x
Присоединяйся к нам
04/05/2016


Информационная безопасность. Как надежно защитить корпоративные данные

Информационная безопасность. Как надежно защитить корпоративные данные

Комментарии   |   Содержание выпуска



Способы хранения и защиты информации, как, собственно, и ее добычи, постоянно эволюционируют. Это связано как с техническим прогрессом, так и с тем, что информация как таковая из года в год приобретает стратегическое значение в бизнесе. Существует ряд компаний, специализирующихся на предоставлении услуг по информационной безопасности, но даже специалисты не способны на 100% защитить от утечек вашу корпоративную сеть или базу данных.

Владислав ГОЛИК

Для начала...

При создании системы информационной безопасности (ИБ) каждому руководителю предприятия следует уяснить, что она должна соответствовать потребностям бизнеса, а не существовать обособленно. Андрей Сорокин, ведущий инженер по вопросам безопасности информации Daac System Integrator, рекомендует не изобретать велосипед, поскольку существует ряд опробованных моделей построения систем ИБ, доказавших свою эффективность. «При оценке рисков, определении приоритетов, организации управления системой ИБ можно обратиться, например, к международному стандарту по ИБ ISO 27001. Внедрять его полностью большинству организаций наверняка нецелесообразно, однако, проанализировав этот базовый стандарт, можно воспользоваться теми предписаниями, которые касаются непосредственно вашей организации, и позаимствовать его логику, концепцию», говорит он, отмечая, что такой подход существенно повысит эффективность системы ИБ.

Безусловно, система ИБ должна быть глубоко эшелонированной, способной блокировать или замедлить атаки на том или ином уровне, давать возможность администратору оперативно пресечь попытку ее взлома или кражи сведений изнутри.

Для организаций, работающих с небольшими объемами данных, которые не представляют особой коммерческой ценности, вполне будет достаточно применять несколько рубежей защиты:

  • всегда включенный межсетевой экран (файрвол, брэндмауэр) первым встретит непрошенных гостей;
  • системы обнаружения и предотвращения вторжений (IDS, IPS) дадут возможность уберечь информацию, если файрвол или брэндмауэр пропустили атаку;
  • нужна качественная антивирусная защита, поскольку вредоносные программы по сбору информации становятся все изощренней. Но Андрей Сорокин уточняет: «Сначала появляется вирус, а потом таблетка, поэтому не обновленный вовремя антивирус становится бесполезным»;
  • для предприятий, работающих с большими объемами электронной почты, фильтрация спама (зачастую носителя вирусов) не менее важна, чем хороший антивирус;
  • применение так называемых «белых списков» — запуск только разрешенных (протестированных на безопасность) приложений. Егор Кушмаунса, исполнительный директор Progilest, эксперт в области Agile-тестирования* и ИБ, говорит, что эффективное ведение бизнеса сегодня немыслимо без веб-приложений, но они очень уязвимы из-за того, что при разработке веб-ресурсов в приоритете зачастую не безопасность, а дизайнерское оформление и удобство пользования;
  • поддержка программного обеспечения (ПО) в актуальном состоянии. «Дело в том, — объясняет Андрей Сорокин, — что обновления, помимо прочего, ликвидируют обнаруженные разработчиками уязвимости в ПО, а злоумышленники, зная о них, в первую очередь пытаются эксплуатировать их в своих интересах, и все то время, пока обновление не установлено, ваша система ИБ будет крайне уязвима»;
  • физическая безопасность носителей информации, серверов и т. д.

Прокурор, начальник отдела информационных технологий и расследований в области информатики Генеральной прокуратуры РМ Вячеслав Салтан говорит: «Небольшие предприятия часто не заботятся об ИБ, считая, что они не располагают информацией, способной заинтересовать злоумышленников, тем самым нарушают закон, в частности, ст. 261 УК РМ «Нарушение правил безопасности информационных систем». Все обязаны охранять информацию как минимум о личных данных сотрудников».

Если же предприятие работает с огромными объемами данных, важность которых трудно переоценить, помимо вышеуказанных средств защиты необходимо задействовать дополнительные. В независимости от того, какие системы используются для хранения данных (на дисковых серверах локальных сетей, на облачных сервисах или гибридных системах) можно выделить следующие уровни обеспечения безопасности информации:

1. Административный

Это по сути основа, на которой выстраивается вся информационная работа компании. Собственный IT-отдел или специализированная фирма, нанятая для создания системы и обеспечения ее безопасности, начинают с подготовки пакета регламентов по работе с информацией. Здесь указывают порядок предоставления доступа к информации, правила работы с базами данных, разграничивают права пользователей. Зачастую к наборам данных предъявляются разные требования: по срокам хранения, сценариям доступа, степени защищенности. Какая-то информация нужна только в течение дня, другая — в течение 3 лет. К одним данным доступ есть у всех сотрудников, к другим — лишь у одного-двух человек. Все это должно быть жестко регламентировано.

2. Организационный

«Часто фирмы стремятся построить китайскую стену — нагромождение каких-то сложных систем безопасности, создающих иллюзию безопасности, при этом абсолютно не заботясь о защитниках этой стены — персонале, — говорит Андрей Сорокин. — Ведь какой в ней смысл, если кто-то откроет ворота изнутри? Слабейшее звено в любой системе безопасности — человек. Грамотность сотрудников в области ИБ — важнейший элемент в общей стратегии. С людьми следует говорить, объяснять, какие есть уязвимости и угрозы, обучать, как правильно реагировать на инциденты». Специалисты по ИБ должны отслеживать, насколько грамотно выполняются их рекомендации, исполняется регламент.

