Механизмы обеспечения безопасности информационных систем

В этом материале мы разберем основные механизмы обеспечения безопасности информационных систем и для чего они нужны компаниям.

Сперва разберем теорию.

Информационная система (далее — ИС) — совокупность программных и технических средств, а также операций и методов обработки информации внутри предприятия. ИС используют для сбора, анализа, хранения и передачи данных. Хорошо выстроенные ИС позволяют компаниям оптимизировать рабочие процессы и быстрее достигать бизнес-целей.

Информационная безопасность (далее — ИБ) — состояние информационной системы, в рамках которого обеспечена защита охраняемых сведений от несанкционированного доступа с целью раскрытия, использования, изменения и уничтожения.

Информационные активы (далее — ИА) — любые сведения, которые принадлежит предприятию, им управляются или поддерживаются. К информационным активам относят документацию, схемы, чертежи, изображения, видео- и аудиофайлы, базы данных, интернет-ресурсы и проч.

Механизмы обеспечения безопасности информационных систем (далее — механизмы ОБИС) — совокупность аппаратных и организационных средств, а также программного обеспечения, используемых для поддержания устойчивости и защищенности ИС компании.

Зачем защищать информацию?

Информация — это любые сведения, которые можно использовать, хранить, преобразовывать и передавать. Информация, принадлежащая как отдельным людям, как и целым компаниям, может иметь ценность в силу ее неизвестности третьим лицам, которые могут использовать ее со злым умыслом, с целью обогащения или получения конкурентного преимущества.

Любая ценная информация, принадлежащая компании, является ее информационным активом.

Информацию организации можно классифицировать следующим образом.

• Общедоступная. Данные, которые не нуждаются в защите или раскрытие которых не повлечет последствий для лица или организации.
• Конфиденциальная. Информация, раскрытие которой может причинить материальный, финансовый, репутационный и иной ущерб компании или поставить под угрозу безопасность любого лица или компании. Для защиты конфиденциальных сведений на предприятии необходимо ввести режим коммерческой тайны.
• Охраняемая законодательством. Сюда входят государственная, медицинская, служебная, семейная, военная тайны, а также персональные данные граждан.

Чтобы важная информация не стала доступной для злоумышленников, необходимо принять меры для ее защиты. Выделяют следующие меры по защите информации на предприятиях.

Организационные (административные). Разработка и внедрение политики ИБ, работа с внутренними регламентами компании, обучение персонала основам ИБ.

Физические. Ограничение физического доступа к местам хранения ИА предприятия: установка дверей, замков, системы видеонаблюдения, сигнализации. Угрозу данным представляют не только люди, но и стихийные бедствия. Для охраны чувствительных сведений необходимо использовать надежные сейфы, а также установить пожарную сигнализацию.

Аппаратно-технические. Применение электронных и электронно-механических устройств.

Программные. ПО, которое устанавливается на серверы и оборудование: DLP-системы, антивирусы, системы разграничения доступа, файрволы, SIEM-системы и проч.

Государственные меры, регулирующие защиту конфиденциальной информации

В России государственные меры представлены предписаниями и рекомендациями по внедрению организационных, аппаратных, технических и физических методов защиты чувствительных сведений. Все предписания урегулированы в Федеральных законах, ГОСТах и международных стандартах и обязательны к выполнению предприятиями, работающими с персональными данными, конфиденциальной информацией, банковской, государственной, медицинской и иными тайнами. 

Рекомендации по защите банковской тайны, а также сбережений граждан, хранящихся на расчетных и карточных счетах, разрабатываются Центральным банком РФ. Рекомендации и требования по техническим методам защиты разрабатываются профильными организациями и утверждаются Федеральным агентством по техническому регулированию и метрологии (Росстандарт), Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ).

Важно: в РФ исполнение требований контролируется пятью регуляторами — ФСТЭК, ФСБ, Минкомсвязью, ФСО и Роскомнадзором. При несоблюдении рекомендаций и требований они могут наложить штраф на ваше предприятие.

Предписания по защите конфиденциальных сведений и и правила по работе с ними описаны в пяти следующих федеральных законах:

• 149-ФЗ — регулирует основные вопросы, связанные с ИБ и механизмами ее обеспечения;
• 98-ФЗ — регулирует вопросы, связанные с назначением статуса коммерческой тайны;
• 152-ФЗ — регулирует правила работы с ПД пользователей;
• 68-ФЗ — описывает, что такое электронная подпись, регулирует правила ее применения;
• 187-ФЗ — устанавливает правила защиты ИС предприятий критической информационной инфраструктуры (КИИ).

