Обеспечение информационной безопасности организации

Обеспечение информационной безопасности организации Электронная цифровая подпись
Мы живем в мире, где цифровые технологии проникают во все сферы. И на этом фоне информационная безопасность становится ключевым вопросом. От крупных корпораций до обычных пользователей интернета – все подвержены угрозам, кибератакам, вирусам и хакерским атакам.

## Что такое ИБ и для чего она нужна?

По большому счету, понятие говорит само за себя. ИБ, или информационная безопасность – это защита данных и систем от краж и проникновения, повреждения и уничтожения, атак. Самый простой и очевидный пример – антивирусы. Они помогают найти и уничтожить на компьютере вредоносные программы, с помощью которых ваши фотографии, пароли или документы могли бы своровать.

Но понятие ИБ намного шире, чаще всего оно применяется в отношении компаний и структур, а также железа (то есть оборудования). К информационной безопасности относятся и шифрование данных, и защита сетей от атак и взломов, и обучение персонала и многие другие нюансы.

Особенно важную роль играет ИБ для любого рода компаний – и государственных, и частных. Компании несут ответственность на основании закона за утечку данных юзеров (пользователей). Информационная безопасность предприятия – это залог доверия клиентов.

Без информационной безопасности пользоваться компьютерами и интернетом было бы небезопасно, любые ваши данные беспрепятственно бы утекали в руки злоумышленников.

## Почему важно быть уверенными в надежности сотрудников?

Сотрудники любой компании имеют доступ к конфиденциальной информации, базам данных, системам управления и другим ценным ресурсам. Надежность нового человека в коллективе – один из ключевых аспектов обеспечения информационной безопасности в любой организации.

Сотрудник, который на прошлой работе использовал внутреннюю информацию для наживы, то есть, по сути, своровал ее, повышает риски утечки данных и потери прибыли вашей компании. Поэтому службы безопасности и HR-специалисты заинтересованы в тщательной проверке каждого кандидата. Особенно это важно, если нанимают в компанию не штучно.

При этом сотрудников нужно не только проверять, но и обучать правилам информационной безопасности. Сервис SpectrumData возьмет на себя проверку кандидатов и действующих работников по десяткам баз данных. Всего за 3 минуты вы узнаете, не судится ли новый сотрудник с бывшим работодателем за разглашение коммерческой тайны, не взыскивают ли с него алименты или не интересуется ли он чем-то запрещенным в Telegram.

![Информационная безопасность](https://spectrumdata.ru/upload/medialibrary/25a/37kkf8szyhp4ne0tiwxnovhh99d91szt/bez-stoimosti.jpg)

Оставьте заявку на демонстрацию работы сервиса, и наши специалисты помогут подобрать набор проверок, идеально подходящий именно вашей компании.

## Методы и средства обеспечения информационной безопасности
Содержание
  1. Программные инструменты информационной безопасности
  2. Виды программных инструментов защиты ИБ
  3. Указ по информационной безопасности
  4. Риски и методы защиты
  5. Задачи информационной безопасности в компании
  6. Настройка почтовых серверов
  7. Контроль доступа и периметра компании
  8. Повышение киберустойчивости организации
  9. Защита информации
  10. Киберучения и усиление ИТ-инфраструктуры
  11. Внедрение средств защиты информации
  12. Результативная кибербезопасность
  13. Степень заинтересованности руководства
  14. Защита информации на предприятии
  15. Обеспечение информационной безопасности в организации
  16. Свойства безопасности информации
  17. Цели обеспечения информационной безопасности
  18. Принципы обеспечения информационной безопасности
  19. Сферы, в которых особенно важна надежность ИБ
  20. Больше по теме
  21. Виды конфиденциальной информации компании
  22. Персональные данные
  23. Коммерческая тайна
  24. Профессиональная тайна
  25. Служебная тайна
  26. Государственная тайна
  27. Принципы информационной безопасности
  28. Конфиденциальность
  29. Доступность
  30. Целостность
  31. Кто обеспечивает ИБ?

Программные инструменты информационной безопасности

Инструментов защиты информации к настоящему моменту разработано и используется множество. Условно их можно разделить на три вида: технические, программные и административные.

Виды программных инструментов защиты ИБ

Физические и административные инструменты в компаниях обычно сильно отличаются. А вот набор программных средств нередко схож.

