Информационная безопасность
Дата публикации: 11 Декабря 2013

В современном мире информация и её обработка занимает ключевое место в организации успешного бизнес процесса. Наличие или отсутствие необходимых сведений критически влияет на бизнес-процесс и принятие верных решений. Информация и информационные системы не только являются частью бизнес процессов, зачастую с их помощью управляют всеми бизнес-процессами. Доступность и актуальность информации о Ваших услугах в web-контенте определяет количество заинтересованных клиентов.  

Проведем краткий обзор основных понятий информационной безопасности (ИБ)

Существует три основополагающих элемента ИБ:
  • Доступность [Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации»] – это состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
  • Целостность[Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации»] – это состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
  • Конфиденциальность информации [1 - Федеральный закон «Об информации, информационных технологиях и о защите информации»] — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Существует множество определений конфиденциальной информации (КИ), будем оперировать следующим определением: КИ – сведения, разглашение которых может нанести вред бизнесу Вашей организации.
ИБ может быть обеспечена полностью только комплексным подходом, когда все три требования: доступность, целостность и конфиденциальность  - выполняются одновременно!
Обратимся к статистике за 2011 год по версии сайта Infowatch.ru. За 2011 год аналитическим центром компании InfoWatch зафиксирован 801 инцидент, связанный с утечками конфиденциальной информации. Это примерно на 1% больше, чем в предыдущем году. Это - количество утечек, которые произошли в организациях в результате злонамеренных или неосторожных действий сотрудников и были обнародованы в СМИ или других открытых источниках (включая Web-форумы и блоги).
Количество утечек информации растет год за годом, информации больше, безопасности меньше:

С 2008 года соотношение случайных и намеренных утечек изменилось не сильно, оно колеблется в районе 45% к 45%. Точно определить намеренность утечки информации становится сложнее, так как количество каналов передачи информации и массовое использование новых устройств и средств коммуникаций из года в год растет стремительными темпами.

Каналы утечки

Каналы утечек информации могут быть различны. В случае с утечкой информации у пользователей лидирует канал «Бумажные документы», далее следуют  средства вычислительной техники и её инфраструктура.
Работа с компьютерами, мобильными устройствами, телефонные звонки, планерки и переговоры клиентами и партнерами - все это может привести к утечке информации или разглашению ее третьим лицам. Отключение электроэнергии, аварии у провайдера телекоммуникационных услуг ведут к отказу в доступе к нужным ресурсам, отсутствию необходимых данных для работы организации. Ошибки при работе с файлами, потеря как физических, так и электронных документов, приобретение ненадежных хранилищ информации, средств хранения данных или сейфов, отсутствие или ошибки в политике резервного копирования, утрата  электронных мобильных устройств – и все, нужная информация может быть утеряна навсегда. Или же Вас ждет долгий процесс восстановления в лучшем случае.

Осторожно, нарушители!
Обратимся к модели нарушителя как к одному из основных факторов, рассматриваемых при организации ИБ. Нарушителем информационной безопасности является любое лицо, действие или бездействие которого привело к возникновению угрозы информационной безопасности.
Бездействие тоже может привести к угрозам ИБ, об этом нужно помнить  обязательно!
Основной классификацией нарушителей ИБ является разделение на внутренних и внешних нарушителей.

Так же нарушители могут быть как мотивированными так и не мотивированными.
 
Статистика нарушителей


В точки зрения статистики количество инцидентов, инициаторами которых были как умышленные,  так и случайные нарушители, примерно одинаково! Поэтому руководители организаций при применении даже организационных мер могут повлиять на количество случайных угроз. При применении дополнительных средств защиты можно уменьшить и умышленные угрозы. Но даже самые простые меры защиты внедряются не везде и не сразу, хотя при соответствующем исполнении сотрудниками требований по ИБ угрозы можно сократить вдвое!