Помимо Федеральных законов, механизмы ОБИС предприятий в РФ регулируют следующие ГОСТы.

• ГОСТ Р 59162-2020: регулирует вопросы ИБ при эксплуатации беспроводных IP-сетей.
• ГОСТ Р 34.10-2012: описывает требования по работе с цифровой подписью и средствами криптографической защиты.
• ГОСТ Р 52633.0-2006: содержит перечень требований при эксплуатации средств биометрической аутентификации.
• ГОСТ Р 58833-2020: регулирует вопросы, связанные с идентификацией и аутентификацией.
• ГОСТ Р 59711-2022: содержит перечень рекомендаций по управлению инцидентами ИБ.

Все ГОСТы по профилю «Информационная безопасность» можно найти на официальном сайте Росстандарта.

Еще один широко известный набор стандартов среди как отечественных, так и иностранных специалистов в области ИБ — серия ISO/IEC. Чаще всего профильные специалисты обращаются к ней при внедрении механизмов ОБИС в процесса внутри предприятия.

• ISO/IEC 27001:2013 — самый известный стандарт серии. Описывает основные термины и определения, а также аспекты управления системами обеспечения ИБ, и содержит практические рекомендации по выстраиванию эффективной и устойчивой системы ИБ. Данный международный стандарт имеет отечественный аналог ГОСТ Р ИСО/МЭК 27001.
• ISO/IEC 15408 — перечень критериев оценки защищенности IT-технологий (программно-аппаратный уровень), а также требования к функциональности средств защиты. Помимо этого, документ содержит обоснования угроз, основные политики и требования к ним.
• ISO/IEC 29100 — описывает методы поддерживания ИБ и общую структуру обеспечения конфиденциальности.

Ознакомиться с полным списком международных стандартов можно на официальном сайте Международной организации по стандартизации.

Помимо защиты охраняемых сведений, а также государственной, банковской, медицинской и иных тайн, предприятия обязаны организовать безопасность сбора, хранения и передачи персональных данных пользователей — сотрудников, клиентов, партнеров, подрядчиков и проч.

Под понятием персональные данные (далее — ПД) понимается любая чувствительная информация о пользователе: фактический адрес, адрес прописки, место работы, данные о доходах, номер телефона, паспортные данные, банковские данные, email и проч. Предприятия, использующие ПД, обязаны внедрить комплекс мер, чтобы сведения о пользователях не попали в руки киберкриминальных группировок.

В Российской Федерации с целью защиты личных данных предприятия обязаны:

• осуществлять сбор сведений о пользователе только при наличии его согласия — письменно или оставленного в электронной форме;
• обязательно уведомлять пользователей о сборе ПД, а также о целях сбора и обработки;
• не передавать ПД пользователей третьим лицам;
• внедрить комплекс аппаратных, технических и организационных мер, направленных на минимизацию рисков утечки ПД.

Контроль соответствия требованиям регуляторов осуществляется во время проверок. Проверки регуляторов могут быть плановыми или инициированными вследствие масштабных инцидентов в области ИБ.

Для создания устойчивой и надежной ИС предприятия рекомендуется устанавливать специализированное ПО: файрволы, антивирусы, средства обнаружения вторжений, системы, предотвращающие утечки данных по вине пользователей (DLP-системы), системы обнаружения инцидентов ИБ (SIEM-системы).

На заметку: каждый внедренный продукт должен проходить обязательную сертификацию ФСТЭК. При отсутствии сертификации ПО меры защиты будут признаны регуляторами несостоятельными.

Алгоритм единого механизма обеспечения безопасности ИС

Для охраны чувствительных сведений, не связанных с гостайной или ПД, предприятие может внедрять комплекс мер, ориентируясь на задачи ИБ, бюджет и возможности. Сделать это можно как собственными силами, так и с использованием комплексных решений — SIEM- и DLP-систем. Помимо этого, при выборе решения стоит учитывать, используются ли на предприятии автоматизированные системы управления технологическим процессом (АСУ ТП), CRM-системы, различное ПО для автоматизации документооборота и проч.

