Техническое обеспечение информационной безопасности предприятия

Что такое техническое обеспечение информационной безопасности предприятия? Насколько важно применять средства защиты этого вида? Что актуально, а что лучше не использовать в 21 веке? Сегодня в статье Falcongaze исследуем эту тему.

Определения

Техническое обеспечение информационной безопасности предприятия — это совокупность всех инструментов программного и технического характера, которые обеспечивают безопасность информационного периметра предприятия. 

Основные задачи технического обеспечения информационной безопасности предприятия (ИБ) связаны с состоянием защищенности и стабильности информационных активов каждой организации при всем многообразии носителей и форм информации. 

Информационные ресурсы компании должны соответствовать трем основным принципам: целостности, доступности и конфиденциальности. Технические средства защиты (ТСЗ) в данном случае являются главным инструментом в исполнении этих трех принципов. Однако нельзя сказать, что вся система защиты базируется только на технических инструментах. ИБ не терпит избирательности, поэтому технические средства защиты должны входить в комплексную защиту и соответствовать нормам регулирования. 

Концепция и принципы применения технических средств защиты информации

Какой концепции придерживаются организации при применении технических средств защиты информации? В общем смысле эта концепция подходит для всех применяемых мер по обеспечению ИБ, в том числе с помощью технических средств, и обеспечивается соблюдением следующих принципов:

1. Комплексности. Технические средства должны обеспечивать комплексную защиту информации вместе с административными, законодательными, кадровыми мероприятиями по ИБ. Также сами средства не должны вступать в практический конфликт между собой и сохранять полезность использования. 

2. Адаптивности. Используемые средства защиты информации должны обеспечивать гибкий подход к каждому уникальному риску ИБ, адаптировать настройки и способы защиты к конкретным потребностям компаний.

3. Непрерывности. Обеспечение информационной безопасности предприятия — это непрерывный процесс, контроль состояния системы в реальном времени, круглосуточно, без перерывов, с охватом всего жизненного цикла информации: создания, хранения, обработки, передачи, уничтожения и др. этапов. 

4. Актуализации мер. Информация — динамичная, постоянно изменяющаяся среда, и сохранение безопасности информации — такой же динамичный процесс. Поэтому все меры обеспечения ИБ должны постоянно поддерживать актуальность и полезность использования в моменте и реализовываться против существующих в данное время рисков.

5. Законности инструментов и неприкосновенности частной жизни. Технические меры защиты информации не должны нарушать дозволенных законом границ по защите данных, обеспечивать честный конкурентный рынок и блокировать несанкционированное использование коммерческих и персональных данных, которые хранит компания. Также такие инструменты должны чутко относиться к персональной информации сотрудников, партнеров, клиентов и так далее, сохранять ее стабильность, не подвергать утечкам, и в целом сохранять неприкосновенность частной информации.

6. Соответствие регуляторам. ТСЗ должны соответствовать стандартам качества и техническим требованиям регуляторов, как на международном уровне, так и на государственном. К мировым регуляторам относятся Международная организация по стандартизации и сертификации (ISO) и Международная электротехническая комиссия (IEC). К государственным регуляторам Российской Федерации относятся Федеральная служба по техническому и экспортному контролю (ФСТЭК России), которая устанавливает требования по безопасности информации, и Федеральная служба безопасности (ФСБ), осуществляющая сертификацию средств защиты информации. Также важную роль играет Федеральное агентство по техническому регулированию и метрологии (Росстандарт), которое занимается стандартизацией в области информационной безопасности. 

7. Участие в общей концепции. Инструменты ИБ конкретной компании не должны выходить за рамки принятых международных и государственных концепций безопасности информации.

8. Недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование. Этот принцип закреплен на законодательном уровне в Федеральном законе  № 149-ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07.2006 гг.

Объекты защиты информации и источники рисков

Объекты защиты информации — это совокупность всех носителей конфиденциальных данных, которые могут быть подвергнуты негативному воздействию с целью получения, порчи, изменения этих данных. К объектам защиты относятся не только фактические физические носители, но и сами системы передачи информации, и даже сотрудники компании. Таким образом необходимо обеспечивать защитой с помощью технических средств следующие объекты:

1. Базы данных, информационные хранилища и системы, архивы данных.

2. Средства хранения, обработки и передачи информации (сервера, персональные компьютеры, мобильные устройства, жесткие диски, портативные устройства и др.).

