Информационно-аналитическое обеспечение деятельности служб информационной безопасности
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
Системы информационной безопасности и аналитика — это область науки и технологий, которая охватывает комплекс вопросов, связанных с созданием, эксплуатацией, развитием и защитой автоматизированных систем информации и анализа, обеспечивающих обработку и анализ информации. Системы информационной безопасности и аналитики — это системы, позволяющие контролировать, анализировать и защищать информацию в финансовой и экономической сферах от несанкционированного доступа. Кроме того, эти системы позволяют исключить риск потери или копирования информации и, следовательно, повысить эффективность управления организацией. Специальность включена в перечень приоритетных специальностей Российской Федерации.
Каждый профессионал знает, что система безопасности более высокого или более низкого качества не может существовать без самого важного элемента - информационно-аналитической поддержки. Более того, именно этот компонент составляет основу комплекса информационной безопасности. Ядро, без которого стоимость бронирования Мерседеса, самая лучшая охрана или самая умная сигнализация могут оказаться ненужными. Ведь ни один из этих способов не может решить проблему выбора партнера для бизнеса и проверки его надежности, оценки рисков при выходе в новый сектор бизнеса или другой регион, принятия оптимального в кризисной ситуации решения.
Основными и наиболее актуальными задачами являются задачи выявления, анализа и классификации существующих механизмов реализации угроз информационной безопасности, которые могут привести к несанкционированному доступу к данным или нарушению нормального функционирования информационных систем, оценка возможного ущерба, определение наиболее важных мер по отражению угроз и устранению слабых мест, разработка критериев безопасности и защитных механизмов, а также соответствующей нормативно-правовой базы.
Анализ текущей ситуации показывает, что темпы развития компьютерных технологий явно опережают процесс создания средств защиты информации. Приоритетными являются задачи выявления, анализа и классификации существующих механизмов реализации угроз информационной безопасности, которые могут привести к получению несанкционированного доступа к данным или нарушению работы нормальной системы, оценка возможного ущерба, определение основные меры по противодействию угрозам, разработка критериев безопасности и механизмов защиты, а также соответствующей нормативной базы.
Вместе с тем, в настоящее время не существует единой теории защищенных информационных систем, применимой в различных предметных областях; Поставщики средств защиты обычно предлагают некоторые компоненты для решения конкретных проблем; Обеспечение надежной защиты требует выполнения ряда организационных и технических мероприятий с разработкой соответствующей документации.
Информация, которую получает и использует служба безопасности, требует аналитической обработки. Такие сведения отрывочны, противоречивы, зачастую недостоверны, но именно на их основе принимаются жизненно важные для решения. Информационно-аналитическая деятельность служб безопасности представляет собой системное получение, анализ и накопление информации с элементами прогнозирования по вопросам, относящимся к безопасности, и на этой основе консультирование и подготовка рекомендаций о правомерной защите от противоправных посягательств. Аналитическая обработка информации позволяет получать по различным оценкам от 80 до 90 % необходимой информации при использовании только открытых источников.
Основная задача ИАС (Информационно аналитических служб) - информационная и аналитическая поддержка принятия решений по вопросам, особенно по основным направлениям деятельности предприятий, фирм, да даже маленького интернет–сайта, в котором мало-мальски присутствует функциональность.
Защита информации, хранящаяся в ИАС - чрезвычайно сложная задача, так как специфика аналитической работы во многих случаях прямо противоречит стандартам информационной безопасности. Например, обеспечение такого важного принципа, как фрагментация информации при работе с истинным ИАС, в большинстве случаев практически невозможно, так как это замедляет работу всей системы ИАС. И конечно же, не стоит забывать об умышленном или ненамеренном разглашении конфиденциальных данных того места, где разрабатывается ИАС. Ведь, по сути, разработчик ИАС получает полную информацию места работы, и это может стать проблемой. Да, это не какое-то правило, и даже не тенденция – всего-то факт.[1]
Функции ИАС:
Ранее было сказано, что разработкой ИАС занимается информационно–аналитический отдел. Информационно-аналитические службы — это центры сбора и обработки первичной информации, «они отслеживают ситуацию, диагностируют ее, анализируют и моделируют возможное развитие событий.