Примеры программных инструментов защиты ИБ:

  • Системы мониторинга сетевого трафика
  • Антивирусы
  • Шифрование данных
  • Системы контроля доступа к конфиденциальной информации

IT-компании более заинтересованы в:

  • Мониторинге уязвимостей
  • Инструментах аудита безопасности кода
  • Механизмах контроля доступа разработчиков к исходному коду

Указ по информационной безопасности

Обеспечение информационной безопасности организации

Указом № 250 руководителям напомнили, что безопасность должна быть практичной, и отвечать за нее должны топ-менеджеры.

В России уже 1,5 года действует указ президента РФ № 250 о дополнительных мерах по информационной безопасности бизнеса. Он затрагивает более 500 000 российских организаций, включая компании Северо-Западного федерального округа.

Согласно документу, ответственность за безопасность компании в киберпространстве несет именно руководство, а не просто служба ИБ или ИТ. Одним из ключевых требований указа является назначение заместителя генерального директора по кибербезопасности, ответственного за защищенность организации.

Риски и методы защиты

Многие компании уже поняли, что защититься от атак можно, если регулярно проводить мероприятия по повышению киберграмотности. Персонал организации должен знать о популярных хакерских методах и уметь противостоять им.

Риски, от которых компаниям приходится защищаться, остаются актуальными. Согласно статистике, в III квартале 2023 года социальная инженерия оставалась главной угрозой частным лицам в 92% случаев и одним из основных векторов атак в 37% случаев на организации. Злоумышленники также используют фишинговые сайты, электронные письма, мошеннические схемы в социальных сетях и мессенджерах.

Между тем, компаниям необходимо оставаться гибкими и быстро реагировать на изменения в угрозах информационной безопасности.

Задачи информационной безопасности в компании

Перед сотрудниками, занимающимися информационной безопасностью в компании, стоит несколько базовых задач, которые можно считать первым шагом в выполнении требований Указа № 250. Вот некоторые из них:

Настройка почтовых серверов

Это важный шаг, так как через почтовые серверы хакеры могут рассылать вредоносные файлы и QR-коды.

Контроль доступа и периметра компании

Этот контроль необходим при активном использовании удаленного формата работы сотрудников.

Повышение киберустойчивости организации

После внедрения базовых правил кибергигиены, можно переходить к улучшению киберустойчивости организации.

Защита информации

Определение недопустимых событий, которые могут привести к проблемам с бизнесом и выполнением функций компании.

Киберучения и усиление ИТ-инфраструктуры

Продолжайте обучать сотрудников и улучшать ИТ-инфраструктуру для защиты от киберугроз.

Внедрение средств защиты информации

Размещение сервисов и ресурсов компании на специализированных платформах и другие меры.

Результативная кибербезопасность

Важно, чтобы руководители компаний понимали, что безопасность должна быть практичной, а не только на бумаге.

Указ № 250 является напоминанием руководителям компаний о важности кибербезопасности и подчеркивает, что топ-менеджмент должен нести ответственность за нее.

Степень заинтересованности руководства

Руководители компаний как малого, среднего и крупного бизнеса, а также государственные должностные лица все чаще обсуждают темы кибербезопасности.

Защита информации на предприятии

Защита информации на предприятии является значительной задачей, требующей комплексного подхода и внимания к деталям.

Обеспечение информационной безопасности в организации

Согласно ГОСТ Р 53114-2008, информационная безопасность организации (ИБ организации) представляет собой состояние, при котором ресурсы и данные организации защищены от несанкционированного доступа, изменений, утечек и других угроз в сфере информации.

Свойства безопасности информации

Для достижения безопасности информации, необходимо, чтобы она обладала следующими свойствами:

  1. Конфиденциальность
  2. Целостность
  3. Доступность

Цели обеспечения информационной безопасности

Обеспечение ИБ организации включает деятельность, направленную на:

  • Предотвращение угроз
  • Разрешение инцидентов безопасности
  • Восстановление после инцидентов

Принципы обеспечения информационной безопасности

При обеспечении информационной безопасности важно придерживаться следующих принципов:

  • Принцип разумности
  • Принцип комплексности
  • Принцип непрерывности

Эти принципы помогут эффективно реализовать задачи по обеспечению безопасности информации в организации.