3. Места хранения информации (серверные помещения, архивы, офисные помещения и др.).

4. Сотрудников компании как носителей информации конфиденциального характера.

В законодательстве РФ закреплены обязательства по технической защите информации, особенно для объектов критической инфраструктуры, государственных учреждений, организаций, работающих с чувствительной информацией и персональными данными (банковские учреждения, оборонные предприятия, органы госвласти и др.). Применяемые технические меры защиты информации для этих учреждений должны быть лицензированы Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФБР), а также иметь обязательные сертификаты качества и соответствия стандартам безопасности.

На уровне предприятия за информационную безопасность отвечают отделы информационных технологий, информационной и экономической безопасности, кадров и другие службы.

Какие риски для объектов технической защиты информации существуют:

• Риски разглашения. Классический риск, связанный с преднамеренным или непреднамеренным предоставлением доступа к конфиденциальным данным по причине утечки, инсайдерской атаки, действия вредоносного ПО, проблем с инфраструктурой и оборудованием, проблемами безопасности у подрядчиков и другими причинами.

• Риск изменения. Технические меры защиты информации обеспечивают стабильность содержимого, которое не подвергается несанкционированным изменениям и подделке.

• Риск потери конфиденциальности. Конфиденциальная информация может потерять свой статус из–за негативного воздействия и устранения доступа к ней среди круга пользователей, которые не имеют права доступа. Может быть вызван, например, ошибкой оператора информационной безопасности или техническим сбоем средств защиты. 

• Риск изменения. Массив данных может не подвергаться сливу или потери конфиденциальности, но при этом все еще находиться под давлением негативного воздействия из-за вероятности внесения несанкционированного изменения в данные. 

• Изменения формата или шифрование. Одним из негативных сценариев применения вредоносного ПО является изменение формата данных, из-за которого будет невозможно получить хранимую информацию. Существует целый вид мошенничества и вымогательства с помощью программ-шифровальщиков.

Какие источники рисков информации можно выделить:

1. Внешние источники. Сюда входят все негативно настроенные субъекты за периметром предприятия: мошенники, конкуренты, злоумышленники.

2. Внутренние источники. Сами сотрудники предприятия независимо от места в иерархии (включительно топ-менеджеры, руководители разного уровня).

Технические средства защиты должны обеспечивать равное отношение ко всем рискам, как внутреннего характера, так и внешнего, и придерживаться политики нулевого доверия для всех источников рисков.

Способы технического обеспечения информационной безопасности

Способы технического обеспечения информационной безопасности вместе с организационными мерами входят в общую систему обеспечения ИБ и создают цельный контур безопасности для компании. К техническим средствам обеспечения безопасности информации можно отнести: 

1. Контроль физического доступа, охранные средства для всего предприятия.

2. Программно-технические средства защиты информации.

Контроль физического доступа

Это совокупность мер по ограничению физического доступа как на территорию самого предприятия, так и непосредственно к информации и ее носителям. Сюда можно отнести:

1. Разграничение периметра организации и установку контрольно-пропускного пункта для мониторинга потока входящих и выходящих посетителей.

2. Установка системы аутентификации при входе в периметр предприятия и в места хранения информации. Могут использоваться цифровые ключи, специальные коды-пароли для подтверждения доступа, снятие биометрических отпечатков (сканирование сетчатки глаза, отпечатки пальцев и др.).

3. Средства аудио и видео мониторинга, которые обеспечивают фиксацию информации и контроль доступа в периметр предприятия.

Программно-технические средства защиты информации

Это совокупность цифровых решений, которые противодействуют негативному воздействию на конфиденциальность, целостность, доступность корпоративных данных как от внешних источников угроз, так и от внутренних источников. 

Защита от внешних источников

Защиту от внешних угроз обеспечивают с помощью:​

• Антивирусных программ, которые обнаруживают и блокируют вредоносное программное обеспечение, такое как вирусы, трояны, шпионские программы (примеры антивирусов: Norton Antivirus, Kaspersky Antivirus).
• Брандмауэров (файрволлов), которые контролируют и фильтруют трафик между внутренней сетью и внешними сетями (интернетом), блокируя нежелательные соединения и защищая от атак извне (пример: Check Point Firewall).
• Средств обнаружения и предотвращения вторжений (IDS/IPS). Пример, Cisco Firepower.
• Шифрования данных и криптографии, благодаря чему информация преобразовывается и в зашифрованном виде передается между участниками, что не позволяет посторонним лицам получить доступ к конфиденциальным данным.
• Управления событиями и информацией о безопасности с помощью SIEM-систем, которые проводят анализ интернет-активности на предмет потенциальных угроз безопасности и блокировки этих угроз. Пример: Security Event Manager.