Некоторые считают, что информационно-аналитической службе достаточно собрать и обобщить информацию, передать ее руководству, и на этом ее работа заканчивается. По сути, информация должна иметь возможность развиваться и анализироваться на постоянной основе, чтобы в любой момент можно было предоставить менеджеру готовые материалы с требуемым уровнем обобщения по интересующей нас проблеме. Информационно-аналитический отдел играет важную роль в повышении эффективности использования информации, ее систематизации, обработки, сбора и исследования.
Специфика информационно-аналитической деятельности органов власти и управления состоит в том, что она является элементом системы и процесса управления. Следовательно, это в основном прикладная деятельность, а не теоретическая, поскольку в ней преобладают внутренние системные ограничения с точки зрения времени подготовки материалов, их полноты, надежности, надежности и ответственности подрядчиков.[2]
Итак, содержание работы информационно-аналитических служб состоит из следующих этапов процесса анализа информации: сбор информации, создание баз данных, хранение данных, обобщение информации, обработка данных, подготовка аналитического документа, составление отчета, подготовка альтернативных вариантов развития ситуации, определение дизайна решения, передача финального документа начальнику.
Основными функциями информационно-аналитического обеспечения экономической безопасности являются:
Для аналитиков основным предметом исследования обычно является конкурентная среда, в которой работают менеджеры юридических лиц - участники рынка или физические лица. Исследование также может охватывать документы, образцы товаров, виды услуг, события, достижения в области науки и технологий, контакты между людьми и т. д. Аналитическая работа включает построение моделей в области экономической безопасности организаций (компаний), создание специализированных методов исследования, расчет потенциального ущерба от реализации угроз всем функциональным компонентам и своевременное внесение предложений по их предотвращению. В отсутствие аналитического блока эти задачи выполняются службой экономической безопасности и руководителями компаний.
Деятельность отдельных подразделений службы безопасности в определенной степени требует юридического сопровождения, в частности, из-за нестабильности российского законодательства. По этой причине в качестве сотрудника корпоративной безопасности часто нанимают юриста. В связи с многомерностью политики безопасности подключаемых систем к ее созданию привлекаются представители всех важных направлений компании (организации). Политика безопасности организации охватывает принципы безопасности и основные направления общей стратегии развития организации. Он должен отражать широкий спектр соображений, включая защиту прав личности, соблюдение юридических требований организации и нормативных требований.[3]
Что касаемо информационной безопасности, все рекомендации, которые содержат необходимую информацию, сводятся к рекомендации создания службы информационной безопасности для органа с администратором безопасности, который объединяет все аспекты информационной безопасности. Работа в столь важном отделе должна содержать:
1) оценку состояния безопасности аналитических систем с координацией работ по всем направлениям реализации программы безопасности АС. Реализация данной функции осуществляется набором средств защиты информации;
2) сканирование всех доступных сетевых и локальных хранилищ информации (рис. 1);
Рисунок 1 – Сканирование сети: назначение и защита от данного типа угрозы.
3) уведомление Совета Безопасности об обнаруженных нарушениях политик безопасности и теневое копирование обнаруженных подозрительных файлов в архив;
4) реализация функций с использованием системы аутентификации рабочих станций;
5) организационная поддержка использования крипто-инструментов, решающих задачи интеграции сетевых ресурсов в единую корпоративную виртуальную сеть и организации юридически значимого доку [4]
1.3 Создание и состав служб информационной безопасности
Нуждается ли предприятие в отделе информационной безопасности или же для компании создание столь комплексного отдела не имеет смысла? Это зависит от ряда условий и причин, но в первую очередь необходимо определить следующие факторы:
Ниже приводится описание того, почему любой из вышеперечисленных критериев требует особого рассмотрения.
Если в компании расположено много компьютеров, имеет смысл работать с ними большому количеству сотрудников. Даже без сети ПК сам по себе является ценным активом. Когда дело доходит до информационной безопасности, физический доступ к информационной безопасности часто упускается из виду. При прикосновении к компонентам компьютера не все сотрудники понимают, что что-то не так, потому что не понимают или слишком ленивы, чтобы понять, что происходит. Проблемы с сетевой информацией уже возникают.
Если вы не отслеживать действия сотрудников, в какой-то момент компьютерная система может выйти из строя из-за использования несовместимого программного обеспечения, и кто виноват? А кто представит давно подготовленный отчет? Должна ли ИТ-безопасность позаботиться обо всех этих проблемах? Или у одного из сотрудников может быть модем для выхода в Интернет. Сколько времени нужно, чтобы заблокировать систему, локальную сеть или просто выключить ее? Или, например, сотрудник хранит важную информацию на своем компьютере в личном кабинете. Возможно, он оставит пароль на листе бумаги возле клавиатуры. Всегда ли будет данный сотрудник держать этот листок бумаги в личном распоряжении? Все эти ситуации создают ряд угроз информационной безопасности.
