Управление ИТ безопасностью. Аудит систем и инфраструктуры

Данные, которые хранит и использует предприятие, могут стать источником угрозы для ее прибыли, репутации и даже существования. В этой статье поговорим о том, что такое ИТ безопасность, как этой безопасностью управлять, и какую роль  в управлении ею играет аудит инфраструктуры и систем.

Что такое информационная безопасность?

В самом общем смысле этим термином обозначают принятие мер для обеспечения защиты данных и инфраструктуры от сторонних лиц. Если раньше защищали сведения в бумажном формате, то в современном мире больше ориентируются на защиту цифровой информации, — но принцип обеспечения остался прежним, и заключается он в создании безопасных пространств для хранения данных и установлении физических мер ограничения доступа к ней. 

Таким образом, информационная безопасность представляет собой состояние системы, благодаря которому ее инфраструктура является невосприимчивой к угрозам как внешнего, так и внутреннего характера. Соответственно целью управления ИТ безопасностью будет достижение указанного состояния.

Виды информации

Данные можно условно разделить на две группы:

• Общедоступные: обращаться к ним может любой пользователь;
• Конфиденциальные: доступны для ограниченного круга пользователей.

Защищать нужно данные обеих групп — различием в их защите будет являться только отсутствие необходимости обеспечивать конфиденциальность общедоступных данных. Даже если информация размещается для широкого круга пользователей (взять, например, интернет-магазин), — все равно нужно будет позаботиться о том, чтобы никто не мог поменять цену и другие сведения, указанные в карточках.

Конфиденциальная информация: классификация

Сведения, на которые распространяется действие принципа конфиденциальности, можно разделить на несколько видов.

Персональная информация. К ней относятся индивидуальные данные о конкретных субъектах — их ФИО, адрес, сведения документов, а также физиологические характеристики. Эту информацию охраняет Федеральный закон №152, а безопасность ее обеспечивают тот, кто работает с данными.

Коммерческая тайна. Эта разновидность конфиденциальной информации представлена данными, которые отражают внутренние процессы предприятия. К ним могут относиться сведения о клиентской базе, о применяемых технологиях производства или особенностях управления. Руководство предприятия само определяет, какую информацию отнести к понятию “коммерческая тайна”; однако оно не может скрывать сведения, которые должны быть открытыми в соответствии с Федеральным законом №98 (в частности, к ним относятся данные по учредителям).

Основной принцип отнесения информации к конфиденциальной заключается в следующем: если к ней получат доступ сторонние лица — это может нанести организации убытки.

Служебная тайна. Эти данные могут быть доступны определенным государственным органам или службам, которые обеспечивают их защиту. Как правило, пользователь может получить эти данные только на основании запроса.

Профессиональная тайна. В эту разновидность включается информация профессиональной деятельности — например, врачебная или адвокатская.

Государственная тайна. К ней относятся данные об экономическом, военном, техническом, научном, политическом состоянии государства. Обеспечение этой информации требует соблюдения наиболее жестких требований.

Информационная безопасность: задачи

Информационная безопасность основывается на нескольких принципах.

Обеспечение конфиденциальности

Управление ИТ безопасностью предполагает, что доступ к данным санкционирован, то есть предоставляется только лицам, у которых есть право на получение конкретной информации. Угрожать соблюдению этого принципа, например, может использование корпоративной учетной системы с персонального устройства, осуществление несанкционированного доступа к инфраструктуре или разглашение особенностей протекающих в организации внутренних процессов.

Обеспечение целостности

Соответственно этому принципу данные должны сохраняться в неизменном объеме и без возможности их корректирования вне разрешения на то собственника информации. Обеспечение целостности корпоративных сведений производится путем разграничения доступа, благодаря которому пользователь получает возможность управлять только тем участком информации, который нужен для осуществления его обязанностей. 