Защита от внутренних источников

Внутренняя угроза информационной безопасности — это совокупность негативных действий, исходящих от объектов, находящихся внутри контура безопасности предприятий. Внутренняя угроза может исходить от:

• Инфраструктуры и проблем с оборудованием.
• Сотрудников штатных и нештатных.
• Враждебно настроенных персон (инсайдеров).

Инфраструктура и оборудование, как могут влиять

Внутренняя инфраструктура и оборудование могут негативно влиять на безопасность предприятия в целом и информацию в частности. На безопасность могут повлиять следующие факторы:

1. Плохая отладка производственных процессов и оборудования, отсутствие логической связи между ними. Этот фактор может привести к появлению уязвимостей в системе, которыми можно будет управлять и воспользоваться для получения информации о предприятии.

2. Отказ от резервного копирования может быть спровоцирован техническими проблемами с оборудованием и системой копирования, что создаст риск для информации, поскольку компания не будет иметь копию данных, в случае потери/порчи/шифрования оригинала.

3. Сложность IT-инфраструктуры может быть вызвана проблемой в масштабировании комплектов этой системы, сложной интеграции функционала между всеми частями и ошибками в  настройке.

4. Ошибки в системе хранения данных. Неправильно организованная система хранения приведет к негативному воздействию на информацию, вплоть до удаления и блокировки доступа к данным.

5. Поломка из-за производственного/эксплуатационного брака оборудования, причастного к хранению, обработке или передаче информации.

Сотрудники и их влияние на информационную безопасность

Сотрудники также могут выступать как источник негативного воздействия на информацию, поскольку они находятся непосредственно во внутреннем контуре безопасности, контактируют с данными и являются их носителями. Какие риски для информации могут исходить от сотрудников?

1. Непреднамеренные утечки информации, когда сотрудник по ошибке или невнимательности совершил действие, которое привело к разглашению конфиденциальных данных.

2. Ошибки при выполнении служебных обязанностей, которые привели к потере, порче, несанкционированному изменению информации.

3. Распространение доступа к данным. Сотрудники могут осознанно или неосознанно распространить информацию для аутентификации сторонним лицам, из-за чего пострадает конфиденциальность данных. 

Враждебно настроенные лица

Это лица, которые участвуют во внутреннем круге безопасности предприятия, но при этом имеют заранее недоброжелательный умысел по отношению к компании. Такими объектами могут являться:

• Внедренные инсайдеры (сотрудники, которые получили доступ к корпоративной информации с целью ее распространения и использования во вред компании).
• Коррупционеры (сотрудники, которые используют свое профессиональное положение с целью получения выгоды). Могут негативно воздействовать как на сами данные, так и на сопутствующие хранению и использованию этих данных процессы, благодаря чему могут возникнуть с большей вероятностью риски целостности и конфиденциальности этих данных.
• Шпионы (внедренные в круг безопасности сотрудники, которые собирают конфиденциальную информацию с целью дальнейшего использования во вред компании).

Программно-технические средства защиты информации по обеспечению информационной безопасности от внутренних угроз состоят из:

 

• Систем предотвращения утечки данных и контроля персонала (DLP-систем). Эта система обеспечивает полный мониторинг всех процессов по взаимодействию с информацией внутри контура безопасности предприятия, проводит анализ этих процессов и обеспечивает оперативное реагирование на возникшие информационные риски. Кроме того, DLP-системы могут также проводить мониторинг активности сотрудников и на основе полученной информации предоставлять доступную и информативную аналитику об этой активности. Познакомиться с этим инструментом для обеспечения информационной безопасности предприятия можно в презентации SecureTower или через тестовое использование триальной версии.
• Системы поведенческого анализа (UEBA/UBA). Это программные решения, которые исследуют поведенческие паттерны как сотрудников, так и оборудования и прогнозируют возможные варианты негативного развития событий и проблем с безопасностью.
• Программы управления доступом и аутентификации, благодаря которым посторонние лица не могут получить доступ к ресурсам компании (пример: Active Directory).

