5.1 Приватность человека и защита его персональных данных

Введение

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

Приватность тесно переплетена с автономией личности, то есть с волей и свободой выбора. Сейчас данные о человеке, о его предпочтениях, реакциях, повседневном поведении, потребностях, составе семьи, организации быта, привычных маршрутах перемещения собираются и используются, чтобы подталкивать его к покупкам каких-нибудь товаров или услуг (см. раздел 5.2).

В целом продавцы стараются ориентироваться на потребности и желания покупателя. Индивидуальные рекомендации, основанные на анализе информации о жизни человека, экономят значительное количество его времени и сил на поиск нужных товаров и услуг. Тем не менее возникает вопрос: до какой степени анализ и подбор подходящих вариантов, составление рекомендаций являются помощью, а с какого момента — манипулированием и давлением на человека? Этот вопрос становится еще острее, если вспомнить, что государство, работодатели и другие субъекты могут использовать данные о человеке, чтобы подталкивать его к совершению определенных действий (так называемый nudge), в том числе с помощью различных систем скоринга (см. раздел 5.3). Во всех ли случаях они будут действовать во благо человека? И даже если во благо, насколько приемлемо лишать человека свободы выбора и возможности проявить свою волю?

Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.

Ключ ЭП – уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.

Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП – лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

• Потеря ключевых носителей.
• Потеря ключевых носителей с их последующим обнаружением.
• Увольнение сотрудников, имевших доступ к ключевой информации.
• Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
• Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
• Нарушение печати на сейфе с ключевыми носителями.
• Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

• Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
• Документы материальные и представленные в электронном виде.
• Технические средства носителей информации и их обработки.
• Выпускаемая продукция.
• Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

• Утечка информации.
• Искажение информации.
• Утеря информации.
• Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

• Деятельность с контрагентами на основе гражданско-правовых договоров.
• Запросы из государственных органов.
• Проведение переговоров с потенциальными контрагентами.
• Посещения территории предприятия.
• Документооборот.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

• Акустический канал утечки информации.
• Визуальный канал.
• Доступ к компьютерной сети.
• Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

• Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
• Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

• Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
• Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
• Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
• Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
• Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
• Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
• Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

Что нужно сделать для настройки системы защиты

• Определить, какая информация подлежит или нуждается в защите.
• Оптимизировать защищаемые информационные потоки.
• Определить формы представляемой информации.
• Установить виды угроз защищаемой информации и варианты их реализации.
• Установить, кому может быть интересна защищаемая информация.
• Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
• Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
• Определить сроки актуальности защищаемой информации.

На что обратить внимание

• Использование гаджетов на территории предприятия.
• Удаленный доступ к информации.
• Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
• Настройка программного оборудования (особенно после обновления).
• Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
• Разграничение доступа к информации.
• Дробление информации на части.

5 принципов информационной безопасности

• «Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.
• «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.
• «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.
• «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

• Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
• Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
• Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
• Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

• Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
• Владельцам бизнеса;
• Начальникам структурных подразделений.

Любое использование материалов медиапортала РШУ возможно только с разрешения

Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

• выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
• выдает пользователям средства электронной подписи;
• создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
• получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
• ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
• проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
• осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
• определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

• обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
• подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
• обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
• обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
• аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

Как защитить коммерческую информацию от вирусов, хакеров и конкурентов

База клиентов, бухгалтерия, бизнес-планы — всё это ценная информация: если потеряете её, попадёте на деньги. Полностью защитить ценную информацию невозможно, но можно грамотно оценить риски и защитить самое важное, сэкономив на остальном. Рассказываем, как это сделать.

В небольшой торговой компании уволили сисадмина. Он быстро нашёл работу у конкурентов, а бывший работодатель через год потерял всех заказчиков. Оказалось, обиженный сотрудник оставил себе полный доступ к сети: переписка руководства, база клиентов, договоры с поставщиками, отчёты — всё попало к конкурентам.

Работодатель обратился к специалистам по информационной безопасности — они подбирают программы и железо для защиты данных. Бизнесмену посчитали смету на 3 млн рублей: продвинутый файервол (защита сети от взлома через интернет), антивирус в максимальной комплектации, система против утечек данных, шифрование каналов связи.

Чтобы не переплатить за защиту информации, нужно оценить риски — понять, что и как защищать. Можно обратиться за оценкой к экспертам, но тогда придётся потратить на консультации 200-300 тыс. рублей. А можно оценить их самостоятельно — бесплатно, но по методике, которую используют сами эксперты.

Когда вы оцените риски по этой методике, то поймёте, на какие средства защиты нужно тратить деньги, а без каких можно обойтись. Специалисты по информационной безопасности не смогут навязать вам лишнее — вы сэкономите.

