AppsecZone

Меры защиты информации: виды и трудности

Меры защиты информации: виды и трудности Меры защиты информации: виды и трудности Меры защиты информации: виды и трудности
05.08.2022

Концепция мер защиты информации подразумевает обеспечение комплексной защиты данных от их нелегитимного использования. Она включает в себя все аспекты: от организации доступа сотрудников к конфиденциальным данным до используемых технических решений.

Меры обеспечения ИБ подразделяются на три большие группы:

  • административная;
  • организационная;
  • техническая.

Каждая из них имеет свои сложности как с позиции бизнеса, так и с позиции работы ИБ-специалистов. Остановимся на каждой составляющей подробнее.

Административные меры защиты информации

Административные меры защиты информации – это уровень управленческих решений. Любая компания попадает на него одним из двух путей:

  1. По требованию государственного регулятора. Первый путь понятен – компания в своем развитии вышла на тот этап, когда ее деятельность попадает под соответствующие нормативные акты. Например, достигла определенного количества обрабатываемых персональных (ПДн) или попала под определение значимого объекта КИИ.
  2. Самостоятельно. Второй случай никак не связан с государственными требованиями. В лучшем случае, компания приходит к необходимости внедрения мер обеспечения защиты информации ввиду своей зрелости. В худшем – в результате киберинцидента, который оказался достаточно чувствительным, чтобы компания задумалась о своей защите.

Важнейшее значение на данном этапе имеет понимание руководства компании относительно того, зачем бизнесу, который уже работает и приносит деньги, информационная безопасность. Если этого понимания нет – велик риск, что организация подойдет к выработке мер защиты формально.

Сергей Морозов

Эксперт-аналитик компании 1984 GROUP

На самом деле, такие случае не то что нередки, они очень часты. Многие считают, что проблема с защитой информации их не коснется, потому по-быстрому забывают о какой-либо защите в принципе, думая, что и так сойдет. Бездумно копируя политику обработки ПД и тд, организации забывают важную вещь — их процессы внутри и снаружи могут отличаться от процессов описанных в скопированном варианте, а потом мы видим всевозможные утечки или утерю данных даже внутри организации (да, бывает и такое).

Что более страшно, это проблемы с законом. Невозможность доказать невиновность в суде по той или иной причине. Например, из-за воровства данных сотрудниками внутри компании или утечки данных клиентов в свободный доступ, что может возложить на компанию огромный репутационный ущерб или же огромные финансовые затраты на борьбу с исками клиентами.

Рассмотрим на примере. В основе организации ИБ любой компании лежат три принципа: доступность, конфиденциальность и целостность. Для бизнеса – это просто слова. 

Но их можно адаптировать следующим образом:

  1. Доступность. В результате атаки хакеров ваши клиенты потеряют доступ к сайту на сутки. Вы потеряете суточную выручку.
  2. Конфиденциальность. Злоумышленник, хакер или обидевшийся сотрудник, может похитить вашу клиентскую базу, корпоративные данные, информацию о бизнес-процессах и обнародовать ее, либо продать конкурентам.
  3. Целостность. В результате кибератаки может быть нарушена связь между отделом приема заказов и отделом логистики. В результате – клиенты не получат заказы вовремя, N процентов из них уйдут по неверным адресам.

Понимание того, что меры обеспечения информационной безопасности, это не требование и не тренд, а жизненная необходимость самой компании – ключ к минимизации сложностей на этом этапе. Но после определения необходимости в защите инфраструктуры возникают другие сложности, связанные со следующим этапом.

Организационные меры защиты информации

После того, как решение о разработке и внедрении мер информационной безопасности принято, возникает необходимость в теоретико-правовой основе, которая состоит из двух компонентов:

  1. Нормативная база. Политика работы с данными и информационными системами, которые используются в компании. Здесь важно учесть соответствие законодательству и, в то же время, прописать границы и степень ответственности сотрудников в случае возможных судебных разбирательств после инцидентов.
  2. Регламенты и инструкции. Подробное описание полномочий задействованных сотрудников, их обязанностей и модели поведения в случае возникновения разных ситуаций.

Важный аспект, который часто остается на втором плане в рамках организационных мер – это разъяснительная работа с сотрудниками компании. Человеческий фактор в ИБ играет важную роль. По данным «Лаборатории Касперского», количество кибератак с использованием социальной инженерии уже в 2020 году выросло на 147%, и продолжает расти.

Причина этого – низкий уровень «цифровой гигиены» у населения в целом. Об этом говорит тот факт, что Минцифры, совместно с СПбГУТ, «РТК-Солар» и АНО «Диалог Регионы», запустили программу повышения киберграмотности россиян.

Один из частных случаев, с которым сталкиваются безопасники «на местах» – это слабые пароли. И решить ее можно только путем разъяснительной работы, никакие другие методы не будут эффективны.

Например, регламент подразумевает, что пароль пользователя должен состоять минимум из восьми знаков, с использованием цифр и специальных символов. При этом – обновляться раз в месяц.

Сотрудник, которому разъяснены причины, по которым пароль должен быть сложным, а еще лучше – принципы мнемонического запоминания, сможет на основе этих вводных создать сложный пароль. Человек, который всего этого не знает, может ограничиться порядком: january2022!, february2022!, march2022! и тд.

При качественной проработке юридических аспектов и эффективной работе с сотрудниками большинства проблем на этом этапе получится избежать.

Технические меры защиты информации

Технические меры защиты – это этап интеграции софта и «железа» в бизнес-процессы компании. Для бизнеса он одновременно самый простой и самый трудный:

  1. Простой – потому что нужно, де факто, просто озвучить свои пожелания.
  2. Сложный – потому что под эти пожелания нужен соответствующий бюджет.

Евгений Родыгин

Эксперт по информационной безопасности компании Киберпротект

Прежде всего необходима оценка объемов деятельности и целей в области ИБ. Для этого следует обратиться в одну или несколько компаний-интеграторов, оказывающих услуги по полному циклу обеспечения информационной безопасности. Провести консультации по видам деятельности компании, рискам для бизнеса, требованиям законодательства и регуляторов по ИБ. Сформировать цели для компании в области ИБ и запросить коммерческие предложения у компаний-интеграторов с обоснованием необходимости выполнения тех или иных работ и этапов работ.

Как правило, такой подход позволяет осознать и выработать подход к поэтапному формированию деятельности по информационной безопасности компании. Вариантов масса: от реализации ИБ в режиме «всё сами» до специфических гибридных подходов с привлечением внешних сервисов и услуг.

Меры и средства защиты информации на российском рынке представлены в достаточном количестве, даже после ухода иностранных вендоров. В то же время, риск нарваться на некачественного интегратора минимален. Скорее всего, выбор будет стоять между просто хорошей компанией и хорошей, но еще и именитой.


Комментарии 0