Каким должен быть состав при построении службы информационной безопасности? Ответ на этот вопрос должен исходить из целей и условий компании. Рассмотрим классический вариант для большой компании. Такая компания нуждается в сервис-менеджере – человек, способный определить общую тактику или стратегию. Он должен быть подотчетен руководству и нести ответственность за свои решения. Как профессионал он должен обладать следующими качествами:
Также существует общая направленность функций, которым должны соответствовать сотрудники службы безопасности:
Рисунок 2 – Факторы, влияющие на организационную структуру службы безопасности в промышленной компании.
Особенности построения организационной структуры службы безопасности (Рис. 2) зависят от:
Помимо этих объективных факторов, на выбор структуры безопасности могут влиять и субъективные факторы. Например, наличие финансовых ресурсов, которые могут быть использованы для обеспечения безопасности, или субъективное мнение менеджера, который считает, что затраты на обеспечение безопасности не окупаются и поэтому не нужны.
Конечно, универсальную структуру службы безопасности предприятия - объекта защиты представить будет очень сложно из-за разнообразия форм проявления на нем отмеченных факторов. Однако, судя по всему, можно говорить о некотором наборе типовых направлений деятельности служб безопасности, исходя из условного разделения совокупности объектов защиты на следующие группы:
1) крупные финансово-промышленные группы и акционерные общества с частным и смешанным капиталом;
2) государственные производственные объединения;
3) акционерные и частные коммерческие структуры (крупные, средние, мелкие).
1.4 Оценки рисков и анализ угроз информационно-аналитических служб ИБ
Различные структуры и оперативные формы служб безопасности можно в целом разделить на два основных типа:
1) они входят в структуру предприятий и полностью ими финансируются;
2) они существуют как независимые коммерческие или государственные организации и уполномочены предприятием выполнять задачи по обеспечению определенных аспектов безопасности предприятия.
Первый тип организационной структуры можно рассматривать как многофункциональную корпоративную службу, которая занимается всем спектром вопросов безопасности. Обычно это касается крупных, финансово устойчивых организаций, таких как коммерческие банки, инвестиционные фонды и финансово-промышленные группы, которые используют собственный персонал и оборудование.
Ко второму типу относятся те, кто специализируется на предоставлении охранных услуг. Они могут решать широкий спектр задач, от комплексной защиты компании до выполнения определенных функций (например, обнаружение перехвата, защита транзитного трафика, личная защита сотрудников). В некоторых случаях компании экономически выгоднее заключить договор со специализированной организацией на выполнение определенных функций безопасности, чем содержать собственную организацию. То же самое касается использования услуг частных компаний, например, для решения проблем, связанных с угрозами безопасности компаний, в частности, вызванных техническими вмешательствами: обнаружение подслушивающих устройств, наблюдение за воздухом, особенно когда такие меры необходимы в каждом кейс. Принимая во внимание очень высокую стоимость оборудования, необходимого для технического обнаружения вторжений, более экономично привлекать внешних специалистов, чем содержать необходимое оборудование и персонал. Также необходимо учитывать затраты на профилактическое обслуживание, обслуживание и замену устаревшего оборудования, и обучение персонала.
Сложная часть работы ИБ-аналитика заключается в поиске пресловутых активных угроз в пресловутом стоге сена. Кроме того, видеть и анализировать полную картину, выходящую за рамки текущей угрозы. И в результате блокировать все подобные угрозы или придумать одноразовый, но эффективный ответ. Несомненно, потенциальных угроз информационно-аналитических служб информационной безопасности существует достаточное количество. Как и любая служба, подконтрольная человеку, она имеет свои достоинства, но в то же время самим фактом существования дискредитирует саму себя тем фактом, что ей управляет не машина, а работник IT технологий. Перечислим несколько потенциальных из потенциальных проблем.