Определите информационные системы

Активы содержатся в разных информационных системах: 1С:Бухгалтерия, программа «клиент-банк», корпоративный портал, рабочие компьютеры сотрудников, файловые сервера, электронная почта, планшеты, смартфоны, ноутбуки, интернет-сайт, внешние носители информации (флешки, переносные жёсткие диски, карты памяти). Если будут защищены информационные системы, то и данные в них будут в безопасности. Чтобы понять, защищены ли ваши данные, составьте список систем, в которых хранится информация.

Информация может находиться одновременно в нескольких системах. Например, база клиентов обрабатывается в бухгалтерской программе, при этом хранится на файловом сервере. Информация одна, но системы разные, угрозы и защита для них тоже разные.

2. Ценность информационных систем

Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

• Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
• Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
• Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
• Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
• Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

Оцените информационные активы

Информационные активы — это сведения о компании, которые представляют для неё ценность. Это финансовая информация, данные о продажах, закупках, базы данных клиентов, стратегические планы руководства, содержание корпоративного сайта. Занесите их в таблицу и оцените по трём показателям: конфиденциальность, целостность и доступность. Используйте 5-балльную шкалу.

Конфиденциальность — это то, насколько критична утечка секретной информации. Например, что будет, если база клиентов и контрактов попадёт к конкурентам? Если считаете, что это совсем не страшно, ставьте 1 балл. Если это тотальная катастрофа — 5 баллов.

Доступность — это то, насколько часто вы обращаетесь к данным. Например, ежегодный финансовый отчёт сотрудники открывают редко — ставим 1 балл. А доступ к базе товаров и цен нужен каждый день, иначе торговля остановится — 5 баллов.

Целостность — это то, насколько важно, чтобы в данных не было ошибок. Например, ошибка в архивных документах не критична, она ни на что не повлияет — ставим 1 балл. А если исказить цифры в 1С:Бухгалтерии, то можно продать товар по заниженной цене или напутать в налоговой отчётности — 5 баллов.

Теперь определите итоговую ценность каждого актива. Возьмите максимальный балл из трёх полученных. Например, у списка заказчиков конфиденциальность — 4, а целостность и доступность — по 2. Итоговый балл — 4.

1. Ценность информационных активов

Каталог угроз

• сотрудник украдёт компьютер, флешку или другой носитель информации;
• посторонний украдёт компьютер, флешку или другой носитель информации;
• посторонний проникнет в офис и украдёт информацию.

Утечка конфиденциальной информации:

• сотрудник специально отправит конфиденциальную информацию через мессенджер, электронную почту, раскроет секреты фирмы на форумах в интернете;
• сотрудник случайно передаст конфиденциальную информацию посторонним людям — лично или через интернет;
• сотрудник потеряет ноутбук, флешку, жёсткий диск;
• с помощью специального оборудования и программ посторонний перехватит сведения, которые вы передадите через интернет;
• сотрудники фирмы, которая ремонтирует компьютеры, обслуживает 1С или настраивает интернет, получат конфиденциальную информацию.

• сотрудник использует чужой пароль, чтобы получить конфиденциальную информацию;
• посторонний войдёт в корпоративную сеть по чужому паролю;
• сотрудник или посторонний используют чужой пароль, чтобы получить доступ к резервным копиям файло;
• сотрудник или посторонний, используя чужой пароль, запустят в корпоративную сеть вирус.

Недоступность ИТ-сервисов и утрата информационных активов:

• из-за аварии на электросетях не будут работать компьютеры;
• пропадёт интернет;
• новая программа или её обновление выведут компьютеры из строя;
• сотрудник специально или случайно сотрёт важные файлы;
• посторонний уничтожит важные данные;
• сотрудник случайно внесёт неверные данные;
• сотрудник специально исказит информацию, подменит файлы.

Нарушителей и угрозы из этого списка занесите в таблицу. Если вы детально представляете негативные сценарии, опишите их подробно. Например: вы потеряли ключевого клиента, потому что посторонний подобрал пароль к электронной почте и украл данные из деловой переписки. В остальных случаях сделайте общее описание ситуации. Например: бухгалтерия не может работать из-за того, что сотрудник стёр информацию в 1С.

В итоге таблица превратится в набор возможных негативных сценариев для компании.

3. Возможные негативные сценарии

Выясните, что угрожает информационным системам

Угрозы — это то, из-за чего информация может пострадать: кто-то или что-то может повредить ваши данные так, что бизнес понесёт убытки.

Определять угрозы нужно для тех информационных систем, чья ценность высока — 4 и 5 баллов. Про остальные системы можете забыть: если с ними что-то и случится, бизнес от этого не пострадает.

Сначала выясните, кто может угрожать ценным системам. Для этого разделите возможных нарушителей на группы — так будет проще понять, как они могут воздействовать. Обычно достаточно разделить нарушителей на внешних (хакеры, сотрудники конкурентов, уволенные работники) и внутренних (сотрудники компании). Когда поймёте, кто может угрожать системам — поймёте, как именно они могут это сделать.