## Меры обеспечения информационной безопасности организации

Чтобы деятельность по обеспечению ИБ организации была результативной, нужно правильно поддерживать состояние защищенности её информационных активов. Для выполнения этого условия, все процессы должны быть выстроены с комплексную систему, состоящую из конкретных этапов:

![](https://falcongaze.com/assets/pictures/publications/articles/pic_270223_01.jpg)  

## Меры обеспечения информационной безопасности организации

Согласно требованиям ГОСТ Р 53114-2008 меры обеспечения информационной безопасности представляют собой комплекс мероприятий, направленных на разработку и/или практическое внедрение способов и средств обеспечения безопасности информации в организации.

### Виды мер обеспечения информационной безопасности

1. **Административные меры обеспечения информационной безопасности:** 
   - Использование сотрудниками собственных ноутбуков.
   - Проведение обучающих семинаров и тренингов по ИБ для сотрудников.

2. **Физические меры обеспечения информационной безопасности:** 
   - Система контроля и управления доступом (СКУД) на территории организации.

3. **Программные и технические меры обеспечения информационной безопасности:** 
   - Межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа (например, DLP-система Falcongaze SecureTower).

4. **Юридические меры для обеспечения информационной безопасности:** 
   - Разработка политики безопасности информации.
   - Контроль соблюдения нормативных актов и документации.

### Содержание мер в Приложении А к ГОСТ Р ИСО/МЭК 27001:2021

![](https://falcongaze.com/assets/pictures/publications/articles/pic_270223_02.jpg)  

## Как обеспечивать информационную безопасность в организации?

Отправными точками при выстраивании процесса обеспечения информационной безопасности организации являются:

![](https://falcongaze.com/assets/pictures/publications/articles/pic_211123_02.jpg)  

## Выводы

При соблюдении основных принципов обеспечения информационной безопасности организации, деятельность будет эффективной и успешной. Игнорирование этих принципов может привести к невыполнению плановых задач. Принципы обеспечения ИБ организации:
- Профессионализм.
- Системность.
- Комплексный подход.
- Контроль.
- Своевременность.

Принцип 1. Руководство организации должно оказывать видимую и достаточную поддержку в обеспечении информационной безопасности, а также своевременно и в полной мере выполнять обязательства в этом направлении: например, от целеполагания до финансирования.

Читайте также:  Налоговая служба лицевой счет налогоплательщика физического лица запись в лицевой счет и лицевой счет налогоплательщика

Принцип 2. Сотрудники, занимающиеся обеспечением информационной безопасности организации, должны полностью осознавать цели и задачи, связанные с обеспечением безопасности информации. Они также должны уметь выстраивать и редактировать порядок реализации целей и задач, которые будут поддерживать компанию в рабочем состоянии. В случае проблем, ошибок или нарушений ответственные лица должны объяснять причины недопустимости таких действий, ссылаясь на внутренние документы организации, в которых закреплены такие правила.

Принцип 3. У всех работников организации должно быть правильное понимание политики информационной безопасности. Они должны быть обеспечены всем необходимым, чтобы найти ответы на свои вопросы самостоятельно. В трудных ситуациях они должны иметь возможность получать своевременную консультацию.

Итог: Организация, которая стремится уделить достаточно внимания информационной безопасности, не должна ограничиваться лишь организационными мерами обеспечения ИБ. Отметим, что внедрение лишь этих мер не поможет обеспечить информационную безопасность компании на должном уровне. Чтобы защита корпоративных данных была эффективной, потребуется внедрение DLP – программного обеспечения, способного контролировать действия в сети организации, ликвидировать риски утечек данных и т.д. Чтобы оценить все возможности DLP-системы, установите бесплатную тестовую версию Falcongaze SecureTower.

Политика информационной безопасности (Политика ИБ) – это основополагающий документ, который регламентирует процессы обеспечения информационной безопасности в организации. Он содержит комплекс принципов, правил, процедур и руководящих инструкций для защиты информационных активов компании от рисков, возникающих в результате реализации угроз информационной безопасности. Политика ИБ, как правило, разрабатывается в соответствии с положениями российских и международных стандартов, а также передовых практик.

Политика ИБ создает четкие правила, которые помогают защитить информационные активы и снизить уязвимость организации перед актуальными угрозам. Однако, прежде чем выстраивать эти правила, следует разобраться в нюансах формирования политики ИБ и ее реализации. Рассказываем, что такое политика информационной безопасности, какие положения она включает и как внедряется.