Пробелы в информации. Некоторые пробелы можно быстро выявить, так как они являются результатом недостаточного исследования, в то время как другая часть информационных пробелов может не быть обнаружена аналитиком, поскольку они были упущены на этапе сбора информации - самой информации. Очевидно, что второй тип информационного разрыва гораздо опаснее. Следует проводить четкое различие между «неполной информацией» и «отсутствием информации». Недостаток информации — это отсутствие неактуальной информации, что естественно, поскольку получить всю информацию невозможно. Кроме того, такая информация будет избыточной и усложнит анализ. Отсутствие информации означает, что нет информации, которая имеет существенное значение для ситуации или необходимую для устранения несоответствий. Эта информация нужна для анализа. Теперь, когда информационные пробелы определены, необходимо углубится, что они означают для дальнейшего анализа. Нельзя откладывать создание аналитического отчета на неопределенный срок под предлогом выявления информационных пробелов. В какой-то момент следует понять, что было собрано достаточно данных для решения проблемы. Кроме того, играют роль факторы времени и денег, потому что решение проблемы ограничивается обоими. Персонал ИАС должен стремиться выполнить задачу имеющимися средствами и в разумные сроки.[6]
По итогам реализации предыдущих этапов приступают к подготовке аналитических отчетов по конкретной теме, выработке конкретных выводов и предложений. Подготовка отчетов — это основная обязанность аналитика в сфере ИБ, а готовый отчет является результатом функционирования системы аналитической работы. Отчеты могут быть представлены в различных формах. В большинстве случаев отчет пишется, но его также можно составить устно, проиллюстрировать графиками, таблицами, диаграммами и т. д. В случае жестких сроков отчет имеет право быть представленным устно в форме вопросов и ответов.
Анализ угроз. Анализ угроз является фундаментальной частью работы аналитики и отвечает на вопрос, что или кого нужно защищать от ранее определенных объектов защиты. Угрозы конфиденциальной информации — это объективные и субъективные события, явления, факторы, действия и обстоятельства, угрожающие ценной информации.
Объективными источниками могут быть: экстремальные ситуации, неадекватное техническое оснащение и т. д. Субъективные источники относятся к человеческому фактору и включают: злоумышленников разного рода, посторонних лиц, посетителей, неквалифицированный или безответственный персонал, психически неуравновешенные люди, сотрудники, оскорбленные руководством, и т. д. угрозы могут быть внешними или внутренними. Внешние источники находятся вне компании и представлены чрезвычайными событиями, а также организационными структурами и людьми, вовлеченными в деятельность компании. Внутренние источники угроз — это смертельные события на территории компании и персонала. Однако наличие опасности само по себе не является угрозой. Угроза реализуется в действии.
Аналитическая работа с источниками угроз конфиденциальной информации включает:
Не менее важны так называемые периодические направления аналитической работы, которые проводятся через определенные промежутки времени с целью отслеживания эффективности и возможности внесения улучшений в систему защиты информации, действующую в компании. К этому виду аналитической работы в первую очередь относится анализ степени защищенности компании. Очевидно, что постоянная и ежедневная аналитическая работа в этой сфере не имеет смысла. Достаточно проводить анализ через определенные, специально установленные промежутки времени. Это направление аналитической работы напрямую зависит от анализа состава угроз - постоянного направления аналитической работы. Именно результаты аналитической работы по выявлению угроз позволяют установить рациональную периодичность анализа эффективности структуры действующей системы безопасности компании. Поэтому при появлении дополнительных угроз аналитическую работу (проверки, контрольные мероприятия и т. д.) следует проводить чаще.[7]
Разовые направления аналитических исследований также очень важны в связи с тем, что они чаще всего вызваны чрезвычайными ситуациями, авариями, неожиданными проблемами и т. д. Они требуют скорейшего тестирования. Типичным примером разовой аналитической работы является проверка подозрений на потерю конфиденциальной информации компании и злонамеренной деятельности, а также анализ нарушений конфиденциальности в компании. Последнее направление также является частью подсистемы периодических направлений. Однако любое нарушение конфиденциальности следует незамедлительно расследовать и анализировать.
Вывод: все направления аналитической работы, независимо от их вида, в том числе разовые, должны быть объединены в одну систему, позволяющую эффективно принимать решения, предотвращать риски и прогнозировать развитие событий - действия на опережение.
1.5 Универсальный алгоритм построения системы безопасности
На основе обобщений, сделанных в организации службы безопасности, можно предложить следующий сводный алгоритм выработки решений по ее структуре применительно к специфике деятельности того или иного хозяйствующего субъекта:
В целом, предложение о концептуальной организации управления системами безопасности, с сильной вертикальной цепочкой подчинения и взаимной подотчетностью, вытекает из практического опыта защиты государственных и коммерческих секретов. Выбор такой концепции обусловлен высоким уровнем издержек - экономических потерь, которые компания вынуждена нести в случае угроз ее безопасности - и взаимосвязью между корпоративной, личной, общественной и статусной безопасностью.[8]
Рисунок 3 – Схема построения универсальной системы безопасности.