Теперь опишите, как нарушители могут украсть, уничтожить или исказить данные в конкретной информационной системе. Способы могут быть очевидными — например, сотрудник скопирует файлы на флешку. Но бывают и сложными — хакер перехватит данные по незашифрованному каналу. Если вы не разбираетесь во всех технических тонкостях, то можете что-то упустить. Чтобы этого не случилось, подключите вашего ИТ-специалиста. Если его нет — воспользуйтесь каталогом, который разработали эксперты.

Снижайте риски и расходы

В первую очередь примите меры предосторожности. Не пускайте посторонних в офис, защитите пароли, ограничьте их распространение, обучите сотрудников основам безопасности. Поможет даже простая рассылка с предупреждением об эпидемии нового вируса и призывом не открывать подозрительные вложения. ИТ-специалист может регулярно проводить семинары и инструктаж новых сотрудников. Это не требует больших затрат.

Для серьёзной защиты нужны антивирусы, программы от утечек информации, специальное железо. Оценка, которую вы провели, поможет поставить чёткую задачу специалистам по информационной безопасности. Они подберут конкретное средство защиты, а не предложат делать всё сразу — расходы уменьшатся.

Сравните смету с суммой риска — так вы поймёте, окупятся ли вложения. Например, для победы над новыми вирусами производители предлагают системы класса Sandbox. Они эффективны, но стоят не меньше двух миллионов рублей. Если сумма рисков сопоставима или меньше этой суммы, выгоднее использовать средство подешевле — даже если оно не защитит вашу информацию полностью.

Переведите риски в деньги

Дальше важно понять, что защищать в первую очередь и сколько на это потратить сил и денег. Для этого оцените риски в рублях: сколько компания потеряет, если сотрудник сольёт базу клиентов конкурентам. Потом определите вероятность того, что сотрудник это сделает.

4. Вербально-числовая шкала для определения вероятности того, что угроза станет реальностью

После того, как вы определили сумму ущерба в деньгах (У) и коэффициент вероятности (В), посчитайте величину риска (Р): Р=У×В.

5. Подсчёт суммы риска

В итоге ваша таблица превратится в перечень рисков, оценённых в рублях. Это деньги, которые вы как минимум не заработаете, а как максимум — их придётся вынуть из оборота и потратить на устранение последствий.

Посмотрите на итоговую сумму рисков в таблице. Готовы ли вы её принять? Если нет, остаётся только снижать риски.

Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

2 Размещение технических средств АРМ с установленным СКЗИ

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

4 Настройка операционной системы АРМ

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

• Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
• Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
• У группы Everyone должны быть удалены все привилегии.
• Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
• Должна быть отключена учетная запись для гостевого входа Guest.
• Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
• Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
• Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
• Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
• Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
• Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
• Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:

• длина пароля должна быть не менее 6 символов;
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
• личный пароль пользователь не имеет права сообщать никому;
• не допускается хранить записанные пароли в легкодоступных местах;
• периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
• указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.

5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

• Снимать несанкционированные администратором безопасности копии с ключевых носителей.
• Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
• Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
• Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.

8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

• Хранить в тайне ключ ЭП (закрытый ключ).
• Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
• Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
• Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.

9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

• дата, время;
• запись о компрометации ключа;
• запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
• запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
• записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
• события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

Памятка

Защита информации обойдётся дешевле, если знать, что и от чего защищать. Вот как это выяснить:

• Составьте список информационных активов. Оцените по 5-балльной шкале конфиденциальность, доступность и целостность каждого актива. В каждой тройке выберите самый большой балл — это итоговая ценность актива.
• Определите информационные системы, в которых работаете с активами. Ценность каждой системы равна ценности самого ценного актива. Защитите системы, которым поставили 4 или 5 — они самые ценные.
• Подумайте, что может угрожать ценным информационным системам. Тут нужен опыт — поручите это сисадмину или используйте каталог угроз.
• Оцените, сколько денег потеряете, если что-то случится с ценной информацией. Подумайте, насколько вероятно, что это случится за год. Рассчитайте сумму риска по формуле Риск = Ущерб × Вероятность угрозы.
• Покупая антивирус или файервол, сравните его стоимость с суммой риска: если потратите на них меньше, чем на восстановление ущерба берите; если больше — нет.

Получайте раз в неделю подборку лучших статей Жизы

Рассказываем истории из жизни бизнесменов, следим за льготами для бизнеса и
даём знать, если что-то срочно пора сделать.

Заключение

Настоящие правила составлены на основе:

• Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
• приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
• эксплуатационной документации на СКЗИ, которое используется в Системе.