Общие сведения об информационной безопасности

Для того чтобы деятельность компании продолжалась долго и прибыльно — внутри нее должен выполняться комплекс мероприятий, обеспечивающих безопасность работы сотрудников и бизнес-схем.

Всем широко известны требования пожарной безопасности. Их несоблюдение может привести не только к исчезновению компании из нашей реальности вместе с её помещением (то, что называется — «превратилась в дым»), но и к самому страшному — к гибели людей. Чтобы этого не было, в компанию периодически заглядывают инспекторы по пожарной безопасности, с целью проведения проверки.

Не менее важным является и соблюдение требований электробезопасности. Но тут всё существенно проще: ещё в детстве нам родители объяснили, что совать пальцы и предметы в розетки нельзя — это обычно плохо заканчивается, а в сознательном возрасте нас научили, что «жучки», оголённые провода и тому подобные «игры с электричеством» могут привести к смертельному исходу.

В последнее время, когда вовсю заговорили о «цифровизации жизни», «переводе экономики на цифровые рельсы» и даже о введении в недалёком «электронно-цифровом государстве» — в полный рост стал вопрос об информационной безопасности организаций, как государственных, так и иных.

Что такое «информационная безопасность компании»?

В любой (подчеркнём — АБСОЛЮТНО ЛЮБОЙ: государственной, акционерной, частной) компании собирается и обрабатывается информация: текстовая, графическая, статистическая, персональная и так далее. Сбор и обработка информации всегда затрагивает чьи-то права, налагает определённые обязанности, поэтому работа с некоторыми видами информации регламентируется федеральными законами: работа с персональными данными — законом № 152-ФЗ, работа с информацией, составляющей государственную тайну — Законом Российской Федерации № 5485-I «О государственной тайне», и т. д. и т. п. Обеспечить сохранность этой информации, а также корректность её обработки — и есть задача информационной безопасности.

В докомпьютерную эпоху технически обеспечить информационную безопасность организации было гораздо проще, чем сейчас:

1. большинство организаций, владеющих информацией, были государственными, с соответствующими возможностями;

2. достаточно было поставить под полный контроль все устройства размножения документов («старики», работавшие в советское время, ещё помнят, как для снятия ксерокопии с нужной статьи в научном журнале приходилось идти в «секретный отдел» и получать разрешение на использование «ксерокса». А в некоторых организациях даже листы копировальной бумаги для пишущих машинок нумеровались, использовались всего один раз и уничтожались с составлением акта об этом!) и обеспечить тотальный контроль телефонных линий в организации. Но даже в это время утечек было полно — многочисленные истории промышленного и обычного шпионажа, к сожалению, успешного, это подтверждают.

В наступившую сейчас эпоху глобального использования компьютеров, как единой сети задачи информационной безопасности стали сложнее, глубже и шире, нежели даже всего лет двадцать назад. Существующие средства коммуникаций (электронная почта, мессенджеры, чаты) в сочетании с имеющейся практически в каждом мобильном телефоне фотовидеокамерой с высоким разрешением дают неограниченный простор для распространения и передачи на расстояния информации, которая не должна покидать стены предприятия.

Кроме того, огромное распространение получили различного рода вредоносные программы (вирусы, трояны, «шифровальщики»), ворующие или повреждающие информацию. Поэтому комплексная информационная безопасность предприятия должна решать следующие задачи:

1. Обеспечение целостности информации. Под этим требованием понимают гарантию полноты, непротиворечивости и достоверности информации;

2. Обеспечение доступности и недоступности информации. Под этим требованием понимается полная доступность для обработчика необходимой для работы информации, и абсолютную недоступность не нужной для работы информации. С этой же целью вводится разграничение информации из открытого доступа и считающейся коммерческой тайной, конфиденциальной информацией, служебной тайной. Отдельно квалифицируется информация, представляющая собой государственную тайну: её характеристики, сбор и обработка определяются, как уже говорилось выше, отдельным федеральным законом;

3. Обеспечение недопустимости утечек информации. Перекрытие возможных каналов передачи информации за пределы контролируемых предприятием информационных сред, запрет доступа для неавторизованных внутренних и внешних пользователей к любой информации внутри предприятия, за исключением информации, определённой как находящейся в открытом доступе;

4. Обеспечение недопустимости угроз повреждения и утраты информации. Под этим поимают, как защиту непосредственно от угроз целенаправленного уничтожения или повреждения информации, так и защиту от случайных её потерь (например, от внезапного непредсказуемого отключения питания).

