Вирусы, трояны, хакеры, кракеры, атаки, черви, руткиты, фишинг, дефейс – об этом пишут в газетах и блогах, каждый, наверно, хоть раз сталкивался с чем-то подобным. Дома, на работе, рассказывали друзья или коллеги. Мы живем в мире, в котором компьютеры настолько плотно проникли в нашу жизнь, что термин «информационная безопасность» становится почти синонимом термина «персональная безопасность».
Важность обеспечения безопасности информации для современного бизнеса критична уже с точки зрения банального выживания. И многие компании выделяют большие бюджеты на защиту: антивирусы, брандмауэры, системы предотвращения вторжений, VPN-туннели и прочее. Но выделяя бюджет, очень многие забывают о том, что все эти средства могут оказаться бесполезными, если в компании отсутствует политика безопасности. В этой статье я хочу поговорить о базовых принципах формировании политики безопасности на предприятии.
Для обеспечения адекватной защиты, все процедуры и технологии, которые вы планируете использовать должны гарантировать три вещи:
Классификация и анализ угроз (формирование модели угроз) является важным компонентом в архитектуре управления рисками. Выполнив классификацию, т.е. зная какие неприятности могут произойти и вероятный ущерб от них, вы сможете разработать контрмеры, по предотвращению угроз или минимизации ущерба.
Контрмеры также по-разному классифицируются. Например, по типу:
Важность обеспечения безопасности информации для современного бизнеса критична уже с точки зрения банального выживания. И многие компании выделяют большие бюджеты на защиту: антивирусы, брандмауэры, системы предотвращения вторжений, VPN-туннели и прочее. Но выделяя бюджет, очень многие забывают о том, что все эти средства могут оказаться бесполезными, если в компании отсутствует политика безопасности. В этой статье я хочу поговорить о базовых принципах формировании политики безопасности на предприятии.
Для обеспечения адекватной защиты, все процедуры и технологии, которые вы планируете использовать должны гарантировать три вещи:
- Конфиденциальность: только авторизованные пользователи получают доступ к важной информации.
- Целостность: только авторизованные пользователи могут изменять и сохранять важную информацию, обеспечение подлинности данных.
- Доступность: гарантия непрерывного (в рамках политики) доступа авторизованных пользователей к информации и системам.
При формировании политики безопасности разработчики должны учитывать:
- Активы компании: что мы защищаем?
- Угрозы: возможные атаки;
- Риски: вероятность реализации угрозы;
- Контрмеры: мероприятия по снижению рисков.
Итак, первое, что необходимо сделать, это ответить на вопрос: «Какую информацию мы собираемся защищать?». Не вся информация обладает одинаковой ценностью для компании. Классификация информации позволит вам применить последующие меры для обеспечения конфиденциальности, целостности и доступности. Существуют определенные шаблоны для классификации информации. Например, вот шаблон классификации, используемый во многих правительственных организациях США:
- Неклассифицированные данные. Информация, обладающая минимальными требованиями к обеспечению конфиденциальности, целостности, доступности.
- Важные данные без классификации. Разглашение данной информации может привести к незначительному ущербу, но дальнейших серьезных угроз в отношении безопасности не представляет.
- Конфиденциальные данные. Данные требуют обеспечения конфиденциальности.
- Секретные данные. Для обеспечения безопасности этой категории данных компании предпринимают значительные усилия.
- Строго секретные данные. Максимум усилий и затрат для обеспечения безопасности. Доступ для очень ограниченного круга лиц.
А вот пример шаблона классификации, который используется в частных компаниях:
- Публичные данные. Данные, используемые в маркетинговых материалах и на публичных сайтах.
- Важные данные. Разглашение данной информации может привести к незначительному ущербу, но дальнейших серьезных угроз в отношении безопасности не представляет.
- Частные данные. Данные важные для компании, предпринимаются меры для их защиты.
- Конфиденциальные данные. Максимум усилий и затрат для обеспечения безопасности: промышленные секреты, информация о сотрудниках и т.д.