Обеспечение информационной безопасности организации

Понятие политики компании в области информационной безопасности

Политика ИБ — комплекс утвержденных принципов и практических мер, касающихся защиты информационных активов организации. Это ряд взаимосвязанных документов, регламентирующих работу с конфиденциальными сведениями и определяющих ответственность за ее нарушения.

Политика безопасности должна строиться на результатах детального анализа рисков. Исследованию подлежат текущая система защиты информационной инфраструктуры, материальные и человеческие ресурсы. Также при формировании политики необходимо учитывать специфику деятельности организации.

Компании имеют право самостоятельно решать, какую информацию и как защищать, если не предусмотрены конкретные требования законодательства. Главная цель политики — предугадать все риски и создать эффективную систему противостояния им.

Что такое формализация политики ИБ и зачем она нужна

Политика ИБ обычно формализуется, то есть предстает в виде четкого регламента. Правила «на словах» не работают, поскольку не являются утвержденными требованиями.

Важный момент — разработанная политика должна соответствовать стандартам документации. Их формируют внешние специалисты, которые регламентируют правила работы организаций в определенных сферах.

Эффективная политика информационной безопасности компании включает документацию трех уровней:

Второе правило корректной подачи политики — четкая формулировка каждого пункта. Соблюдение этого требования свидетельствует об ответственном отношении организации к вопросам обеспечения безопасности.

Отсутствие формализованной политики безопасности приводит не только к внутренним проблемам организации бизнес-процессов, но и негативно влияет на конкурентоспособность, деловую репутацию и ценность бизнеса для акционеров компании.

Несостоявшиеся политики информационной безопасности компании

Если политика существует только «на бумаге», и ее положения не реализуются на практике, она будет считаться несостоявшейся. Это может происходить по многим причинам, вот некоторые из них:

Чтобы избежать подобных ситуаций, необходимо грамотно подойти к ее созданию, учитывая особенности деятельности компании и ее бизнес-процессов.

Обеспечение информационной безопасности организации

Какие положения включает политика информационной безопасности

Политика компании в области информационной безопасности включает следующие аспекты:

Важно, чтобы все положения политики были связаны между собой и не противоречили друг другу.

Концепция защиты в рамках политики информационной безопасности компании

Важно различать понятия «концепция информационной безопасности» и «стратегия информационной безопасности»: первая не подлежит изменениям, а вторая является динамичной, то есть может дополняться.

Ключевые составляющие концепции информационной безопасности:

Подробнее остановимся на пункте о критериях оценки эффективности защиты. Это не обязательное положение, однако стоит включить его в документ, чтобы сотрудники службы безопасности знали, по каким параметрам будет оцениваться их работа.

Также концепция иногда предусматривает физическую охрану объекта (особенно это касается крупных предприятий) и другие организационные моменты, связанные с контролем персонала в рабочее время. Например, некоторые организации устанавливают правило отмечаться в журнале в начале и конце трудового дня.

Требования к составлению регламентирующей документации

При документировании политики информационной безопасности компании важно учитывать следующие нюансы:

В документе должны фигурировать четкие цели, методы их достижения и меры ответственности за нарушение политики. Вся лишняя информация будет отвлекать сотрудников от сути, что приведет к несостоятельности концепции.

Если законодательство диктует какие-либо положения, применимые к деятельности организации, необходимо включить их в документ с указанием источника требований.

Внедрение политики компании в области информационной безопасности

К внедрению политики следует приступать только тогда, когда документация полностью сформирована и согласована. Ниже приведена последовательность шагов по внедрению политики ИБ в компании:

Для оценки эффективности внедренной политики ИБ следует регулярно проводить аудит. В ходе проверок выясняется, насколько качественно выполняются задачи по обеспечению безопасности информационного периметра.

Периодически принятую документацию следует актуализировать. Например, при необходимости расширить арсенал средств защиты.

Обеспечение информационной безопасности организации

Контроль соблюдения политики безопасности

К сожалению, некоторые сотрудники организаций не соблюдают требования политики информационной безопасности компании и совершают неправомерные или необдуманные действия, которые приводят к утечке данных. Чтобы выявить нарушения силами службы безопасности, потребуется достаточно много времени. Задачу упростят технические средства для мониторинга и предотвращения инцидентов — DLP-системы (Data Leak Prevention). Вот как они работают:

Благодаря DLP-системам значительно упрощается процесс расследования инцидентов. В службу безопасности попадает детальная информация обо всех действиях сотрудников на рабочих устройствах. В том числе записи с микрофонов и видеотрансляции рабочих экранов. Специалистам останется только проанализировать доказательную базу, соотнести события с положениями ИБ и предотвратить возможные инциденты.