2. ПРИНЦИПЫ РАБОТЫ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКИХ СЛУЖБ ИБ
2.1 Принципы работы и визуализация информационно-аналитических служб ИБ
2.1.1 SIEM
SIEM (Security information and event management) — это класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности. Фактически речь идет об обработке журналов событий, в основном журналов операционных систем, сетевых устройств и других инструментов безопасности, и их дальнейшем комбинированном анализе. В конце анализа используется классическая математическая статистика, чтобы люди могли надежно интерпретировать исходные данные. Чтобы получить представление о том, как выглядит работа с журналами событий, необходимо познакомиться с событиями операционной системы Windows, открыв на своем компьютере средство просмотра событий (рис. 4):
Рисунок 4 – Анализ работы операционной системы Windows в программе SIEM.
Здесь можно просмотреть тысячи или даже десятки тысяч системных событий и событий безопасности: запуск и завершение процесса, блокировка учетной записи, выполнение команд PowerShell и многое другое. SIEM способна: связать, затем найти корреляции между событиями операционной системы и событиями, зарегистрированными сетевыми устройствами и другими системами безопасности, и, наконец, сделать их значимыми для нас. [9]
В качестве небольшого примера предположим, что цель аналитика безопасности - отслеживать удаление важного файла. Также возможно, что это удаление при корреляции с другими событиями указывало бы на настоящую атаку. Для ИТ-специалиста, не знакомого с SIEM, это может показаться очень простой задачей: просто найти в журнале событий Windows событие удаления, связанное с этим файлом (рис. 5):
Рисунок 5 – Отслеживание удаления файла с помощью SIEM.
К сожалению, если посмотреть на событие удаления файла Windows, отсутствует важная информация: имя файла и путь. Как тогда определить имя файла, связанного с событием удаления в журнале Windows? Это непросто, потому что эта информация распределена по нескольким записям журнала. Необходимо сравнить событие удаления 4660 с другим событием доступа к объекту 4663. На практике вполне вероятно, что ИТ-специалист будет искать эти два события, 4660 и 4663, а затем объединит информацию от них, чтобы получить полную картину. К слову, включение проверки активности сервера в Windows (запрос файловых событий, как описано выше) - довольно ресурсоемкая задача - и, по разным оценкам, может занимать до 30% мощности файлового сервера. Поэтому есть специализированные решения.
Даже этот очень простой пример показывает, что работа с SIEM — это интенсивный и сложный процесс, требующий много ресурсов. Кстати, как отмечают аналитики безопасности, именно по этой причине SIEM имеет фундаментальные ограничения, по крайней мере, для первых поколений этих продуктов.
Обнаружение инцидентов безопасности в необработанных журналах событий по своей сути сложно, а SIEM имеет тенденцию давать слишком много неточных и ложных срабатываний.
Вот где у аналитиков информационной безопасности есть значительное преимущество перед SIEM: они гораздо более опытны и дальновидны в просмотре необработанных данных о событиях и используют результаты анализа для принятия более эффективных решений по управлению ИТ.
2.1.2 UBA
Анализ поведения пользователей (UBA) считается более консолидированной версией SIEM. Да, как и SIEM, он основан на журналах событий. Однако UBA фокусируется на том, что делает пользователь: запущенные приложения, сетевая активность и наиболее важные открытые файлы (когда был открыт файл или электронное письмо, кто его открыл, что они с ним делали и как часто). Таким образом, UBA — это, по сути, SIEM, но с дополнительной историей и контекстом. UBA может обнаруживать потенциальные атаки и определять, исходят ли подозрительные действия от хакеров, инсайдеров, вредоносных программ или других процессов и служб.
Речь идет о машинном обучении и методах анализа / прогнозирования больших данных. Эти анализы помогают установить исходный уровень, который можно использовать для прогнозирования того, что является нормальным, а что нет.
SIEM, безусловно, является разумным подходом к обнаружению атак. Однако без дальнейшего контекста выводы и меры, основанные на статистике SIEM, менее надежны. По сути, это будут "ложные срабатывания", когда SIEM-система указывает на угрозу, хотя ее нет. В какой-то момент приход осознание того, что почти в 100% случаев SIEM анализирует ложные угрозы. И в конце концов мы полностью игнорируем их, наряду с теми, которые, безусловно, заслуживают вашего внимания.