Классификация пользователей технического обеспечения информационной безопасности

В процессе технического обеспечения информационной безопасности участвуют внешние и внутренние пользователи. К внутренним можно отнести всех пользователей на уровне предприятия, которые косвенно или напрямую обеспечивают поддержку ИБ. 

К ним относятся: отделы безопасности и отделы информационной безопасности (напрямую участвуют в формировании технического комплекса инструментов и мер ИБ), финансово-экономические отделы и менеджмент (где происходит принятие стратегических решений по управлению финансами и финансовому обеспечению мероприятий по информационной безопасности), отдел по управлению персоналом (где происходит формирование качественного составляющего компании и в том числе инспекторов по ИБ) и другие службы.

К внешним пользователям относятся все взаимодействующие с компанией лица, которые напрямую или косвенно влияют на информационную безопасность:

 

• партнеры, которые могут быть источником информационной угрозы, если не обеспечивают достаточного уровня безопасности информации у себя в периметре;
• поставщики оборудования и программного обеспечения, которое из-за технического несовершенства или ошибок может являться источником угроз информации;
• клиенты, которые непосредственно взаимодействуют с продуктом и услугой и другими объектами.

Стратегия информационной безопасности предприятия: позитивные и негативные факторы

Что такое стратегия ИБ предприятия? Это пошаговая фиксация всех мероприятий и инструментов, которые будут участвовать в процессе обеспечения безопасности конфиденциальных данных компании. Почему необходимо создавать стратегию ИБ? 

Во-первых, это подробно описанный план действий по ИБ, который обеспечивает фиксацию всех мероприятий и их последовательности.

Во-вторых, это полнота отображения этих мероприятий, то есть каждое причастное к реализации стратегии лицо имеет визуальную картину всех действий и взаимосвязь их от начала мероприятий до завершения. 

В-третьих, это возможность оценки мероприятий в финансовом выражении и трудоднях, а также планирование мероприятий по оценке.

В-четвертых, это аудит мероприятий по ИБ и возможность выявить недостатки во взаимосвязях мероприятий и бизнес-процессов.

Для многих компаний выбор создания стратегии ИБ не так очевиден, ведь это достаточно фундаментальных документ, а сама область информации — очень мобильна и часто изменяется. Зачем тратить силы на действие, которое скорее всего в ближайшее время изменится. 

Однако нативное обеспечение безопасности информации менее эффективно и может привести как к негативным последствиям в моменте, так и в будущем:

• К разрыву между стратегическими ориентирами организации и процессами в области информационной безопасности.
• Недостаточному информированию участников процессов, повлиявшему на результат.
• Низкой эффективности от инвестиций в новые объекты ИБ.
• К появлению новых рисков информационной безопасности на предприятии.

Кому важно иметь стратегию информационной безопасности? 

Во-первых, это сами специалисты, которые используют стратегию как руководство для действий (специалисты ОБ и ОИБ).

Во-вторых, это менеджеры компании и руководство, чтобы понимать цели и отслеживать их, видеть все этапы обеспечения ИБ и обеспечить рациональное использование рабочей силы и средств на этих этапах, а также корректировать имеющиеся финансовые, кадровые и управленческие решения для повышения эффективности принятых мероприятий.

В-третьих, это финансовый сектор, службы,  которые занимаются учетом и планированием бюджета мероприятий.

В-четвертых, это IT-сектор, службы, которые управляют цифровыми ресурсами и оборудованием, в том числе которые обеспечивают ИБ предприятия.

Из каких этапов состоит стратегия безопасности информации на предприятии

1 этап — это формирование целей, требований, критериев успешности стратегии информационной безопасности, а также других показателей, которые помогут оценить эффективность принятых мероприятий. На этом этапе также устанавливаются сроки отчетности, которые, как правило, совпадают со сроками бухгалтерской отчетности, а также выбирается команда экспертов, которые будут отвечать за принятые мероприятия.

2 этап — аудит рисков и существующей системы безопасности.