Многие компании различных сфер деятельности выбирают Solar Dozor. Это российская DLP-система корпоративного класса, которая обладает высокой производительностью, масштабируемостью и отказоустойчивостью. Solar Dozor решает большой спектр задач по защите конфиденциальной информации от утечек, включая анализ связанных с хранением и движением данных процессов и деятельность сотрудников за рабочим компьютером.

Читайте также:  Бесплатная ЭЦП (электронная подпись) через ФНС.Как получить?

Политика информационной безопасности компании необходима для выстраивания системы защиты информационных активов от различных видов угроз и их нейтрализации. При разработке политики ИБ мы рекомендуем обращать не меньшее внимание на этапы ее внедрения в компании и контроль их соблюдения всеми сторонами (участниками). В этом помогут DLP-системы, которые отслеживают действия сотрудников и формируют доказательную базу для расследования инцидентов.

DLP-системы видят взаимосвязь между положениями политики ИБ и событиями в информационном поле компании. Они оповещают о подозрительных событиях и помогают оперативно разобраться, какое именно правило было нарушено.

Информационная безопасность обеспечивает защиту конфиденциальной информации от несанкционированных действий, включая проверку, модификацию, запись, а также любое нарушение или уничтожение. Цель – обеспечить безопасность и конфиденциальность критически важных данных, таких как реквизиты счетов клиентов, финансовые данные или интеллектуальная собственность.

Последствиями инцидентов безопасности являются кража частной информации, фальсификация данных и их удаление. Атаки могут нарушить рабочие процессы и нанести ущерб репутации компании, а также имеют ощутимые затраты.

Организации должны выделять средства на обеспечение безопасности и быть готовыми к обнаружению, реагированию и проактивному предотвращению таких атак, как фишинг, вредоносное ПО, вирусы, злоумышленники-инсайдеры и программы-вымогатели.

Каковы 3 принципа информационной безопасности?

Основными принципами информационной безопасности являются конфиденциальность, целостность и доступность. Каждый элемент программы информационной безопасности должен быть предназначен для реализации одного или нескольких из этих принципов. В совокупности они называются триадой.

Меры по обеспечению конфиденциальности призваны предотвратить несанкционированное разглашение информации. Цель принципа конфиденциальности – сохранить личную информацию в тайне и обеспечить ее видимость и доступ к ней только тем лицам, которые владеют ею или нуждаются в ней для выполнения своих организационных функций.

Последовательность включает в себя защиту от несанкционированных изменений (добавлений, удалений, переделок и т.д.) данных. Принцип целостности обеспечивает точность и надежность данных и исключает их некорректное изменение, как случайное, так и злонамеренное.

Доступность – это защита способности системы делать программные системы и данные полностью доступными, когда они нужны пользователю (или в определенное время). Цель доступности – сделать технологическую инфраструктуру, приложения и данные доступными, когда они необходимы для организационного процесса или для клиентов организации.

Информационная безопасность в сравнении с кибербезопасностью

Информационная безопасность отличается от кибербезопасности как по сфере применения, так и по назначению. Эти два термина часто используются как взаимозаменяемые, однако более точно можно сказать, что кибербезопасность является подкатегорией информационной безопасности. Информационная безопасность -то широкая область, охватывающая множество направлений, таких как физическая безопасность, безопасность конечных точек, шифрование данных и сетевая безопасность. Она также тесно связана с обеспечением информационной безопасности, которая защищает информацию от таких угроз, как стихийные бедствия и сбои в работе серверов.

Кибербезопасность в первую очередь направлена на борьбу с угрозами, связанными с технологиями, а также с методами и инструментами, позволяющими предотвратить или смягчить их последствия. Другая смежная категория – безопасность данных, которая направлена на защиту информации организации от случайного или злонамеренного попадания в руки неавторизованных лиц.

Политика информационной безопасности (ПИБ) – это набор правил, которыми руководствуются сотрудники при использовании ИТ-активов. Компании могут создавать политики информационной безопасности для обеспечения соблюдения сотрудниками и другими пользователями протоколов и процедур безопасности. Политика безопасности призвана обеспечить доступ к важным системам и информации только авторизованным пользователям.

Создание эффективной политики безопасности и принятие мер по обеспечению ее соблюдения – важный шаг на пути предотвращения и снижения угроз безопасности. Для того чтобы политика была действительно эффективной, необходимо часто обновлять ее с учетом изменений в компании, новых угроз, выводов, сделанных на основе предыдущих нарушений, а также изменений в системах и средствах защиты.

Сделайте стратегию информационной безопасности практичной и разумной. Чтобы удовлетворить потребности и срочность различных подразделений организации, необходимо развернуть систему исключений с процессом утверждения, позволяющую подразделениям или отдельным лицам отступать от правил в конкретных обстоятельствах.

Основные угрозы информационной безопасности

Существуют сотни категорий угроз информационной безопасности и миллионы известных векторов угроз. Ниже мы рассмотрим некоторые из основных угроз, которые являются приоритетными для команд безопасности современных предприятий.

Незащищенные или плохо защищенные системы

Быстрое развитие технологий часто приводит к нарушению мер безопасности. В других случаях системы разрабатываются без учета требований безопасности и остаются в организации в качестве унаследованных систем. Организации должны выявлять такие плохо защищенные системы и устранять угрозу путем их защиты или исправления, вывода из эксплуатации или изоляции.

Атаки в социальных сетях

Многие люди имеют аккаунты в социальных сетях, где зачастую непреднамеренно публикуют много информации о себе. Злоумышленники могут осуществлять атаки как непосредственно через социальные сети, например, распространяя вредоносное ПО через сообщения в социальных сетях, так и косвенно, используя информацию, полученную с этих сайтов, для анализа уязвимостей пользователей и организаций, и использовать их для разработки атаки.

Социальная инженерия подразумевает рассылку злоумышленниками электронных писем и сообщений, которые вынуждают пользователей совершить действия, способные поставить под угрозу их безопасность или разгласить конфиденциальную информацию. Злоумышленники манипулируют пользователями, используя такие психологические стимулы, как любопытство, срочность или страх.

Поскольку источник сообщения социальной инженерии кажется надежным, люди с большей вероятностью выполнят его требования, например, перейдут по ссылке, которая установит на их устройство вредоносное ПО, или предоставят личную информацию, учетные данные или финансовые реквизиты.

Организации могут бороться с социальной инженерией, информируя пользователей о ее опасностях и обучая их распознавать и избегать сообщений, вызывающих подозрение. Кроме того, технологические системы могут быть использованы для блокирования социальной инженерии в самом ее источнике или для предотвращения выполнения пользователями опасных действий, таких как переход по неизвестным ссылкам или загрузка неизвестных вложений.

Вредоносное ПО на конечных устройствах

Пользователи организации работают с большим количеством разнообразных конечных устройств, включая настольные компьютеры, ноутбуки, планшеты и мобильные телефоны, многие из которых находятся в частной собственности и не контролируются организацией, и все они регулярно подключаются к Интернету.

Основной угрозой для всех этих конечных точек является вредоносное ПО, которое может передаваться различными способами, приводить к компрометации самой конечной точки, а также к повышению привилегий в других системах организации.

Традиционного антивирусного ПО недостаточно для блокирования всех современных видов вредоносного ПО, поэтому развиваются более современные подходы к защите конечных точек, такие как обнаружение и реагирование на конечные точки (EDR).

Процессы шифрования кодируют данные таким образом, что расшифровать их могут только пользователи, имеющие секретные ключи. Это очень эффективно для предотвращения потери или повреждения данных в случае потери или кражи оборудования, а также в случае компрометации организационных систем злоумышленниками.

К сожалению, этой мерой часто пренебрегают из-за ее сложности и отсутствия юридических обязательств, связанных с ее правильным применением. Организации все чаще переходят на шифрование, приобретая устройства хранения данных или используя облачные сервисы, поддерживающие шифрование, либо применяя специальные средства защиты.

Неправильная конфигурация системы безопасности

Современные организации используют огромное количество технологических платформ и инструментов, в частности, веб- приложения, базы данных, а также приложения типа "программное обеспечение как услуга" (SaaS) или "инфраструктура как услуга" (IaaS) от провайдеров.

