ЭФФЕКТИВНАЯ ЗАЩИТА ИНФОРМАЦИОННЫХ АКТИВОВ — ОБЯЗАННОСТЬ СБ ИЛИ ІТ ОТДЕЛА: ТЕЗИСЫ ПО МАТЕРИАЛАМ СЕМИНАРА АПКБУ

Автор: | 27.10.2020

СПИКЕР: ИВАН ГЕРАСИМОВИЧ, ДИРЕКТОР ПО РИСКАМ И БЕЗОПАСНОСТИ ЧАО «СМАРТ-ХОЛДИНГ»

Более 60 % украинских компаний сталкивались с фактами неразглашения конфиденциальных данных. Проблемы информационной безопасности все ярче и больше стали проявляться во время карантина и удаленной работы предприятий. Какие составляющие эффективной защиты информационных активов и кто за нее отвечает?

  • Какая же информация о вашем бизнесе нуждается в защите? В первую очередь, это вся та информация, которой может быть определена стоимость в денежном эквиваленте. Это финансовая и деловая информация, стратегия организации, производственные секреты, личные данные сотрудников, авторские права, торговые марки, патенты и т. д.
  • Триада ЦРУ – известная модель для разработки политик безопасности, используемых для выявления проблемных областей, а также необходимых решений в области информационной безопасности. Модель не имеет ничего общего с Центральным разведывательным управлением США; скорее, инициалы обозначают три принципа, на которых основывается информационная безопасность: конфиденциальность, целостность, доступность.
  • Конфиденциальность, целостности и доступность информации полностью должны находиться под контролем СБ, которая должна делать все необходимое для снижения риска потери, повреждения или разрушения информации. Ведь то, что происходит в информационной безопасности, с точки зрения потери информации или ее разрушения, влечет за собой иные риски безопасности – это хищения, мошенничество, определенные затраты из-за потери продуктивности, это расходы на восстановление после инцидента.
  • Главный метод защиты информации – это метод управления рисками. На предприятии должна иметься программа защиты информационных активов, реализовываться стратегия, основанная на рисках; а также быть система, позволяющая находить проблемы и успешно их решать.
  • Процесс оценки рисков при защите информационных активов включает восемь шагов. Первый – понимание того, что относится к информационным активам; второй – оценка активов. Далее определяем, от кого именно мы защищаем информацию. Угрозы – это всегда абсолютно понятные и осязательные люди или события, которые хотят нанести нам вред. Далее оцениваем вероятность угроз, идентифицируем уязвимости, оцениваем влияние на организацию событий и потерь, приоритизируем риски. Только когда вы знаете, что именно и кто представляет угрозу для Вашей компании, тогда вы сможете эффективно управлять рисками.
  • Три вида угроз: угрозы умышленные (самые опасные, предполагающие экономический шпионаж), природные (естественные) и непреднамеренные (самые распространенные). Самое главное в идентификации непреднамеренных угроз понимать, что люди делают ошибки. Больше 60 % проблем, связанных с кибер-безопасностью, – это проблемы, связанные с людьми. Люди не умеют работать, не понимают принципов работы программ, ошибочно отправляют письма не по нужным адресам. Согласно исследованию инсайдерами-нарушителями являются в большинстве (59 %) бывшие сотрудники или подрядчики, которые уходят из компании с явным намерением нанести ей ущерб.
  • Пять категорий уязвимостей информационных систем (угрозы не могут появляться без использования уязвимостей):
  1. Уязвимость инфраструктуры информационной системы (соединение с незащищённой сетью, неправильная конфигурация и прочее.)
  2. Уязвимости в использовании людьми инфраструктуры информационной безопасности (пользователи – предоставление пользователями доступа другим людям в следствии социальной инженерии или по другим причинам к своему компьютеру).
  3. Уязвимости при обслуживании людьми инфраструктуры информационной системы (слишком большие права, неадекватный мониторинг и регистрация действий и неадекватная подготовка).
  4. Уязвимость на уровне руководства организации (недостаток ответственности/ подотчетности, неадекватные политики и процедуры, неадекватные тренинги по обучению безопасности, неадекватные взаимоотношения с третьими лицами, физическая уязвимость).
  5. Уязвимость процессов, связанных с управлениями информационными системами.
  • Три основные контрмеры по защите информации:
  1. Административный контроль – самая дешевая мера и при этом достаточно эффективная: это политики и стандарты процедуры, проверка персонала (нужно понимать, кому вы даете доступ к вашей информации) и т. д.
  2. Технический контроль – подключение к сети и пароли, файрволлы, логи, шифрование, антивирусы и спам-фильтры
  3. Физический контроль – дверные замки, камеры, контроль обстановки, охрана и прочее.
  • Политики безопасности – это требования в компании к людям, которые там работают и которые с ними взаимодействуют. Без политик трудно объяснять людям, что они должны делать в интересах безопасности. Создание Политики безопасности – кросс-функциональный подход. Участие физической безопасности критично по нескольким причинам:

1) система защиты информации влияет на ежедневную деятельность физической безопасности (персонал взаимодействует с компьютерами и устройствами безопасности, подсоединёнными к сети)

2) система информационной безопасности определяет какой тип устройств применим в сети.

По материалам семинара АПКБУ «Конвергенция: как обеспечить идеальные отношения Службы безопасности и ИТ в бизнесе»