Обеспечение информационной безопасности в организации — это современный уровень защиты данных бизнеса и госсектора. Антагонистами этого процесса являются злоумышленники, использующие хакеров, фишинг, DDoS-атаки и другие постоянно совершенствующиеся методы. При отсутствии надёжной системы ИБ организации рискуют быть оштрафованными, привлечёнными к административной или даже уголовной ответственности, что ведёт к остановке бизнес-процессов, убыткам, потере репутации, судебным разбирательствам и другим серьёзным последствиям.
Цель обеспечения информационной безопасности — создать условия, при которых организация сможет функционировать бесперебойно даже в условиях возможных атак. Защита ИБ включает в себя обеспечение целостности, конфиденциальности и доступности информации для пользователей, имеющих соответствующие права.
Этапы обеспечения информационной безопасности в организации
1) Определение информации, которую необходимо защищать в организации
На этом этапе проводится анализ информационных активов: базы данных, серверы, программное обеспечение, облачные хранилища, документы, клиентские списки и другие ресурсы.
Совет:
— Распределите информацию по уровням критичности: от общедоступной до служебно-секретной (ДСП);
— Не забывайте учитывать все источники данных — даже те, что хранятся на флешках, в почтовых ящиках или в облачных сервисах.
Реальный кейс:
Организация передаёт клиентскую базу на хранение облачному серверу и считает, что тем самым снимает с себя ответственность в случае утечки. Однако прямую ответственность несёт именно организация — облачный провайдер выступает лишь как исполнитель. Соответственно, ИБ должна быть обеспечена на всех уровнях работы с данными.
ВАЖНО!
Регулярно проводите оценку программного обеспечения и аппаратных средств, используемых в организации. Это позволяет отслеживать доступные ресурсы, выявлять слабые места и расставлять приоритеты в защите.
2) Оценка возможных угроз
Угрозы безопасности информации — это возможность возникновения события, которое может привести к нежелательным последствиям для информации. Они делятся на:
| Преднамеренные | Случайные |
| Хищение информации | Ошибки пользователя |
| Компьютерные вирусы | Ошибки профессионалов |
| Физическое воздействие на технику | Отказы и сбои аппаратуры |
|| Форс-мажорные обстоятельства |
Также угрозы классифицируются по происхождению:
• Внешние — вирусы, хакеры, несанкционированный доступ третьих лиц к информационной системе.
Реальный кейс: В этом году крупнейший бренд одежды 12Storeez подвергся серьёзной кибератаке с попыткой вымогательства. Злоумышленники требовали выкуп в криптовалюте, но получили отказ. Хотя утечки данных не произошло, организация понесла серьёзный ущерб — около 50 000 000 рублей — на восстановление систем. (Кейс публичный, обезличивание не требуется.)
• Внутренние — неосторожность сотрудников, незнание основ ИБ, использование незащищённых каналов связи.
Реальный кейс: В Пятигорске на свалке были обнаружены светокопии паспортов, ИНН и СНИЛС граждан — заверенные копии, кредитные договоры и другие личные данные клиентов одного из банков. Документы, вместо уничтожения, были вывезены в промзону. Обнаружил их экологический патруль, отслеживающий стихийные свалки. Источник: NTV
• Технические сбои — отказы оборудования, сбои в работе серверов, отключение электропитания.
Организация обязана иметь план «Б» — аварийный сценарий восстановления, чтобы избежать остановки бизнеса и потери данных.
Получить БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ по обеспечению информационной безопасности в организации можно у экспертов «КЕЙС ГРУПП»
3) Меры обеспечения информационной безопасности
Внедрение технических мер:
• Межсетевые экраны — фильтруют сетевой трафик и предотвращают несанкционированный доступ к внутренним ресурсам;
• Системы обнаружения и предотвращения атак (IDS/IPS) — анализируют подозрительную активность и автоматически блокируют вредоносные действия;
• Антивирусные системы — защищают от заражения вредоносным ПО;
• Системы предотвращения утечек данных (DLP) — контролируют передачу конфиденциальной информации;
• Системы управления доступом и двухфакторная аутентификация — минимизируют риски несанкционированного входа.