Платформы корпоративного уровня и облачные сервисы имеют функции безопасности, но они должны быть настроены организацией. Неправильная конфигурация средств защиты, вызванная небрежностью или человеческим фактором, может привести к нарушению безопасности. Другой проблемой является "дрейф конфигурации", когда правильная конфигурация безопасности может быстро устареть и сделать систему уязвимой, не будучи известной ИТ-специалистам или сотрудникам службы безопасности.

Читайте также:  Электронная подпись для Федресурса - ЭЦП для Федресурса

Организации могут снизить вероятность неправильной конфигурации системы безопасности с помощью технологических платформ, которые осуществляют постоянный мониторинг систем, выявляют пробелы в конфигурации, предупреждают или даже автоматически устраняют проблемы конфигурации, делающие системы уязвимыми.

Активные и пассивные атаки Информационная безопасность предназначена для защиты организаций от злонамеренных атак. Существует два основных типа атак: активные и пассивные. Активные атаки считаются более сложными для предотвращения, поэтому основное внимание уделяется их обнаружению, смягчению последствий и восстановлению после них. Пассивные атаки легче предотвратить с помощью надежных мер безопасности.

Активная атака предполагает перехват сообщения и его изменение с целью злоумышленного воздействия. Существует три распространенных варианта активных атак:

• Прерывание – злоумышленник прерывает исходное сообщение и создает новые, вредоносные сообщения, выдавая себя за одну из общающихся сторон. • Модификация – злоумышленник использует существующие сообщения и либо переигрывает их, чтобы обмануть одну из общающихся сторон, либо модифицирует их, чтобы получить преимущество. • Фабрикация – создание поддельных, или синтетических, сообщений, обычно с целью достижения отказа в обслуживании (DoS). Это препятствует доступу пользователей к системам и выполнению обычных операций.

При пассивной атаке злоумышленник осуществляет мониторинг, следит за системой и незаконно копирует информацию, не изменяя ее. Затем они используют эту информацию для нарушения работы сетей или компрометации целевых систем.

Злоумышленники не вносят никаких изменений в коммуникации или целевые системы. Это затрудняет их обнаружение. Однако шифрование может помочь предотвратить пассивные атаки, поскольку оно затуманивает данные, затрудняя их использование злоумышленниками.

Активные атаки Пассивные атаки

Модифицировать сообщения, коммуникации или данные Не вносите никаких измен данные или системы

Представляет угрозу доступности и целостности конфиденциальных данных Представляет угрозу для конфиденциальности данных

Может привести к повреждению организационных систем Не наносит прямого ущерб организационным система

Жертвы, как правило, знают о нападении Жертвы, как правило, не з нападении

Основное внимание в области безопасности уделяется обнаружению и устранению последствий Основной упор в обеспечении безопасности делается на профилактику

Сферы, в которых особенно важна надежность ИБ

Важнее всего обеспечивать безопасность в сферах, где находятся деньги и личные данные людей. Эти данные могут использовать злоумышленники, а компания понесет катастрофические убытки. Кроме того, на плечи организации ляжет ответственность за нарушение закона – за то, что она не смогла обеспечить защиту данных. Рассмотрим, какие отрасли являются наиболее требовательными к вопросам безопасности.

Банки и финансовые организации должны защищать данные и от взломов, и от мошенников. Поэтому стандарты информационной безопасности здесь очень высокие. Например, в мобильном приложении банка чаще всего нужно проходить строгую аутентификацию.

Во внутренних системах госструктур могут храниться данные, относящиеся к гостайне. А в государственных сервисах содержатся персональные данные жителей.

Например, онлайн-сервисы с большим числом зарегистрированных юзеров. Таким компаниям нужно охранять персданные пользователей.

Нефтегазовые, оборонные предприятия должны тщательно оберегать свои коммерческие тайны и автоматические системы. Взлом последних может грозить катастрофическими убытками.

От работы серверного и сетевого оборудования в этих центрах зависит работа огромного числа компаний, поэтому уровень ИБ здесь очень высокий.

Сервисы вроде маркетплейсов и онлайн-касс работают с платежами клиентов, а значит – с их данными. ИБ здесь обеспечивает защиту информации и денег пользователей.

Обеспечение информационной безопасности организации

Больше по теме

Угрозы информационной безопасности разделяют на внутренние и внешние.

