для защиты информации.

    Увеличение использования облачных решений безопасности

    Облачные решения близки к искусственному интеллекту по интенсивности интеграции в цифровую среду предприятий. Все больше программных продуктов опирается на эту технологию, растет спрос на облачные решения безопасности, которые решают актуальные задачи хранения и защиты данных в облаке.

    Внимание на киберустойчивость

    Одной из популярных тенденций кибербезопасности для предприятий стало применение превентивных мер, прежде — чем инцидент ИБ наступит. Помимо предотвращения угроз, организации сосредотачиваются на общей устойчивости своей защиты информации, обеспечивая способность быстро восстанавливаться и продолжать работу после инцидента безопасности. 

    Стоимость решений по защите корпоративной информации

    Стоимость внедрения решений по защите корпоративной информации сильно варьируется в зависимости от нескольких факторов, включая размер организации, сложность ИТ-инфраструктуры и уровень требуемой безопасности. Но можно рассчитать базовый пакет затрат для предприятия, который в итоге в зависимости от изложенных выше факторов просто масштабируется в соответствии с требованиями. Стандартный пакет затрат включает:

    1. Начальные затраты. Это все средства, потраченные анализ и аудит уязвимостей, составление политик безопасности и покупку оборудования и программного обеспечения, которое согласно принятым планам, должно эффективно обеспечивать стабильность корпоративной информационной безопасности (файрволы, IDS, инструменты шифрования, антивирусы, DLP-системы, по необходимости оплата консалтинговых услуг по безопасности).

    2. Операционные затраты, которые включают расходы на обслуживание и обновление систем безопасности (продление лицензий, абонентская плата, зарплаты сотрудников и программы обучения).

    3. Затраты, связанные с реагированием на инциденты безопасности, включая судебные расходы, штрафы, расходы на расследование инцидента и расходы на сопутствующие коммуникации.

    4. Затраты на соблюдение нормативных требований и аудит. Это тип расходов на обеспечение соответствия законам и нормативным требованиям, включая аудиторские сборы и штрафы за несоблюдение.

    5. Упущенные возможности. Это потенциальная потеря доходов или продуктивности из-за нарушений безопасности или простоя во время обновлений и обслуживания безопасности.

    Заключение

    Корпоративная информационная безопасность является неотъемлемым компонентом современной бизнес-стратегии, обусловленным необходимостью защищать конфиденциальную информацию предприятия от множества угроз. Постоянно отслеживая текущие тенденции и тщательно управляя затратами на решения по безопасности, организации могут защитить свои активы и поддерживать доверие клиентов и партнеров.

     

    Важные публикации

    Дайджест SecureTower: обновления августа 2024 года
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    Дайджест SecureTower: обновления июля 2024 года
    Дайджест SecureTower: обновления июля 2024 года
    Представляем вам дайджест улучшений системы Falcongaze SecureTower за июль 2024 года. Приятного чтения!
    Дайджест SecureTower: обновления июня 2024 года
    Дайджест SecureTower: обновления июня 2024 года
    Команда Falcongaze стремится оперативно воплощать пожелания клиентов и современные тенденции в области защиты информации. Улучшений, добавленных в июне, хватило бы на полноценную новую версию. О них — в этом дайджесте.
    Дайджест SecureTower: обновления май 2024 года
    Дайджест SecureTower: обновления май 2024 года
    В современном мире, где информационная безопасность стоит на первом месте, эффективные инструменты для защиты данных становятся неотъемлемой частью бизнеса. Компания Falcongaze, понимая это, непрерывно совершенствует свою DLP-систему и предлагает посмотреть дайджест SecureTower: обновления май 2024 года.
    Обновление Falcongaze SecureTower 7.0 — контроль оборудования, новые виды защиты, перехвата и блокировок, поддержка МасOS и многое другое
    Обновление Falcongaze SecureTower 7.0 — контроль оборудования, новые виды защиты, перехвата и блокировок, поддержка МасOS и многое другое
    Компания Falcongaze выпустила версию 7.0 своей DLP-системы SecureTower, в которой добавлены новые функции поддержки меток конфиденциальности, блокировок и перехвата, новый функционал для OC Linux, агент для контроля устройств под управлением MacOS, сервер инвентаризации и модуль «Оборудование и программы», а также другие нововведения.
    DLP-системы – что это такое и как это работает
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации