30 мая 2013 г.

Какой должна быть правильная система информационной безопасности организации?

vlsdtv | 13:20 |
В любой сфере бизнеса не обойтись без секретов. Чего бы ни касалась секретная информация – технологий производства, доходов компании, списка её крупнейших клиентов, - в наше время электронных документов следить за её сохранностью нужно особенно тщательно.

Почему это исключительно важно?
Информация – самый важный из ресурсов современного общества, вокруг которого крутятся деньги. Благодаря персональным компьютерам работать с информацией стало очень просто, и так же просто информацию стало передавать и принимать. У этой всесторонне положительной особенности электронных документов есть и отрицательные стороны: злоумышленникам намного проще похитить не предназначенную для чужих глаз информацию. Теперь не нужно красть толстые папки с документами – достаточно переписать данные на «флэшку», которая легко поместится в карман. Впрочем, для современного промышленного шпионажа часто даже нет нужды проникать на территорию конкурентов физически – это можно сделать виртуально, взломав через интернет корпоративный сервер и скачав с него без особой спешки всё нужное.
Или обзавестись в компании собственным агентом-инсайдером, который запросто отправит своим новым хозяевам всю необходимую информацию по электронной почте.
Потеря секретных документов оборачивается нередко баснословными убытками, однако, несмотря на это, как коммерческие, так и государственные организации продолжают пренебрегать вопросами информационной безопасности. Это характерно не только для России. Года два назад американский «Белый дом» оказался в центре большого скандала, связанного с утечкой секретных данных через старые ноутбуки, выставленные на продажу.
Лучше учиться на чужих ошибках, пусть даже и глупых. Впрочем, как показывает практика, чем глупее ошибка, тем большей прозорливостью надо обладать, чтобы не наступить от излишней самонадеянности на грабли. А для того, чтобы обезопасить себя от утечек информации, необходимо иметь представление о том, какими именно путями информация может быть похищена.

Как утекает информация?
На самом деле, путей утечки информации из организации существует великое множество. Самый распространённый – это, увы, обычная халатность и невнимательность работников, как это случилось с выставленными на продажу «Белым домом» ноутбуками. К сожалению, такие случаи действительно трудно проконтролировать, однако существуют возможности их предотвратить.
Гораздо хуже обстоят дела с теми, кто ворует информацию целенаправленно. К слову, ворами вовсе не обязательно должны быть люди – с этой задачей вполне может справиться и программа. Такие программы называют вредоносными, и бывают они самыми разными - кейлоггеры, трояны руткиты и т.д.
Впрочем, следует отметить, что как бы много разных вредоносных программ не находилось на компьютере пользователя, всё равно, бороться с ними на порядок проще чем с теми сотрудниками, которые желают причинить вред родной компании. Не так важно, что именно ими движет – желание отомстить за реальные или мнимые обиды, или же жажда наживы (к сожалению, всегда есть люди, готовые продаться за тридцать серебренников). Инсайдеры –  могут не только красть, но и уничтожать информацию, что в ряде случаев ничуть не лучше её передачи во вражеские руки. Инсайдеры, в отличие от вредоносных программ, не ограничены рамками виртуального пространства, а потому информация, украденная ими, может передаваться не только по электронной почте, ICQ или другим сетевым протоколам, но и на физических носителях. Инсайдер может использовать для своих целей «флэшки», корпоративные ноутбуки, компакт-диски. Причём кража информации с помощью удобных мобильных носителей даже более популярна, чем с помощью электронной почты. Помимо этого, они могут элементарно распечатывать электронные документы, после чего уносить их уже в бумажном виде.