При этом, вне зависимости от выбранной стратегии, механизмы защиты ИС будут единым для всех предприятий. В качестве примера приведем следующий алгоритм:

• аудит текущего состояния системы ИБ; поиск, обнаружение и регистрация уязвимостей, аудит сети и элементов инфраструктуры;
• разработка, утверждение и внедрение в работу предприятия политики ИБ;
• внедрение механизмов авторизации и аутентификации;
• внедрение механизма разграничения доступов;
• непрерывный мониторинг состояния ИС, поиск, выявление и регистрация инцидентов ИБ и, помимо этого, создание перечня правил по реагированию на них;
• защита каналов коммуникации, через которые удаленные пользователи могут подключиться к ИС компании;
• внедрение в работу ИС криптографических средств защиты;
• постоянный контроль конфигурации ИС и совместимости ее компонентов.

Важно: при внедрении механизмов ОБИС следует придерживаться принципа обоснованности. Это значит, стоимость внедрения защиты данных не должна превышать их стоимость, а принимаемые меры не должны сказываться на эффективности бизнес-процессов.

Далее мы подробно рассмотрим меры обеспечения безопасности ИС предприятий.

Механизмы обеспечения безопасности информационных систем

Разберем наиболее популярные меры, направленные на защиту охраняемых ИА.

Управление доступом (также УПД)

Контроль доступа — это механизм, который позволяет управлять уровнями доступа пользователей к корпоративным данным и ресурсам.

Эффективный контроль доступа может помочь:

• значительно сократить риски эксфильтрации важных для компании ИА;
• соответствовать предписаниям регуляторов и избегать штрафных санкций.

Управление доступом осуществляется в три этапа.

• Первый этап — идентификация и аутентификация пользователя.
• Второй этап — после авторизации система определяет уровень допуска к конкретному ИА, то есть какие операции пользователь может проводить: скачивание, изменение, удаление, чтение и проч.
• Третий этап — система открывает доступ. При необходимости можно осуществлять контроль за дальнейшей работой сотрудника с конфиденциальным файлом.

Контролировать активность персонала за компьютерами и ноутбуками можно с использованием DLP-системы Falcongaze SecureTower. Оцените возможности системы в бесплатной 30-дневной версии

Для минимизации рисков утечки ИА предприятия вследствие человеческого фактора рекомендуется не реже одного раза в 6 месяцев проводить аудит доступа к конфиденциальным данным.

Идентификация и аутентификация (также ИАФ)

Идентификация — определяет, кем является пользователь, например, через имя его учетной записи или персональный идентификатор.

Аутентификация — это способ, которым пользователь доказывает, что он является законным владельцем учетной записи. Аутентификация устанавливает личность с помощью паролей, биометрических данных или кодов безопасности, отправляемых на доверенный номер телефона. Для снижения рисков несанкционированного доступа рекомендуется использовать многофакторную аутентификацию. 

Процесс идентификации и аутентификации может быть централизованным для пользователей внутри одного предприятия. В данной схеме работы пользователям будут присвоены идентификаторы, которые они смогут использовать для входа сразу в несколько учетных записей: сервисов, приложений, почтовых служб и иных.

Изучите тему подробнее в нашем материале «Учет сотрудников предприятия и централизованная аутентификация».

Только после того, как пользователь был идентифицирован и аутентифицирован, он может получить авторизованный доступ к ИС предприятия и ее ресурсам.

Ограничение программной среды (ОПС)

Различные службы, ПО и его компоненты, не используемые сотрудниками для выполнения рабочих задач, могут иметь уязвимости, с помощью которых злоумышленники получат несанкционированный доступ к ИС и ее ресурсам. Поэтому предприятиям рекомендуется внедрять меры по ограничению программной среды.

Помимо прочих процесс ОПС включает следующие операции:

• регулирование запуска ПО и его компонентов (в том числе во время загрузки операционной системы), а также конфигурацию параметров запуска;
• контроль запускаемого ПО;
• регулирование инсталляции ПО и его компонентов;
• управление временными файлами.

Ненужный или несущий угрозу для ИБ функционал могут иметь различные скрипты, драйверы, подсистемы, файловые системы, интерфейсы, некоторые веб-серверы и проч. Отключение или удаление всех неиспользуемых сервисов, систем, служб, протоколов и функций позволяет существенно сократить риски реализации кибератак.

Регламент по ограничению программной среды подробно описан в Приказе ФСТЭК России № 17 от 11.02.2013.

Аудит безопасности (также АУД)

Это оценка показателей состояния ИС на соответствие утвержденной на предприятии политике безопасности. Цель аудита — выявить уязвимости в системе ИБ, оценить существующие риски и категорировать их, а также разработать рекомендации по снижению вероятности их реализации.