Если все четыре задачи решены, режим соблюдения информационной выполняется. Это достигается комплексом организационно-технических мер: изданием внутренних документов предприятия, регламентирующих доступ к информации, внедрением специализированного программного обеспечения: от систем контроля работы пользователей с элементами DLP-систем, таких, например, как StaffCop Enterprise, до узкоспециализированных DLP-систем типа DeviceLock. Не стоит забывать и о «традиционных» системах ограничения прав пользователей, встроенных в операционные системы Windows (доменная и не-доменная авторизации) и Linux (например, система прав NFS).

Несмотря на применяемые средства защиты от внешних угроз — хакерских проникновений и взломов, наиболее уязвимым звеном в информационной безопасности является человек — сотрудник предприятия, допущенный к обработке конфиденциальной информации. Он по злому умыслу, незнанию или просто по разгильдяйству становится виновником утечки информации, приводящей к полному уходу предприятия с рынка: стоимость потери коммерческой репутации предприятия (например, репутации банка из-за утечки конфиденциальных данных клиентов — номеров кредитных карт, историй платежей) трудно переоценить, а в случае утечки информации, представляющей государственную тайну, к работе приступают соответствующие «компетентные органы».

Угрозы ИБ растут лавинообразно за развитием технологий. Критерии, которые свидетельствуют о высоком технологическом уровне предприятия способствуют увеличению количества угроз ИБ. Новый сервис порождает новые уязвимости, нельзя забывать, что даже в давно используемых сервисах находятся уязвимости. Среди хакеров широко распространено справедливое мнение: «Неуязвимых сервисов не существует, есть сервисы, уязвимости которых ещё не обнаружены».

ИБ не может быть обеспечена «раз и навсегда», принятым руководством предприятия комплексом регламентов и установкой набора ПО. Процесс обеспечения информационной безопасности предприятия динамический, быстро изменяющийся и развивающийся. Говоря об ИБ, как о системе (комплексе) мер, то выделяются три фактора, определяющих развитие комплекса информационной безопасности:
— теоретический фактор (государственные законодательные акты, регламентирующие информационную безопасность, научно-технические и научные разработки в области информационных технологий и смежных наук, например, как психология, социальный инжиниринг);
— внутреннее регламентирование (внутренние регламенты предприятия, определяющие стратегию и тактику решения задач информационной безопасности);
— технические и программные решения, позволяющие обеспечить решение задач информационной безопасности.

Упор следует делать на второй и третий факторы, не забывая, что они должны соответствовать первому.

Все угрозы информационной безопасности подразделяются на внешние и внутренние. Бытует мнение, что, защитившись от внешних угроз (хакерских атак и взломов), задачи информационной безопасности решены. Это не так: многочисленные инциденты и опыт показывают, что опаснее внутренние угрозы. Внешние угозы:

— хакерские атаки, нацеленные либо на кражу/повреждение/удаление информации, содержащейся во внутренней сети предприятия, либо на фактическое отключение компании от сети Интернет (DoS и DDos-атаки). Для защиты от внешних угроз используются специальные программно-аппаратные комплексы в составе маршрутизаторов. Грамотная настройка шлюзов и маршрутизаторов, а также обязательное периодическое обновление программного обеспечения и баз данных на шлюзах и маршрутизаторах позволяет минимизировать внешние угрозы такого типа. Любая хакерская атака будет отбита с блокировкой соединений с атакующих адресов;
— атаки вирусов и троянских программ, рассылаемых массовой почтовой рассылкой, а также распространяющихся с фейковых и фишинговых сайтов. Данная угроза должна быть классифицирована как внешняя, так как не создаётся внутри компании, а приходит извне. Но активируется она пользователями (сотрудник компании САМ должен открыть вредоносное письмо или кликнуть по вредоносной ссылке), поэтому можно считать, что эта угроза находится на стыке внешних и внутренних угроз, обладая всеми чертами. Угрозы минимизируются выбором эффективного антивируса, который проверяет письма и почтовые вложения до их получения пользователем и задерживает их, не пропуская в почтовый ящик пользователя. Фейковые и фишинговые ссылки можно блокировать путём включения систем эвристического анализа на шлюзах/маршрутизаторах. Нельзя забывать регулярно обновлять базы данных антивирусных приложений, и базы данных фейковых и фишинговых сайтов.

Внутренние угрозы — это угрозы, которые связаны с сотрудниками организации, т. е. человеческим фактором. Можно выделить следующие основные виды внутренних угроз:

— намеренные или ненамеренные действия сотрудника предприятия, которые привели к повреждению/удалению информации. В случае нормальной работы отдела информационных технологий и информационной безопасности такие инциденты не должны приводить к фатальным последствиям — информация просто восстанавливается из резервной копии;
— намеренные или ненамеренные действия сотрудника предприятия, которые привели к утечке конфиденциальной информации за пределы предприятия. Это серьёзный инцидент безопасности, который можно предотвратить, если система информационной безопасности на предприятии выстроена в соответствии с лучшими практиками и рекомендациями по ИБ;
— физическое разрушение (намеренное или ненамеренное) систем безопасности или информационных систем сотрудниками предприятия. Данный инцидент безопасности встречается редко, и приводит к серьёзному материальному ущербу — здесь уже речь идёт о нормах уголовного кодекса, а это — сфера деятельности правоохранительных органов. Единственный способ избежать этой угрозы — взаимодействие со службой физической безопасности и охраны предприятия, т. е. внедрение системы контроля управления доступом в помещения (СКУД) и системы охранного телевидения (для краткости обычно называемой системой видеонаблюдения);
— действия сотрудника (или группы сотрудников), совершаемые с использованием социальной инженерии и психологических манипуляций. Особенность такого инцидента в том, что очень часто сотрудники даже не предполагают, что ими манипулируют, а инициатор действий может находиться вне пределов предприятия, иногда даже в другой стране. Предотвращение инцидентов этого вида возможно только одним способом — анализом коммуникаций сотрудников, что делается с помощью специализированного программного обеспечения.

Для предупреждения внутренних угроз используются различные организационные и технические средства — от введения внутренних регламентов по обработке информации и доступу к данным до использования при доступе к информационным системам вместо обычных логинов и паролей пользователя электронных ключей (токенов) и биометрических систем авторизации. Всё это тесно интегрируется с системами видеонаблюдения и СКУД. Последние две системы, как уже говорилось выше, обычно находятся в ведении службы физической безопасности и охраны предприятий.

Особую роль в предупреждении внутренних угроз играют программные комплексы, обеспечивающие контроль действий пользователей, а также системы предотвращения утечек информации (DLP-системы). Так, программный комплекс StaffCop способен контролировать действия пользователей, которые могут привести как к повреждению, так и к утечке информации. Методом, предотвращающим манипулирование извне как отдельными сотрудниками, так и их группами, является технология анализа связей сотрудников на основе построения графов переписки, которая позволяет определить, используются ли извне методы социальной инженерии. Модули контроля интернет-трафика StaffCop позволяют анализировать сайты, на которые заходят сотрудники, делить их на продуктивные, нейтральные, непродуктивные и опасные — посещения которых могут привести к инцидентам. Опасные сайты могут быть заблокированы для пользователей индивидуально и для групп пользователей. Это — посильная помощь продукта StaffCop шлюзам и маршрутизаторам, программное обеспечение которых имеет сходный функционал. Любое посещение сотрудником сайта отмечается в журнале событий StaffCop.

