С чего начать обеспечение информационной безопасности? Ключевые угрозы и средства защиты

Наверняка многие мои коллеги, работающие в сфере информационной безопасности, попадали в ситуацию, когда, приходя на новое место работы, понимали, что с точки зрения технологий и бизнеса компания работает вполне успешно, но информационной безопасности никогда не уделялось должного внимания, и сейчас необходимо начать ее грамотное внедрение "без остановки рабочей машины", то есть на ходу, без прерывания бизнес-процессов, обеспечивающих основной доход. Так часто происходит, потому что руководство не всегда осознает, что безопасность критичных процессов необходимо внедрять еще на этапе их разработки, а не тогда, когда "стало понятно, что нужно это защищать". Этот подход будет проблемнее и затратнее, но, пока на горизонте не видно прибыли или существенных рисков ее потери, об информационной безопасности никто не задумывается. В статье я поделюсь опытом обеспечения ИБ компании в подобной ситуации

Первое, что необходимо сделать, – определить направление, в котором будет двигаться ваша защита относительно конкретной организации. Оно зависит от того, чем занимается компания, каковы ее основные информационные активы, критически важные процессы и т.д. Исходя из основных аспектов работы, вы уже должны понимать, на какой из уровней будущей защиты будете делать основной упор. Рекомендую также выстроить грамотные отношения с коллегами из департамента информационных технологий, так как именно они способны помочь вам ознакомиться со всеми бизнес-процессами и информацией, которую будет необходимо защищать.

Основная и главная задача любого отдела информационной безопасности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угрозы с немалой степенью риска их реализации. Я предлагаю всегда разделять угрозы на внутренние и внешние. 

Внутренние угрозы

Подавляющее большинство угроз – внутренние. Они возникают из-за отсутствия понимания коллег, имеющих доступ к защищаемой информации, того, в каких случаях ошибка в действиях может повлечь за собой серьезную угрозу. Поэтому в первую очередь я рекомендую позаботиться о внутренних угрозах, если нет возможности разделить обязанности с коллегами на параллельно выполняющиеся, но это уже кадровый вопрос для вашего отдела информационной безопасности. 

Инфологическая модель

Чтобы иметь полное и наглядное представление о том, как основные процессы и отделы в организации функционируют между собой, стоит разработать инфологическую модель компании (или несколько для каждого сложного процесса или отдела). Благодаря этому у вас должно сложиться представление, как движется информация в компании, какие системы используются для ее обработки, где она хранится, а также как она попадает в компанию и куда передается вовне. Если добавить к инфологической модели грамотную оценку критичности информационных активов, то вам станет ясно, какие области и процессы являются наиболее критичными. С них и стоит начать поиск уязвимостей.

рис. 1. Инфологическая модель 

Нормативные документы информационной безопасности

Нормативные документы информационной безопасности помогут проинформировать ваших коллег об определенных рисках и правилах во время выполнения своих служебных обязанностей. Я бы рекомендовал взять за основу следующий комплекс документов:

• политика информационной безопасности;
• парольная политика;
• политика обработки персональных данных;
• инструкции для пользователей и администраторов ИС;
• инструктаж по информационной безопасности;
• периодические рассылки для сотрудников.

Само собой, этот перечень документов не является исчерпывающим, но если у вас в компании их нет, значит, нормативная база со стороны информационной безопасности проработана не лучшим образом. 

Доступ к ресурсам

Хотелось бы заострить внимание на процессе предоставления доступа к различным ресурсам и автоматизированным информационным системам компании. Данный процесс поможет обеспечить грамотное распределение ролей сотрудников и снизит определенные риски наступления инцидентов, связанных с действиями по неосторожности или же незнанием правил работы той или иной системы. Для правильного функционирования этого процесса необходимо подготовить понятный для сотрудников компании регламент. 

Режим коммерческой тайны

Установка режима коммерческой тайны в организации – важная часть обеспечения приемлемого уровня защищенности инфраструктуры. В различных рабочих ситуациях, а также и при наступлении инцидентов правового характера наличие режима коммерческой тайны сыграет большую роль в принятии решения об исходе инцидента. 

Внешние угрозы

Под внешними угрозами, как правило, понимаются те случаи, когда реализация уязвимости в системе приходит из внешних пределов защищаемого контура. Чтобы таких угроз стало значительно меньше, по крайней мере на сетевом уровне, используются различного рода программные и аппаратные средства.

Как правило, уязвимости для защиты от внешних угроз находятся в ресурсах компании, которые открыты для публичного просмотра. Например, это может быть сайт компании, мобильное приложение или лендинговая страница, в которой клиент может оставить свои контакты. Эти уязвимости формируются на этапе разработки, а также при введении в работу и обновлении данных ресурсов. 

Безопасная разработка

Если ваша компания использует такие публичные страницы, как свой основной "магазин", и содержит свой штат разработчиков, которые постоянно выпускают новые программные релизы, стоит подумать о внедрении процесса безопасной разработки. Он предполагает наличие в штате тестировщиков на проникновение (пентест), которые постоянно ищут новые уязвимости на публичных ресурсах компании, а также проверяют и тестируют предрелизные версии продукта на проникновение. Так вы можете обеспечивать безопасность вашего основного онлайн-ресурса еще на этапе разработки, снижая риски наличия критичных уязвимостей при его обновлении на новую версию.

Что касается основных технических средств для обеспечения должного уровня информационной безопасности, вам необходимо определить самостоятельно их набор, так как он зависит непосредственно от организации и направления, которое вы выбрали после изучения ее основных процессов и активов. Но я предлагаю рассмотреть самые основные и часто встречаемые и них:

1. Антивирус. Безусловно, важная часть в любой инфраструктуре, без которой наверняка не обходится ни одна организация. Но, что более важно, следует грамотно настроить политику работы антивируса, а также систему оповещений, чтобы всегда быть в курсе вероятных угроз.
2. Средства контроля доступа к ресурсам. Сотрудники компании должны иметь доступ только к тем ресурсам, которые необходимы им для выполнения своих служебных обязанностей. В противном случае мы имеем повышенный риск вероятной ошибки в малознакомой системе либо же намеренной утечки информации.
3. Файрвол. Также незаменимый инструмент защиты от внешних угроз. Стоит отметить настройки и проанализировать его работу на предмет наличия уязвимостей.
4. Анти-DDoS. Решение необходимо, так как практически все компании так или иначе размещают свои данные на сайтах, приложениях и т.д.
5. Файрвол веб-приложений (WAF). Необходим для компаний, активно продвигающих свои услуги через онлайн-сервисы. Позволяет закрыть большую часть внешних уязвимостей и существенно снизить риски взлома и повысить отказоустойчивость сервиса. Рекомендуется, если у компании нет своего штата разработчиков или ресурсов для введения процесса безопасной разработки, о котором я упоминал выше.
6. Система контроля действий сотрудников (DLP). Система внутреннего контроля за действиями сотрудников компании на автоматизированных рабочих местах. Повышает вероятность предотвращения ошибок/нарушений пользователей, администраторов, руководителей во время работы. Главный инструмент расследований внутренних инцидентов в области информационной безопасности. 

5 советов из практики

В заключение хотелось бы дать несколько советов всем работникам сферы информационной безопасности относительно поведения с коллегами во время выполнения ваших рабочих обязанностей.

1. Вас не должны бояться! Это важный фактор, которые многие упускают при работе с коллегами. Правильно выстроенная политика общения с другими сотрудниками поможет вам оставаться в курсе событий в коллективе, заранее предотвращая вероятные нарушения и инциденты безопасности.
2. Грамотно распределяйте обязанности между сотрудниками. Следите за нагрузкой. Если ваш отдел перегружен, это никому не будет на руку. В конечном итоге это приводит к накоплению проблем безопасности, с которыми вы не смогли справиться своевременно, что повышает риск возникновения новых уязвимостей до устранения уже выявленных. Из-за подобной ситуации снижается общий уровень защищенности компании, а также возрастает недовольство среди сотрудников отдела.
3. Доходчиво информируйте руководство. Правильно подобранные слова по отношению к начальству иногда могут сделать гораздо больше, чем целый отдел аналитиков. Старайтесь поднимать вероятные проблемы на совещаниях с руководством заблаговременно, а не в критические моменты. Но самое главное, никогда не скрывайте проблемы и трудности от руководства, так как в результате это приведет только к отрицательным последствиям для всего отдела или компании в целом.
4. Проводите контрольные мероприятия. Дважды в год стоит уделять внимание проверке на отказоустойчивость сервисов, а также проведению восстановления систем из бекапов. Это поможет убедиться в правильности работы процессов восстановления после прерывания в случае возникновения подобного инцидента.
5. Регулярно совершенствуйте свои навыки. Наш мир постоянно развивается, а вместе с ним – и область цифровой преступности. Появляются новые методы обхода информационной защиты, а также разрабатываются новые меры противодействия этим методам. Если год назад вы были уверены в том, что ваша компания полностью защищена, то это уже не так. Проходите повышение квалификации, ходите на конференции, посещайте вебинары и следите за изменениями в законодательстве в области информационной безопасности. Ну и, конечно же, читайте научные статьи и делитесь с коллегами своим бесценным опытом.

Опубликовано в журнале "Системы безопасности" №5/2021