Этот этап обязывает предприятие провести полную ревизию существующей системы безопасности и по итогу сформулировать ответы на следующие вопросы:

1. В каком состоянии сейчас находится система обеспечения ИБ на предприятии? Какую роль выполняет эта система? Какие финансовые, трудовые, материальные ресурсы задействованы и насколько их достаточно в данных момент?
2. Какие риски ИБ были зафиксированы? Что привело к этим рискам, устранены ли причины негативного воздействия на информационные ресурсы?
3. Какая траектория развития предприятия есть в краткосрочных и долгосрочных планах, какие бизнес-процессы являются ключевыми и как происходит обмен информацией между участниками этих бизнес-процессов?
4. Степень вовлеченности сотрудников всех уровней в обеспечение ИБ, что необходимо улучшить?
5. Регуляторы и их влияние на процесс обеспечения ИБ предприятия и насколько существующие методы соответствуют международным и региональным требованиям информационной безопасности.

3 этап — формирование полной стратегии безопасности с акцентом на выявленные недостатки на предприятии

Это этап практического использования информации, полученной из действий двух предыдущих этапов. На практике новая стратегия на предприятии должна устранить выявленные недостатки систем безопасности в существующей системе, учесть бизнес-стратегию развития предприятия и модернизировать уже введенный инструментарий.

4 этап — практическая реализация стратегии.

Это этап полного практического осуществления ранее принятых этапов в стратегии и оценка эффективности обновлений в соответствии с корпоративными  требованиями.

Внедрение технического обеспечения ИБ на процедурном уровне

Внедрение технического обеспечения информационной безопасности на процедурном уровне состоит из нескольких этапов.

Этап управления персоналом

Этот этап включает полное сопровождение персонала от момента поиска и анализа кандидата на вакансию и дальнейшего приема на работу до дальнейшей адаптации сотрудника на рабочем месте, сопровождению во время выполнения рабочих обязанностей и, в случае необходимости, в процессе увольнения. Сюда относятся:

1. Анализ службой безопасности кандидата при приеме на работу на возможные риски для предприятия. Сюда входит поиск инсайдеров и внедрения шпионов в штат компании, возможные группы риска сотрудника (игроманы, с большими задолженностями, с наличием зависимостей и т. д.).
2. Регистрация нового сотрудника в системе учета компании и предоставление доступа к системе информации предприятия. 
3. Разделение обязанностей и разграничение доступа к информации. Внедрение концепции нулевого доверия Zero Trust.  
4. Обучение сотрудников и актуализация информации по использованию инструментов для обеспечения безопасности информации и предупреждения ошибок из-за незнания.

Этап физической защиты

Это этап технического обеспечения информационной безопасности предприятия через обеспечение физической защиты всех объектов, входящих в круг безопасности предприятия (персонала, объектов инфраструктуры, территории и т. д.). Обеспечивается через:

1. Создание условий труда для сотрудников через обеспечение безопасного использования производственного оборудования и организацию технологических процессов.
2. Поддержание общего состояния инфраструктуры предприятия на безопасном уровне (противопожарные меры, системы реагирования в чрезвычайных ситуациях).
3. Средства ограничения физического доступа (реализация систем контроля и управления доступом (СКУД) аппаратного, программного или смешанного типа).

Этап программной защиты

Реализацию программного обеспечения для безопасности предприятия:

• защита от внешних угроз согласно принятой системе безопасности информации;
• защита от внутренних угроз согласно принятой системе безопасности информации.

Этап поддержания работоспособности

Этот этап включает поддержку в оптимальном состоянии принятых инструментов обеспечения ИБ на предприятии, обеспечение работоспособности этих инструментов, своевременное обновление. Сюда также относится поддерживающая инфраструктура предприятия, которая необходима для безопасного существования предприятия (электро-, водо-, теплоснабжение, средства связи и коммуникации).

Этап реагирования на нарушения режима безопасности

Предприятие согласно принятой системе должно также обеспечить технические мероприятия по реагированию на нарушения режима безопасности. Сюда должны входить:

• технические средства связи на случай нарушения безопасности;
• технические средства сдерживания информационной агрессии (отключение от сети, блокировка физического доступа).

Этап повседневной поддержки

Повседневная поддержка технического обеспечения информационной безопасности предприятия состоит в ежедневном мониторинге и обновлении текущих инструментов защиты.

Выводы

Техническое обеспечение информационной безопасности предприятия — сложный процесс, однако он продолжает оставаться одним из самых главных барьеров в борьбе с преступниками и внутренними угрозами ИБ.