Общие сведения об информационной безопасности



Информационная безопасность организации — состояние, при котором информация, права личности и права организации, связанные с информацией, находятся под защитой. Основные задачи информационной безопасности — обеспечение целостности (полноты и подлинности, достоверности), доступности, отказоустойчивости для членов организации и пользователей информационной системы, а также конфиденциальности (доступности только для зарегистрированных, авторизованных, разрешенных пользователей) информационных ресурсов. Информационная безопасность считается соблюденной, если отсутствуют утечка информации по электронным каналам, доступ к данным со стороны несанкционированных пользователей, информационные ресурсы защищены от непреднамеренных воздействий, утечек и повреждений, а также если информация и информационные ресурсы не подвергаются чрезмерным угрозам и рискам. Такое состояние информационной системы достигается совокупностью определенных технических и организационных мер, соответствующих уровню потенциальных угроз. Осложняет процесс тот факт, что очень часто доступность и целостность находятся в противоречии, поскольку самая большая угроза информационной безопасности — это не хакеры и не вредоносный код, а именно люди, которые допущены к внутренней информации.

Угрозы информационной безопасности развиваются вместе с развитием технологий. Факторы, которые свидетельствуют о высокой культуре (такие, как прозрачность, информационная обеспеченность, техническое развитие, усиление законодательных требований к безопасности), парадоксальным образом способствуют росту количества угроз. Поэтому информационную безопасность нельзя обеспечить раз и навсегда, это эволюционный процесс, развитие которого должно идти вровень с развитием угроз, а в идеале опережать его. Вместе с тем вопрос информационной безопасности нельзя решить, купив некий технологический продукт. Это должна быть встроенная функция, которая пронизывает все уровни, функции и подразделения организации.

Если подходить к информационной безопасности системно, то можно выделить несколько направлений развития:

  1. Теоретическая основа: законодательные нормы и научные разработки в области информационных технологий, психологии и других наук, на которых базируется ИБ;
  2. Стратегия и тактика информационной безопасности: подразделения и сотрудники, отвечающие за ИБ в организации, их функции и возможности;
  3. Регламент, режим, организационные документы, политика информационной безопасности;
  4. Технические и программные решения, помогающие обеспечить ИБ.

Для того чтобы построить систему обеспечения информационной безопасности (СОИБ) в организации, должны постоянно реализовываться следующие функции:

Критерий успешной работы СОИБ — успешное отражение и предотвращение угроз информационной безопасности. Следует отметить, что угрозой считается нарушение ИБ, которое может причинить финансовый, репутационный или иной ущерб организации.

Угрозы информационной безопасности подразделяются на внешние и внутренние. Внешние угрозы — это разнообразные хакерские атаки: использование уязвимостей программных продуктов и заказных разработок, вредоносное ПО, которое проникает в организацию с новыми гаджетами. Внутренние угрозы — те, что связаны с сотрудниками организации: организация утечки конфиденциальной информации, повреждение данных в корпоративной информационной системе, нанесение физического вреда инфраструктуре, занесение вредоносного ПО, непредумышленные действия, которые могут повлечь за собой угрозы. Между внешними и внутренними угрозами находятся преступления, совершаемые с использованием социальной инженерии. Часто их инициаторами и руководителями являются не члены организации, но совершают их руками сотрудников и пользователей, которые не всегда понимают, что они делают. Часто хищения имеют вид неосторожного обращения с данными.

Для обеспечения информационной безопасности используются разнообразные технические и программные средства. Наиболее очевидные средства защиты информации — это разнообразные системы и средства аутентификации (пароли, ключи доступа, сертификаты, биометрические датчики). Они объединяются с системами управления доступом (мандатными, избирательными, на основе ролей) и реализуется с использованием оборудования, контролирующего доступ в помещение. Дополняет их ведение журнала посещений и действий. Также действия пользователей фиксируют и анализируют системы информационной безопасности и управления событиями (SIEM) и системы предотвращения утечек информации (DLP). Более глубокий и специальный технический уровень составляют CASE-системы (системы анализа и моделирования информационных потоков), анализаторы протоколов, межсетевые экраны, которые защищают техническую инфраструктуру. Разнообразные антивирусные программы и криптографические средства (шифрование, цифровая подпись) действуют на уровне транзакций. Системы резервного копирования и бесперебойного питания помогают сохранить технические средства при сетевых повреждениях. Отдельные классы технических систем информационной безопасности составляют инструментальные средства анализа систем защиты и охранные средства, предотвращающие кражи оборудования и взлом корпусов.

Сотрудники компании — одна из самых больших уязвимостей. Если в отношении внешних угроз 80% защиты — это плохой результат, так как защита может быть только стопроцентная, то во внутренней информационной безопасности те же 80% — это очень хороший результат, а 100% защиты обеспечить невозможно. Поэтому по отношению к внутренней безопасности можно говорить только о минимизации рисков. Это происходит потому, что как только люди получают доступ к информации, они начинают ее использовать для себя, и разница только в том, делают они это с нанесением вреда или ущерба компании или без него. Задача информационной безопасности во многом сводится к тому, чтобы анализировать информационные потоки, выделять из них потенциально опасные и пресекать их. Для этого используются системы SIEM и DLP.

В современной ситуации большая часть информации создается, хранится, передается в электронном виде, соответственно, она оставляет след в памяти цифрового оборудования. Системы SIEM и DLP контролируют прохождение информации, на основе политик безопасности дифференцируют информационные потоки на вредные, полезные и нейтральные, блокируют вредные или сигнализируют о них.

Например, система StaffCop Enterprise фиксирует все события системы и информационные потоки на компьютерах сотрудников. В системе осуществляется сквозной поиск по событиям, файлам и сообщениям по словам, ключевым фразам и часто встречающимся регулярным выражениям с учетом морфологии. Кроме того, контролируется поведение пользователей в интернете: посещение сайтов, отправка или загрузка файлов, общение в месенджерах. В системе реализован функционал DLP: блокируются информационные каналы и действия, запрещенные политикой информационной безопасности.

Для компании, в которой информационная безопасность реализована системно, где сотрудники оповещены о правилах безопасной работы с документами и регулярно проходят обучение, где имеются все регламентирующие документы и сотрудники ознакомлены с ними под подпись, событие информационной безопасности — это аномалия, а не правило. Соответственно, значительная доля работы по обеспечению внутренней безопасности сводится к определению и анализу аномалий. В системе StaffCop имеется специальный модуль — детектор аномалий, который анализирует поведение пользователей и сигнализирует, если оно заметно меняется. Есть рутина, которая для каждого сотрудника своя. Например, он в день распечатывает, отправляет по почте и создает некоторое количество документов, работает в определенных приложениях, посещает какие-то сайты: некоторые по работе, другие — в минуты отдыха. Если же система фиксирует многократное превышение количества документов, которые сотрудник копирует или отправляет на печать, следует проверить, не получил ли он соответствующее задание. Если нет, то, скорее всего, имеет место инцидент: например, человек перед увольнением копирует всю информацию, до которой сможет дотянуться. Система StaffCop даст сигнал о необычном поведении пользователя и позволит собрать всю информацию, на основании которой можно сделать вывод о том, имел ли место инцидент.

Процесс поддержания информационной безопасности — комплекс сложных действий, и технические средства — это инструменты, которые позволяют автоматизировать часть процессов, поскольку окончательные выводы о том, что произошло, предстоит делать руководителям и офицерам ИБ. Но в настоящее время без систем SIEM и DLP обойтись невозможно, поскольку без них скорость реакции на инциденты будет низкой, да и абсолютное большинство инцидентов останется необнаруженным.

Наверх ↑