UBA рассматривает атаки в контексте, что уменьшает количество ложных срабатываний. Системы UBA обрабатывают тот же поток событий, но с точки зрения повседневной деятельности людей в компьютерных системах, а затем сравнивают его с четко определенным, нормализованным базовым уровнем. Это позволяет им более точно выявлять аномальную активность, используя собственные алгоритмы и правила.
Системы UBA предоставляют более четкие данные, на основе которых сотрудники службы ИТ-безопасности могут принимать более эффективные решения. Чтобы сделать данные пригодными для использования людьми, необходима визуализация, позволяющая с первого взгляда определить, какие пользователи проявляют аномальное поведение (рис. 6).
Рисунок 6 – Мониторинг безопасности системой Varonius.
Панели мониторинга безопасности представляют собой многоуровневые графические интерфейсы, которые позволяют нам исследовать и видеть дополнительную информацию, например, просматривать сведения о затронутом пользователе, щелкнув всплывающую карту пользователя. Например, на панели управления Varonis (см. Изображение выше) можно легко увидеть, какие пользователи подвергаются атаке, какие устройства с ними связаны, в каких моделях угроз они участвуют.
В конечном итоге это должно привести к обсуждению моделей угроз, которые на самом деле являются формальным способом выявления и оценки потенциальных угроз и уязвимостей. Например, известная исследовательская лаборатория Массачусетского технологического института Mitre обладает отличной базой знаний о текущих моделях угроз, которые заслуживают вашего внимания.
В корпоративном сегменте наиболее распространенными вариантами использования UEBA являются обнаружение угроз и реагирование на угрозы, а также обнаружение и реагирование на внутренние угрозы (в основном люди, которые были взломаны, а иногда и злоумышленники).
UEBA — это одновременно решение и функция, встроенная в устройство:
Решение - производители «чистых» платформ UEBA, в том числе вендоры, продающие SIEM-решения отдельно. Система анализирует поведение пользователей и организаций, уделяя внимание широкому кругу бизнес-задач.
Встроенные - поставщики / организации, использующие функции и технологии UEBA в своих решениях. Обычно фокусируется на более конкретном наборе бизнес-целей. В этом случае UEBA используется для анализа поведения пользователей и / или организации.
Популярная консалтинговая компания «Gartner» рассматривает UEBA в разрезе трех осей, включая решаемые задачи, аналитику и источники данных (рис. 7).
Рисунок 7 – Анализ работы UEBA компанией «Gartner».
Согласно отчётам Gartner, "чистые" платформенные решения UEBA заключаются в:
2.2 Практические проблемы служб ИБ на предприятии
На момент 2020 года компания «Ростелеком-Solar» собрала статистику взломов хакерами обычных пользователей. Для наглядности приведу лишь некоторую её часть. Более 70% изощренных атак начинаются с фишингового электронного письма, которое сотрудник получает и случайно нажимает на сомнительную ссылку. Получается, что в организациях процент сотрудников, совершающих безрассудные скачки, составляет 30%. Среднее время, необходимое для начала атаки на первый взломанный компьютер, составляет 28 секунд, и как только злоумышленник получает контроль над компьютером, он может легко превратить его в точку доступа для управления конфиденциальной информацией и данными системы. 49% вредоносных программ устанавливается по электронной почте. Тот факт, что большинство сотрудников используют короткие повторяющиеся пароли для разных учетных записей, также упрощает хакерам поиск ключей доступа. Исследование показало, что каждый седьмой сотрудник, не прошедший специальной подготовки, попался на уловки социальной инженерии. А наиболее уязвимые отделы ... Юридические отделы (каждые четыре сотрудника). Их контролирует бухгалтерия (каждые пять) и, наконец, секретариат (каждые шесть). [10]
В современных условиях традиционные методы и средства работы служб информационной безопасности, которым многие компании пока следуют только по инерции, перестают работать. И чем больше времени требуется, тем больше ставится под сомнение эффективность организации информационной безопасности.