По результатам аудита составляется отчет о текущем состоянии системы ИБ, выявленных уязвимостях и рекомендациях по их устранению. Это позволяет руководству организации принимать обоснованные решения по снижению рисков и совершенствованию механизмов защиты.

В ходе аудита исследуют:

• действующую политику безопасности;
• уже введенные процедуры и их эффективность;
• используемые технические средства защиты — антивирусное ПО, системы предотвращения вторжений, межсетевые экраны и проч.;
• внедренные организационные меры — аутентификация и идентификация, контроль доступов, обучение сотрудников основам ИБ и проч.;
• потенциальные уязвимости и риски, вызванные ими.

АУД можно проводить как силами специалистов организации, так и внешними аудиторами. При выборе стоит опираться на размер компании и сложность задач, которые стоят перед системой обеспечения ИБ.

Исследуйте тему АУД подробнее в нашем материале «Аудит систем безопасности».

Антивирусная защита (АВЗ)

Антивирусная защита в контексте сохранения ИБ предприятия — это комплекс мер и технологий, используемых для выявления, блокировки и уничтожения вредоносных программ (вирусов, червей, троянов и иных) с устройств персонала или внутри корпоративной сети.

Среди прочих выделяют следующие составляющие антивирусной защиты предприятий.

• Антивирусное программное обеспечение.
• Регулярное обновление сигнатур, то есть базы данных о вирусах, чтобы антивирусы могли своевременно обнаруживать и уничтожать вредоносное ПО.
• Регулярное сканирование ИС для поиска новых угроз.
• Непрерывный мониторинг действий ПО для выявления подозрительного поведения, которое может быть связано с активностью вирусов или иных вредоносных программ.
• Межсетевой экран. Необходим для контроля входящего и исходящего сетевого трафика.
• Песочница. Изолированная среда для запуска подозрительного ПО и чтения файлов, которая позволяет безопасно исследовать их поведение и влияние на ИС.

Важно! Для сохранения эффективности антивирусной защиты необходимо своевременно обновлять не только антивирусное, но и любое другое программное обеспечение, установленное в ИС. Вместе с введением новых функциональных возможностей ПО разработчики также устраняют уязвимости, обнаруженные между обновлениями.

Система предотвращения вторжений (также СОВ)

Система предотвращения вторжений — это средство сетевой безопасности, которое мониторит работу сети в реальном времени на предмет вредоносной активности и принимает меры для ее предотвращения, включая оповещение о ней, блокировку или удаление — в случае возникновения. СОВ может быть аппаратным устройством или программным комплексом, или их сочетанием.

Как правило, СОВ работает следующий образом: если несанкционированный пользователь получает доступ к сети, система идентифицирует подозрительную активность, регистрирует IP-адрес и реагирует на угрозу, учитывая правила, заранее настроенные администратором сети.

Обеспечение целостности (также ОЦЛ)

Требования по обеспечению целостности ИС и персональных данных подробно описаны в Приказе ФСТЭК России от 18.02.2013 г. № 21 (ред. от 14.05.2020).

Согласно приказу, организации, работающие с личными данными и чувствительными сведениями, обязаны:

• осуществлять контроль целостности ПД, а также контроль целостности ПО по защите информации;
• создавать условия для сохранения устойчивости, а также возможности восстановления ПО — при возникновении инцидентов;
• регулировать права персонала по вводу информации в ИС;
• контролировать целостность, полноту и корректность сведений, вводимых в ИС, и проч.

Обеспечение доступности (также ОДТ)

Требования по обеспечению доступности чувствительных сведений также описаны в Приказе ФСТЭК от 18.02.2013 г. № 21.

Согласно приказу, предприятия обязаны:

• внедрять в работу ИС отказоустойчивые технические средства;
• создавать резервные копии охраняемых данных;
• поддерживать возможность восстановления охраняемых сведений с резервных носителей и проч.

Защита технических средств и систем (ЗТС)

Согласно приказу ФСТЭК, организации, работающие с охраняемыми сведениями, обязаны:

• принимать меры по защите сведений, обрабатываемых техническими средствами;
• ограничивать доступ в помещения, в которых размещается оборудование для хранения и обработки охраняемых сведений;
• сокращать риски воздействия окружающей среды на технические средства и проч.

Ознакомиться с полным перечнем предписаний ФСТЭК по обеспечению целостности и доступности данных, а также по мерам защиты технических средств вы можете на официальной портале организации.