Кто будет выполнять классификацию? Какие группы сотрудников должны участвовать в этом процессе, чтобы система классификации успешно работала? Обычно выделяются следующие роли пользователей:
- Владелец информации. Лицо(а) полностью ответственное за информацию. Обычно высший и средний менеджмент. Владелец определяет ценность информации, тех лиц, кто будет отвечать за хранение информации и тех, кто будет работать с ней.
- Ответственный хранитель. Обычно сотрудники ИТ-департамента, отвечающие за хранение и обслуживание данных. Настраивают параметры безопасности данных в соответствии с требованиями владельца.
- Пользователи. Не отвечают за классификацию и хранение данных. Несут ответственность за работу с данными в соответствии с политикой безопасности, определяемой владельцами и ответственными хранителями.
Следующий шаг состоит в классификации уязвимостей, т.е. слабых мест в вашей информационной системе, которые может использовать злоумышленник для реализации атаки. Это могут быть ошибки пользователей, используемые в сети протоколы и программное обеспечение, неправильное конфигурирование и т.д. На основании этого анализа вы можете составить модель угроз. Для составления модели угроз вы можете воспользоваться стандартными или отраслевыми документами. Например: «Базовая модель угроз безопасности персональных данных» ФСТЭК России: http://iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/model2008.rar/view
Классификация и анализ угроз (формирование модели угроз) является важным компонентом в архитектуре управления рисками. Выполнив классификацию, т.е. зная какие неприятности могут произойти и вероятный ущерб от них, вы сможете разработать контрмеры, по предотвращению угроз или минимизации ущерба.
Контрмеры также по-разному классифицируются. Например, по типу:
- Административные меры. Политики и процедуры, обучение и инструктаж сотрудников.
- Технические меры. Программные и аппаратные комплексы защиты (брандмауэры, VPN, IPS и пр.)
- Физические меры. Меры по защите физической инфраструктуры. Источники бесперебойного питания, системы пожарной защиты, камеры наблюдения и т.д.
Другая классификация мер безопасности основана, назовем так, на управлении неприятностями:
- Превентивные меры. Направлены на предотвращение угрозы. Примеры: брандмауэры, замки, сформированная политика безопасности.
- Детективные меры. Основаны на наблюдении за системой. Примеры: камеры наблюдения, журналирование, IPS.
- Коррективные меры. Предназначены для минимизации ущерба для системы в случае атаки или сбоя. Например, чистка вирусов после вирусной атаки, обновление антивирусных баз, процедуры изменения политики безопасности после инцидентов и т.д.
- Восстановительные меры. Предназначены для восстановления работы системы в случае атаки или сбоя. Например, процедуры резервного копирования. Обычно, коррективные и восстановительные меры рассматриваются в комплексе.
- Предупредительные меры. Задача – отпугнуть потенциальных нарушителей. Таблички «Посторонним вход воспрещен», баннеры и прочее.
И, наконец, классификация по способу управления рисками:
- Избежание рисков. Не использовать в работе то, что может привести к риску осуществления угрозы. Боитесь, что вирусы могут передаваться в почтовых вложениях – запретить вложения. Проблема данного способа состоит в том, что мы теряем потенциальную выгоду от принятия риска. Согласитесь, запрещать вложения в электронной почте сильно усложнит работу.
- Уменьшение или оптимизация рисков. Принимаем риски, но предпринимаем дополнительные меры защиты. Начинаем использовать антивирусы для сканирования сообщений. В данную группу мер попадают практически все технические мероприятия.
- Передача рисков. Боимся делать сами, можем передать на аутсорсинг третьей компании, которая со своей стороны предпримет все необходимые меры для обеспечения нужного уровня защиты. Или можем застраховаться.
- Принятие рисков. Соглашаемся нести потери в случае реализации угрозы. Обычно данная стратегия применяется для недорогих активов, т.е. стоимость актива меньше, чем стоимость реализации мер, по предотвращению угрозы.
Итак, давайте подведем итоги. Для формирования политики безопасности вам, как минимум, необходимо:
Комментариев нет:
Отправить комментарий