Таблица 2.2
Развитие ИБ в России
Организация ИБ вчера | Организация ИБ сегодня | |
Ресурсы бизнеса, вовлеченные в обеспечение ИБ | Служба ИБ. В меньшей степени - ИТ-подразделения и HR-подразделения Организация ИБ вчера | Все подразделения и сотрудники компании. Служба ИБ выступает как инициатор и неформальный лидер работы с персоналом Организация ИБ сегодня |
с целью обеспечения ИБ в компании | ||
Ответственность службы ИБ | За состояние систем информационной безопасности | За информационную гигиену сотрудников, сквозные процессы обеспечения ИБ, за результаты и последствия в сфере ИБ |
Содержание мер информационной защиты | Разовая установка технических средств защиты. Разовый инструктаж сотрудников при приеме на работу. | Непрерывный процесс на основе мониторинга новых видов угроз. Анализ новых инцидентов. Постоянное обновление способов защиты и содержания обучения сотрудников. |
Способы вменения сотрудникам ответственности за соблюдение правил ИБ | Подписание при приеме на работу документов неясными терминами и громоздкими описаниями. Выпуск высшим руководством организационно-распорядительных документов | Полноценное периодическое обучение людей на подходящем для компании материале, в формате практикумов и с тестированием навыков на выходе |
Первое правило успешной ИТ-организации – ИТ-отделы должны научиться разговаривать со своими сотрудниками на языке, который они понимают. Терминология, используемая в стеке инструкций для персонала и политик, не только сбивает с толку, но и отражает устаревшие правила, которые больше не применяются. Люди должны знать о конкретных типах рисков и убытков, которым подвержен бизнес, в котором они работают. В случае банковского сектора целью номер один для преступников являются деньги клиентов, в случае высокотехнологичных отраслей - коммерческие тайны, в случае крупных компаний - личные базы данных B2C (с целью похищения клиентов) и т. д. Обоснование правил - «не открывать ссылки в электронных письмах. Электронные письма от неизвестных получателей», «регулярно менять свой бизнес-пароль», «распознавать подозрительные веб-сайты», «защищать данные на личных мобильных устройствах» - необходимо общаться с конкретные примеры из отрасли. Образование и обучение должны основываться на конкретных фактах, близких к реальности: последствиях нарушения кибербезопасности, нанесенном ущербе и ответственности виновных.[11]
Второй принцип — это практический характер обучения. Ни лекций, ни убедительных примеров недостаточно, чтобы привить людям навыки информационной гигиены: необходимо регулярное обучение, чтобы правила безопасности на рабочем месте стали автоматической привычкой.
Третье, что необходимо делать постоянно – это поддерживать мотивацию людей.
В-четвертых, программы обучения постоянно обновляются и дополняются с учетом вновь выявленных типов атак. По данным «Solar JSOC Observatory», каждую неделю возникает от пяти до шести новых типов атак. Только служба информационной безопасности, которая активно «взаимодействует» с профессиональным сообществом информационной безопасности, может быть в курсе новых угроз и тенденций и предлагать действительно актуальные учебные материалы. В связи с этим практика передачи инструкций по обучению информационной безопасности руководителям бизнес-единиц или отделов кадров и предоставление им возможности попробовать провести обучение самостоятельно становится все менее и менее уместной. Линейные руководители, сотрудники HR и учебных центров часто не понимают масштабов проблем информационной безопасности или деталей и специфики соответствующей компании. Обычно они не заинтересованы в улучшении информационной безопасности только потому, что не знакомы с проблемой. Поэтому специалисты по информационной безопасности должны участвовать на всех этапах обучения персонала, начиная с мотивации сотрудников на участие в тренингах и заканчивая тестированием ответов на фишинговые атаки.
Службы ИБ не всегда располагают ресурсами для управления и осуществления необходимых мероприятий. Однако специалисты по ИБ являются основным и зачастую единственным источником знаний, которые можно использовать для мотивации и вовлечения руководства и других сотрудников отделов в деятельность по ИБ. Поэтому инициатива отделов ИБ, неформальные горизонтальные коммуникации, встречи, обучение и участие - единственный способ сделать корпоративную систему ИБ действительно современной и эффективной.[12]
2.3 Структура корпоративных служб управления информационной безопасностью
Цели корпоративной информационной безопасности - обеспечить бесперебойное функционирование организации и минимизировать ущерб от событий, связанных с рисками безопасности, путем их предотвращения и сведения к минимуму их последствий. Управление информационной безопасностью позволяет обмениваться информацией, одновременно защищая ее. Управление информационной безопасностью должно обеспечивать соответствующий уровень информационной безопасности внутри компании (рис. 8).