3. Программно-аппаратный

Для предотвращения утечек информации «благодаря корпоративным сотрудникам» (инсайдерам) создают специальные программно-аппаратные комплексы. Здесь можно выделить несколько основных ступеней защиты:

  • для исключения возможности передачи паролей третьим лицам задействуют систему двуфакторной аутентификации: для доступа к компьютеру обязательно используется комбинация пароля и аппаратного ключа (e-token);
  • простейший способ воровства информации — копирование ее на внешний носитель, например, флэш-карту. Для предотвращения этого устанавливают защиту портов ввода/вывода, и все события, связанные с копированием данных, подлежат логированию;
  • логирование действий сотрудников, имеющих доступ к базам данных, это запись всех производимых операций на рабочем месте. Чаще всего эта система очень не нравится работникам, поскольку позволяет получать статистические данные об их работе в программах, на основании чего работодатели делают выводы об эффективности использования рабочего времени;
  • DLP (Data Loss Prevention) еще одна полезная (но не любимая сотрудниками) система предотвращения утечек. Она отслеживает всю информацию, уходящую за пределы компании по электронной почте, Skype и т. д. Система способна выявлять передачу конфиденциальной информации, блокировать задействованные каналы и сообщать администратору о возможной попытке хищения.

«Однако все эти системы тоже могут оказаться бесполезными, если не тестировать их на информационную безопасность, — отмечает Егор Кушмаунса. Чтобы вовремя выявить уязвимости, оценить, являются ли они угрозой, следует прибегать к аудиту системы ИБ. Тестирование на устойчивость к комбинированным методам и техникам взлома и устранение уязвимостей позволит исключить атаки на сервер, получение злоумышленником полных административных прав со всеми вытекающими последствиями. Проведение аудита существующей системы ИБ, тестирование на проникновение (санкционированная попытка обхода, взлома комплекса средств защиты заказчика) с точки зрения атакующего — один из самых передовых методов оптимизации информационных СБ сегодня».

Защита информации от физической потери

Физическая потеря данных (физическое уничтожение серверов, их повреждение или изъятие), наверное, самая опасная угроза безопасности, поскольку может привести к утрате огромных объемов конфиденциальной, стратегической информации, приостановке или блокированию деятельности предприятия, к огромному финансовому ущербу. В таких случаях требуется очень много времени для восстановления, а часть информации может быть утеряна навсегда.

Но риски можно свести к минимуму:

  • информацию рекомендуется хранить в специализированных дата-центрах, гарантирующих физическую безопасность и неприкосновенность информации, поскольку они построены в соответствии с требованиями безопасности: пожарной, электроснабжения и т. д. Для ее максимального обеспечения от физической потери часто используют геораспределенную модель, подразумевающую хранение информации в нескольких дата-центрах, размещенных в разных государствах;
  • если специфика компании предполагает хранение части информации на рабочих компьютерах, прибегают к криптографической защите данных, т. е. к шифрованию. Это обеспечивает сохранность информации при хищении или изъятии рабочих компьютеров.

«Что касается преступлений в области информационных технологий, — говорит Вячеслав Салтан, — то ситуация в Молдове парадоксальна. Если рассматривать не такие относительно мелкие инциденты, как попытки взлома банкоматов, которые происходят чуть ли не ежедневно, а серьезные преступления, как атаки на информационные системы банков, мы увидим, что статистика невелика — всего 42 случая за 6 лет. Дело в том, что в большинстве случаев организации умалчивают о кибератаках и стараются решить проблему самостоятельно. Их IT-службы находят злоумышленника (или группу таковых), требуют возмещения ущерба и отпускают. Мотивируют такие попытки неразглашения сохранением репутации банка (или иной крупной организации). Парадокс заключается в том, что, во-первых, о серьезных инцидентах все равно станет известно, скрыть это невозможно. А, во-вторых, отпуская злоумышленников, организации позволяют им продолжать вредоносную деятельность и доставлять неприятности коллегам из других компаний. Таким образом, кратковременное решение проблем множит их в будущем, ведь вполне вероятно, что отпущенный нарушитель, проанализировав ошибки, нанесет новый, более серьезный удар, и реальный урон значительно превысит гипотетический репутационный».

Андрей Сорокин тоже считает, что умалчивание инцидентов взлома систем ИБ — подход в корне неправильный. «Нужно вести диалог как на уровне государства, так и на уровне бизнеса, обмениваться информацией о выявленных уязвимостях и угрозах, решать серьезные проблемы сообща», — заключает специалист.

*Agile-тестирование метод гибкого командного тестирования, в котором участвуют разные специалисты, и ключевые решения принимаются сообща


 Читай в майском номере журнала Business Class!

наверх ↑

BusinessClass - 2016, №116


Подпишитесь на электронную версию






 Оставьте свои комментарии






* Комментарии не должны содержать нецензурные слова и выражения


code
Отправить


До нового номера 6 дн. 11 час.
BusinessClass 141
Конвертор
Погода
Рынки
 
20.3353
17.4725
0.2490
4.1113
0.6648
25.10.2021
0° -4°
Jan 15
+6° 0°
weather
Jan 16
+6° -1°
weather
Jan 17
+7° -1°
weather
Jan 18
+4° -1°
weather
BBC - Error 502: Bad Gateway * { margin : 0;
Консультанты
Задайте свой вопрос и узнайте мнение специалиста
Опрос
Если бизнес не пойдет?

Ваш вариант ответаАрхив
Отправить
Опрос
Какой бизнес сегодня самый доходный?

Ваш вариант ответаАрхив
Отправить
Опрос
Как сохранить деньги в кризис?

Ваш вариант ответаАрхив
Отправить
Опрос
Где взять деньги для создания бизнеса?

Ваш вариант ответаАрхив
Отправить