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС — это обширный перечень рекомендаций, регулирующих вопросы защиты ИС и ее компонентов. Эти рекомендации подробно описаны в приказе ФСТЭК и обязывают компании:

• разрабатывать и внедрять правила и процедуры защиты данных;
• защищать периметр ИБ предприятия;
• ограничивать допуск к запрещенным интернет-ресурсам;
• осуществлять запрет на несанкционированное подключение к периферийным устройствам;
• использовать средства защиты беспроводных соединений и проч.

Полный перечень предписаний можно найти на сайте организации.

Планирование мероприятий по обеспечению безопасности (ПЛН)

ПЛН — это процесс разработки и внедрения стратегии и тактики по сохранению безопасности в организации.

Основные этапы ПЛН:

• анализ рисков, то есть определение потенциальных угроз и уязвимостей, которые могут негативно сказаться на ИБ организации;
• разработка, внедрение в работу предприятия или актуализация правил (политик) — то есть создание документа, который определяет цели, принципы и требования к обеспечению сохранности чувствительных сведений;
• выбор методов и средств защиты, например, установка видеонаблюдения, организация физической охраны, внедрение механизмов контроля доступа и т. п.;
• распределение обязанностей и ресурсов — назначение ответственных лиц за реализацию мер и выделение финансовых, технических, материальных или человеческих ресурсов;
• оценка оправданности принятых мер и, при необходимости, внесение корректировок.

Управление обновлениями программного обеспечения (также ОПО)

Управление обновлениями ПО — это процесс регулярного обновления ПО на оборудовании, серверах и других устройствах в ИС.

ОПО необходимо для:

• устранения уязвимостей для защиты от киберугроз;
• повышения устойчивости и производительности ИС;
• соблюдения предписаний регуляторов;
• корректной работы ПО и внедренных механизмов и методов в целом.

Управление системой ОПО проходит в несколько этапов: Планирование обновления > Загрузка обновлений на устройства > Установка > Тестирование > Мониторинг > Откат обновлений (при необходимости).

Для эффективного управления обновлениями необходимо использовать специализированные инструменты и средства.

Реагирование на инциденты ИБ (также ИНЦ)

Процесс состоит из 3 этапов.

1. Локализация. На этапе локализации важно определить, где произошел инцидент и кто был его инициатором. Помимо этого, важно принять меры по сдерживанию распространения инцидента.
2. Оценка последствий и их устранение. Любое влияние инцидентов на ИС компании должно быть проанализировано и нейтрализовано.
3. Анализ инцидента и регистрация. На основе собранных данных ответственное лицо должно принять меры для устранения исходных причин возникновения инцидента.

Тема «Управление инцидентами информационной безопасности» подробно раскрыта в нашем материале.

Обеспечение действий в нештатных ситуациях (ДНС)

ДНС — это урегулированный ФСТЭК перечень требований по обеспечению безопасности данных в нештатных ситуациях.

Данный документ регламентирует:

• алгоритм реагирования в случае нештатных ситуаций (далее — НС);
• правила разработки плана действий в НС;
• методы обучения персонала правилам поведения в нештатных ситуациях и проч.

Согласно документу, компании, работающие с персональными и конфиденциальными данными, обязаны:

• создавать альтернативные места хранения и обработки охраняемых данных в случае инцидентов;
• обеспечивать устойчивость и возможность восстановления ПО, технических средств, коммуникационных каналов при сбоях и авариях;
• анализировать инциденты и принимать меры по сокращению рисков их возникновения и проч.

Ознакомиться с полным списком предписаний можно тут.

Информирование и обучение персонала (ИПО)

Речь идет о комплексе мер, направленных на повышение осведомленности сотрудников о важности ИБ, их обучение правильному использованию ресурсов и механизмов ИС и реагированию на инциденты. Процесс ИПО также называется «секьюритизацией» персонала.

Внедрение механизма ИПО позволяет существенно снизить риски эксфильтрации данных по вине персонала.

ИПО включает в себя:

• проведение различных семинаров, тренингов, вебинаров;
• распространение информации об актуальных угрозах любым удобным для компании методом (рассылки через почтовые сервисы, мессенджеры);
• проведение учений для отработки полученных навыков.

В заключение

Внедрение механизмов ОБИС сегодня не просто потребность — это прямая обязанность каждой организации, работающей с личной информацией сотрудников и клиентов, а также сведениями, представляющими коммерческую тайну.

Соблюдение предписанных мер будет контролироваться посредством проверок регуляторов. В случае если инфраструктура ИБ компании не соответствует предписаниям, указанным в нормативно-правовых актах, регуляторы могут ввести санкции или наложить штраф на предприятие.