Виды конфиденциальной информации компании

Для начала обозначим отличия конфиденциальной информации и общедоступной. Доступ к первой имеет только определенный круг пользователей, вторая же доступна любому человеку. Ошибочно полагать, что в информационной защите нуждаются только конфиденциальные данные: общедоступная также должна оставаться целостной и доступной.

Конфиденциальная информация в любой компании – та, что скрыта от посторонних глаз. Конечно, в зависимости от деятельности в каждой компании будет свой «набор» таких данных. Но мы рассмотрим основные виды конфиденциальной информации, чаще всего имеющиеся в распоряжении компании. Именно от «набора» сведений зависит политика информационной безопасности любой организации и степень защиты.

Персональные данные

Здесь содержатся сведения о человеке: его фамилия, имя и отчество, паспортные данные, телефон, информация о здоровье и другие. Например, это могут быть данные сотрудников или клиентов. Обязанность по защите персональных данных прописана в 152-ФЗ. Тем, кто работает с такой информацией, запрещено передавать ее третьим лицам.

Коммерческая тайна

Это внутренняя информация о работе организации. Например, данные по выручке, бизнес-планы, сведения об объемах производства. В таких компаниях при найме новых сотрудников уделяют особое внимание их добросовестности – утрата данных может привести к потере прибыли.

Что считается коммерческой тайной, компания определяет сама. Некоторые данные под это понятие не могут попасть по закону – например, имена учредителей или условия труда.

Профессиональная тайна

Имеются в виду тайны, которые касаются профессиональной деятельности: врачебная, адвокатская.

Служебная тайна

Такие тайны хранят службы, обычно – государственные. Например, налоговая инспекция или ЗАГС. Предоставляют данные, составляющие служебную тайну, обычно только по официальному запросу, например, от СМИ или органов правопорядка.

Государственная тайна

Эти данные имеют самый высокий уровень конфиденциальности. Например, это могут быть данные разведки, внешней политики, военные сведения. Меры обеспечения информационной безопасности здесь применяются самые серьезные.

Обеспечение информационной безопасности организации

Принципы информационной безопасности

Стандарты информационной безопасности подразумевают сохранение конфиденциальности, целостности и доступности данных. Рассмотрим каждый из принципов подробнее.

Конфиденциальность

Этот принцип означает, что информация должна быть доступна пользователям, которые имеют на это право. При этом доступ для тех, кому это запрещено, должен быть закрыт. Степень ограничений зависит от контекста. Например, в редакции новостного агентства система публикации материалов должна быть доступна только авторам и редакторам, написание комментариев – только зарегистрированным пользователям. Взлом такой системы нарушит принцип – публиковать новости смогут и нарушители.

Доступность

Этот принцип заключается в возможности доступа к информации в любое время и с любого устройства. То есть должны быть обеспечены надежность и отказоустойчивость системы. Могут быть использованы дублирующие каналы связи и резервные копии данных. Например, каталог товаров на маркетплейсе должен быть доступен любому пользователю, даже без регистрации в сервисе. Во время хакерских атак этот принцип не будет соблюден – с высокой степенью вероятности, сайт «упадет», и вместо каталога на экране появится ошибка.

Целостность

Принцип целостности гарантирует, что информация остается неповрежденной, что ее не меняли без согласия владельца. Например, медицинскому центру нужно обеспечить целостность данных медкарт пациентов, изменения в которые могут вносить только врачи и администраторы. Если целостность будет нарушена, то кто угодно сможет записывать в карты любую информацию. Из-за этого пациентам могут поставить неправильный диагноз и назначить неправильное лечение. Еще один популярный пример – взлом аккаунта в соцсети для рассылки спама.

Обеспечение информационной безопасности организации

Кто обеспечивает ИБ?

Большинство мероприятий по информационной безопасности на уровне государства лежит на плечах Министерства цифрового развития, связи и массовых коммуникаций. Компании же сами определяют, какое подразделение возьмет на себя обязательства. Чаще всего в обеспечении ИБ задействованы IT-отделы, кадровики, отдел экономической безопасности и другие.

В 2022 году в России персональную ответственность за ИБ возложили на первые лица компаний. Это коснулось органов власти, госфондов, госкорпораций, стратегических предприятий и организаций, которые встроены в критическую информационную инфраструктуру страны.

Оцените статью
ЭЦП Эксперт
Добавить комментарий