Что же угрожает информационной безопасности?
Обратим внимание на такой фактор ИБ, как угрозы. Угрозы ИБ могут быть различными, существует множество способов и методов несанкционированного доступа к информации, информационным ресурсам и сопровождающей инфраструктуры. При этом защищенность системы в целом определяется защищенностью самого слабого звена.
Обратим внимание на большую разницу утечек по каналу "Web и Интранет": умышленные и случайные относятся как 8,4% к 21,7%. Для канала «Электронная почта» также превалируют неумышленные нарушения конфиденциальности: соотношение умышленных и случайных составляет 3,5% к 10,1%. А для преднамеренной кражи информации чаще используются другие каналы.  Для средств вычислительной техники (кроме мобильных устройств) более вероятен инцидент с умыслом, так как намеренных утечек больше. В случае кражи мобильных устройств нельзя точно определить, что послужило фактором кражи: стоимость устройства или стоимость информации на нем.
Приведем наиболее частые угрозы ИБ:
  • Не криптостойкие пароли (один на всё, простые пароли).
  • Обмен учетными данными (разглашение).
  • Не блокированное рабочее место при отсутствии пользователя.
  • Использование программ, не предназначенных для рабочего процесса.
  • Социальные сети и серфинг в Интернет.
  • Использование внешних файловых хранилищ и почты при работе пользователей.
  • Несанкционированное использование удаленного доступа к рабочим местам.
  • Вход в помещения в нерабочее время.
  • Видимость мониторов в окна.
  • Контрафактное программное обеспечение.
  • Использование не защищенной мобильной техники (шифрование, блокировка на пароль).
  • Забытые документы в принтере.
  • Использование черновиков с КИ.
  • Разграничение доступа к сетевым ресурсам КИ «для всех».
  • Хранение и передача не зашифрованных данных на съемных носителях.
  • Обсуждение конфиденциальных данных в присутствии посторонних.    
  • Хранение конфиденциальных документов на столах без их обработки.
  • Отсутствие порядка работы с уволенными сотрудниками.


Кто в ответе?
Перейдем к ответственности. Кто ответственен в первую очередь в организации за ИБ? Это руководитель! Вся ответственность за организацию  информационной безопасности лежит на руководителе данной организации. Именно руководитель должен принимать решения по обеспечению информационной безопасности. Сотрудники организации должны знать и понимать меры ответственности за нарушения требований ИБ.
Какие меры может принять руководитель для сокращения угроз ИБ? С чего необходимо начать:   
  • Разработать и держать в актуальном состоянии политику информационной безопасности компании. Политика должна быть описана простым языком. Основные ее положения необходимо рассказывать новым сотрудникам на первом же инструктаже.
  • Внедрить средства, действительно реализующие эту политику. Не можете позволить себе некоторые средства контроля – уберите соответствующие пункты из политики.
  • Информировать сотрудников о том, что практически все действия в корпоративной сети могут контролироваться. Следует определить и явно озвучить правила и ответственность за их нарушение. 
  • Проводить аудит безопасности. Проконтролировать исполнение правил ИБ.
  • Скорректировать мотивационные схемы персонала. В этом случае персонал мотивирован на то, чтобы контролировать свою загрузку в рабочее время.

Резюме
В современном мире информация имеет высокую ценность,  и является своего рода оружием, представьте, если в конкурентной борьбе планы развития, стратегия Вашей компании будут доступны Вашим конкурентам, выиграть такую не равную борьбу будет очень сложно или даже не возможно.
Или давайте рассмотрим вариант когда в результате сбоя в оборудовании (сервер, компьютер, ноутбук) утеряны важные данные, например база данный бухгалтерского учета, представьте как сложно и дорого восстановить эти данные, если не выполнялось  ни каких резервных копий, или копии не актуальны.
Для того чтобы это не случилось с Вами и Вашей компанией, необходимо внедрять корпоративную политику безопасности, поддерживать ее в актуальном состоянии, развивать.

IT-Безопасность IT-Новости Программисту Руководителю

ВЕРНУТЬСЯ К СПИСКУ СТАТЕЙ