Внедрение организационных мер:
— Обучение сотрудников по ИБ — обязательное, регулярное (не менее одного раза в полгода);
— Повышение квалификации персонала в области защиты информации;
— По статистике, большинство инцидентов происходят по вине пользователей: переход по фишинговой ссылке, отправка ПДн по незашифрованной почте, использование простых паролей (например, «12345»).
4) Разработка и внедрение документов по ИБ, необходимых для организации
Для выстраивания эффективной системы ИБ ключевым этапом является разработка и внедрение нормативных документов. Это не просто формальность — это способ регулировать и закреплять ответственность сотрудников.
Пакет документов должен базироваться на действующем законодательстве:
— ФЗ-152 «О персональных данных»;
— ФЗ-149 «Об информации, информационных технологиях и о защите информации»;
— и других нормативных актах.
Основной перечень документов:
• Приказы
• Акты
• Журналы
• Памятки
• Порядки
• Инструкции
• Положения
• Политика — основной документ, в котором должны быть закреплены:
1. Технические процессы обработки защищаемой информации в ИС;
2. Правила и процедуры идентификации и аутентификации пользователей;
3. Политика разграничения доступа к ресурсам ИС;
4. Управление информационными потоками;
5. Установка и контроль обновлений ПО;
• Правила
• Перечень помещений/сотрудников
• План мероприятий по ИБ и контролю защищённости
• Модель угроз — описание угроз и нарушителей, включая объекты защиты: информационные ресурсы, средства обработки и системы, используемые в соответствии с заданной технологией
• Технические паспорта
• Иные документы
Чтобы правильно разработать и внедрить документы, необходимые для обеспечения информационной безопасности в организации — вы можете ПОЛУЧИТЬ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ у экспертов «КЕЙС ГРУПП»
Виды инцидентов в информационной безопасности
Инцидент информационной безопасности — это случай или событие, указывающее на то, что информация была скомпрометирована из-за неработающей или недостаточной системы защиты. Инциденты ведут к нарушению работы организации и могут вызвать серьёзные последствия, например, DDoS-атаку — кибератаку, направленную на перегрузку веб-ресурса трафиком и сделавшую его недоступным для пользователей.
Виды инцидентов:
1) Преднамеренные инциденты:
• Незаконный доступ к системам и данным;
• Фишинговая атака — электронные письма с вредоносными ссылками и вложениями, имитирующие легитимные источники (например, «Налоговая», «Сбербанк»).
2) Вредоносные программы:
• Вирусы, трояны, рансомверы, рекламное ПО.
3) DoS-атаки — приводят к серьёзным последствиям: остановка сервисов, потеря клиентов, финансовые потери.
4) Случайные инциденты:
• Ошибки сотрудников (человеческий фактор) — нажатие на рекламное объявление, посещение заражённого сайта;
• Использование нелицензионного ПО — может содержать скрытые угрозы и нарушать требования законодательства.
Важно!
Необходимо сводить к минимуму вероятность атак на информационную безопасность организации.
Чек-лист ключевых этапов и мер для обеспечения информационной безопасности в организации
1. Анализ внутренней и внешней информации организации, систем, ПО и других активов. Определение, какую именно информацию необходимо защищать, и выявление уязвимых мест. Оценка возможных угроз.
2. Разработка плана защиты информации и его реализация.
3. Обучение сотрудников и повышение квалификации — значительно снижает риск ущерба.
4. Разработка пакета документов по ИБ и его актуализация при изменениях в организации или законодательстве.
5. Готовность к инцидентам — разработанный план действий на случай инцидента и регулярный инструктаж сотрудников.
Если у вас есть вопросы о том, как правильно выстроить и обеспечить информационную безопасность в организации — вы можете ПОЛУЧИТЬ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ у экспертов «КЕЙС ГРУПП»