Надо бороться? А как же!
Как вытекает из того, что было сказано выше, борьба с утечками информации является суровой необходимостью современных условий ведения бизнеса. В случае, если не уделять никакого внимания утечкам информации, может случиться так, что несмотря на прекрасный маркетинг и менеджмент компания всё равно пойдёт ко дну. Каким тогда бороться с утечками информации?
С теми утечками информации, которые происходят из-за имеющегося на корпоративных компьютерах вредоносного программного обеспечения, бороться сравнительно просто - антивирусы и брандмауэры. Для обеспечения высокого уровня безопасности необходимо иметь и антивирус, и брандмауэр, причём и тот и другой необходимо регулярно обновлять, потому что в противном случае они не смогут эффективно бороться с самыми новыми версиями вредоносного программного обеспечения. Любой антивирус лучше, чем его полное отсутствие, как и  брандмауэр. Поскольку нередко трояны и руткиты рассылаются в письмах с рекламой («спам»), то необходимо иметь также и хорошие средства борьбы со спамом.
А вот что касается защиты от утечки информации, которую организуют инсайдеры, то здесь всё гораздо сложнее, и установкой антивируса, брандмауэра и антиспама здесь обойтись не удастся.
Первым шагом в борьбе с инсайдерами должно стать грамотное разграничение прав доступа к информации среди сотрудников компании. Система разграничения прав доступа должна быть гибкой и настраиваться таким, например, образом, чтобы начальники смежных отделов могли изучать почту подчинённых, но рядовой сотрудник видел лишь свою почту в поисковой выдаче, при поиске информации. Документы, предназначенные для руководящего состава не должны быть доступны клеркам, бухгалтерия и вовсе должна быть закрыта для всех, кроме бухгалтеров. В идеале, сотруднику доступна лишь информация, необходимая для выполнения рабочих обязанностей. Как говорится в общих положениях стандарта банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организации банковской системы Российской Федерации», «наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации».
Следующим этапом является контроль (в разумных, конечно же, пределах) электронной почты сотрудников. Сотрудники должны в рабочее время и с рабочих компьютеров использовать только корпоративный сервер электронной почты, в идеале использование личных почтовых ящиках на бесплатных серверах (Mail.ru, Yahoo.com, Yandex.ru и т.д.) должно быть заблокировано из соображений информационной безопасности. Необходимым условием эффективной борьбы с утечками информации является создание архива электронной корреспонденции организации, который должен храниться определённый промежуток времени и быть доступен даже в том случае, когда сам пользователь уже удалил свои письма. Такой архив, среди всего прочего, позволит оценить добросовестность выполнения работником своих служебных обязанностей и использоваться в качестве резервной копии всей корреспонденции, находящейся на корпоративном почтовом сервере. Ограничивать доступ к архиву почты, само собой, тоже необходимо. Пункт 8.2.6.4 общего стандарта Банка России гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности (ИБ). Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен».
Третьим пунктом в программе борьбы с утечками информации стоит необходимый контроль за действиями сотрудников организации. В общих положениях стандарта банка России сказано, что обязательна «регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ». Стоит заметить при этом, что администраторы информационной безопасности – тоже живые люди, и они, как и любые другие сотрудники, могут, к сожалению, оказаться инсайдерами. Потому их действия также необходимо контролировать. Идеальным вариантом будет создание двух взаимно контролирующих подразделений информационной безопасности.
Практические решения
«Это всё, конечно, хорошо», - можете сказать вы, - «однако теория теорией, а как на практике реализовать защиту от утечек информации?». Действительно, создание качественной системы информационной безопасности «с нуля» собственными силами компании может оказаться почти неподъёмной задачей. К счастью, существуют готовые решения, предлагаемые, ко всему прочему, российскими производителями, а потому доступные по своей стоимости.
Требования, предъявляемые к подобным решениям, как вы сами понимаете, довольно высоки. Они должны не только позволять контролировать входящий и исходящий трафик пользователя, но также и следить за тем, какие документы пользователь переписывает на «флэшку» и что печатает на принтере.
Практических решения по рынку достаточно много, например: 1., 2., 3., 4., 5. Это те варианты, которые я рассматриваю в своей работе.
Как видите, информационная безопасность предприятия – это действительно важно, и её не стоит пускать на самотёк. Купленная система информационной безопасности поможет сэкономить вам значительные деньги, которые могли бы украсть у вас инсайдеры. А потому информационная безопасность – не так статья расходов, на которой следует экономить. 

Комментариев нет :

Отправить комментарий

Search