DLP-системы предназначены для предотвращения утечек информации. Некоторые элементы DLP-систем имеются и в StaffCop — например, модуль контроля USB-устройств блокирует запись информации на внешние носители, подключаемые к портам USB, а модуль контроля печати определяет количество напечатанных страниц и сохраняет документы, которые пользователи отправляют на печать. Модуль поиска слов и словосочетаний в переписке сотрудников распознает ведение переговоров по критичным для безопасности вопросам (неодобрительные высказывания о руководстве или коллегах по работе, передача конфиденциальной информации, коммерческий подкуп и т. д.) Анализируются отправляемые пользователями файлы, общение в интернет-мессенджерах и т. д.

Нельзя забывать об организационной стороне борьбы с внутренними угрозами информационной безопасности. Введение внутренних регламентов по работе с информацией, её носителями и доведение их под роспись до сотрудников — обязательная часть построения полноценной комплексной системы информационной безопасности. Не стоит недооценивать периодическое обучение сотрудников по вопросам информационной безопасности, «кто предупреждён — тот вооружён»: желательно, чтобы обучение было не разовым, а регулярным.

На предприятии, где информационная безопасность обеспечивается комплексом организационных и технических мероприятий, любой инцидент- это не рядовое событие, а аномалия. Программный комплекс StaffCop содержит в себе модуль детектора аномалий: если поведение какого-либо сотрудника становится вдруг отличным от повседневной деятельности, StaffCop сообщит об этом администратору ИБ, который более внимательно присмотрится к деятельности пользователя.

StaffCop Enterprise

Допустим, повседневная работа сотрудника предполагает распечатку 1–2 страниц в день, резервное копирование файлов на флэшку он не использует — его устраивает имеющаяся система резервного копирования рабочих папок и файлов. И вот у этого сотрудника программный комплекс StaffCop диагностирует распечатку более 100 страниц каждый день в течение недели, а объём файлов, скопированных на внешнее устройство, приближается к терабайту. StaffCop проинформирует администратора ИБ, на основании чего администратор может предположить, что сотрудник готовится уволиться и копирует информацию, до которой позволяют «достать» его права доступа. Это инцидент ИБ. С другой стороны, это вполне может быть выполнение поручения руководства — подготовить законченный проект в бумажном и электронном виде для передачи заказчику на утверждение. Программный комплекс StaffCop соберёт всю информацию, на основании которой после уточнения правомерности действий сотрудника у его руководства можно сделать вывод, действительно ли имел место инцидент.

Необходимо поддержание системы информационной безопасности в актуальном виде — без регулярного анализа имеющихся на предприятии регламентов информационной безопасности, инструкций пользователям, инструкций по поведению сотрудников в случае возникновения инцидентов информационной безопасности и прочей документации не обойтись: насколько они соответствуют действующему законодательству, сложившейся ситуации в информационной безопасности, лучшим практикам и рекомендациям в области информационной безопасности и т. д. В случае обнаружения несоответствий или появления новых угроз документацию следует редактировать и оповещать об этом сотрудников, которых это касается.

Обязательно следует выполнять обновление программного обеспечения шлюзов/маршрутизаторов, чёрных списков фейковых и фишинговых сайтов, а также сигнатур антивирусных программ. Если программное обеспечение шлюза/маршрутизатора перестало соответствовать критериям информационной безопасности (например, устройство снято с поддержки, а программное обеспечение не обновляется) — следует заменить шлюз/маршрутизатор на новый, потому что защита от вновь возникающих угроз снятыми с производства устройствами без обновления прошивок не гарантируется. То же самое можно сказать и о программном обеспечении, контролирующем работу пользователей и DLP-систем: следует отказываться от программного обеспечения, если разработчик его не обновляет, и переходить на системы, которые отслеживают вновь появляющиеся угрозы. Обойтись же без технических средств комплекса информационной безопасности невозможно в принципе: только комплексная защита, состоящая из системы внутренней документации информационной безопасности и комплекса технических средств, позволит предприятию эффективно защищаться от любых угроз и минимизировать количество инцидентов информационной безопасности.