Рисунок 8 – Основные компоненты информационной безопасности.
Целостность - обеспечение точности и полноты информации.
Конфиденциальность - защита конфиденциальной информации от несанкционированного раскрытия или перехвата.[8]
Доступность - обеспечение доступности важной информации и услуг для пользователей, когда они в них нуждаются.
Управление корпоративной информационной безопасностью включает в себя разработку и внедрение политики информационной безопасности, которая включает в себя обеспечение наличия в компании системы безопасности предприятия. Документированная информация, управление персоналом, государственными служащими и доступ к конфиденциальной информации, а также определение основных мер безопасности. механизмы, инструменты и архитектура.[13]
Процесс управления информационной безопасностью должен быть реализован как часть программы информационной безопасности, официально утвержденной и поддерживаемой руководством.
Обязательной составляющей структуры спецслужб на предприятии является служба безопасности, которая охраняет территорию, здания, сооружения, коммуникации, коммуникации, средства производства, транспортные средства, товары, продукцию, документы, денежные средства, ценные бумаги, деловые мероприятия, бизнес. встречи, персонал, конфиденциальная информация и интересы предприятия от преступных посягательств и других угроз безопасности.
Координационным центром по обеспечению информационной безопасности в автоматизированной информационной системе организации должно быть специальное подразделение - служба (отдел) защиты информации (рис. 9). Это подразделение может быть интегрировано в службу безопасности как структурное подразделение или подчиняться непосредственно первому лицу.
Рисунок 9 – Типовая структура для организации информационной безопасности в компании.
Отдел информационной безопасности организует и координирует работу корпоративных подразделений по комплексной защите информации, контролирует и оценивает эффективность принимаемых мер по обеспечению информационной безопасности компании. Основными задачами отдела информационной безопасности являются [14]:
Эту службу должен возглавлять соответствующий руководитель (начальник отдела), а в структуру должны входить должностные лица, ответственные за индивидуальные охраняемые территории. Ими могут быть:
Эти должности, конечно, могут параллельно занимать обученные сотрудники в вопросах информационной безопасности. Кроме того, в каждой назначенной комнате указаны лица, ответственные за обеспечение информационной безопасности. За каждым объектом (группой объектов) компьютерной техники закреплены одни и те же ответственные лица. Что касается безопасности телекоммуникаций и коммуникаций, должны быть лица, ответственные за обеспечение безопасности всех коммуникаций (телефон, телеграф, факс, передача данных).
В каждом подотделе по представлению начальника подотдела по согласованию со службой информационной безопасности (рис. 10) из числа сотрудников подотдела назначается сотрудник по информационной безопасности. Администратор информационной безопасности подчиняется непосредственно руководителю подразделения, сотрудником которого он является.[15]
Рисунок 10 – Руководители службы ИБ.
ЗАКЛЮЧЕНИЕ
Во-первых, проблема информационной безопасности — это проблема выбора человека - воспринимаемой информации, поведения в обществе и государстве, выбора способа коммуникации. Необходимо хорошо понимать себя и идентифицировать себя в мире, в обществе, осознавать цели и средства их достижения, сознательно обрабатывать информацию и передавать только контролируемые, точные и цели.
Информация, несомненно, является основой всего процесса управления в организации, работы менеджера и заключается в ее сборе, изучении, обработке и грамотной интерпретации. Эффективность управления, и, в частности, качество управленческих решений, зависит от уровня организации сбора, обработки и передачи информации.
По мере роста числа известных угроз и появления новых типов информационных угроз крупным организациям становится все труднее защищать свои корпоративные сети от вредоносных программ и сетевых атак.
Информационная безопасность компании — это состояние защиты данных компании, гарантирующее их конфиденциальность, целостность, подлинность и доступность. Информационная безопасность компании может быть гарантирована только с помощью системного и комплексного подхода к защите. Система информационной безопасности должна учитывать все соответствующие киберугрозы и уязвимости.
Комплексная информационная безопасность для предприятий и организаций требует постоянного мониторинга в режиме реального времени всех значительных событий и условий, влияющих на безопасность данных. Защита должна осуществляться 24 часа в сутки и охватывать весь жизненный цикл информации, от ее ввода или создания до уничтожения или потери актуальности.
Эти методические рекомендации позволяют использовать, обрабатывать и хранить информацию наиболее эффективным и действенным образом с целью повышения качества информационной безопасности предприятия в целом.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