Например, логисту не нужны права на администрирование клиентской системы, бухгалтеру — доступ к сервисной инфраструктуре, а техподдержке — финансовая информация. Соответственно грамотное разделение доступа многократно повышает возможности не только утечки информации, но и ее порчи или утери — в том числе и непреднамеренной.

Обеспечение доступности

Это значит, что пользователь, у которого есть доступ к определенному участку данных, может к ним обращаться и использовать для осуществления своих рабочих обязанностей. Доступ не должен неожиданно пропадать — ни из-за информационной атаки, ни из-за технического сбоя, ни из-за другой угрозы, потому что это будет являться нарушением данного принципа.

Нарушение информационной безопасности

Потенциальное нарушение ИБ связано с воздействием угроз — ситуаций, предполагающих возможность получения сторонними лицами доступа к конфиденциальным данным, причем последние могут иметь как корпоративный, так и персональный характер. 

Угрозы можно разделить на три типа:

• Нелегальный доступ

Например, пользователь случайно, по ошибке получает доступ к системе, с которой работать не должен. Он может непреднамеренно нарушить корректность работы инфраструктуры, либо передать размещенную в ней информацию третьим лицам, которые используют ее для того, чтобы причинить убытки или нанести вред репутации предприятия.

• Изменение информации

Удалить или повредить данные могут как “живые” пользователи, так и вредоносное ПО либо технический сбой.

• Раскрытие данных

Предполагает распространение сведений, которые должны быть защищены от постороннего доступа. Например, утечка информации о разрабатываемом продукте может привести к воровству идеи конкурирующей организацией и потере компанией прибыли, которую она могла бы получить за счет выпуска товара.

Как преднамеренное, так и случайное создание угрожающих условий для информационной безопасности может иметь самые негативные последствия.

Инструменты управления безопасностью ИТ

Для защиты корпоративных и персональных сведений и инфраструктуры могут применяться разнообразные ИТ инструменты, — в частности:

• Средства технического характера

К ним относятся методы обеспечения защиты данных, а также то оборудование, которое ограничивает возможность доступа на физическом уровне. Например, это может быть двухфакторная аутентификация, благодаря которой третьи лица не смогут обращаться к защищенной информации.

• Программное обеспечение

Существуют программные средства для обнаружения угроз ИБ и минимизации рисков информационной безопасности. К ним относятся, например, антивирусы и брандмауэры, а также ПО для выявления подозрительной активности и технологии, которые позволяют шифровать данные по особым ключам.

• Организационные меры

В эту группу включают подписание договоров о неразглашении, обучение персонала мерам защиты данных и формирование на предприятии политики, регламентирующей корпоративную безопасность.

Обеспечение защиты данных осуществляется с применением следующих ИТ технологий:

1. Криптография: представляет собой преобразование информации в такой формат, который не позволяет считывать данные без наличия особого ключа (либо программного метода). К технологиям криптографии обращаются госорганизации для формирования электронных подписей, финансовые учреждения — для осуществления переводов, а обычные пользователи — при использовании Virtual Private Network (VPN) для доступа к сервисам, которые в РФ находятся под санкциями.
2. Брандмауэр: данная технология позволяет создавать “защитный экран”, который отделяет внешнюю сеть от самого устройства. С помощью этого метода, в частности, осуществляется управление ограничениями доступа к определенным интернет-ресурсам.
3. Блокчейн: с помощью этой технологии можно обеспечить распределенное хранение данных, разделяя их на объединенные по линейной схеме “цепочки”. Недостаток метода заключается в том, что при блочном хранении изменить информацию зачастую не представляется возможным. Одна из сфер, где сегодня востребована технология блокчейна, — это здравоохранение.
4. IntrusionDetectionSystem (IDS) представляет собой формирование условий для обеспечения безопасности относительно вторжений. Технология направлена на поиск явлений, которые по каким-то параметрам отличаются от нормы: например, к ним могут относиться нестандартная активность внутри корпоративной системы или нехарактерное для нее изменение трафика. 
5. IntrusionPreventionSystem (IPS). Если предыдущая технология направлена на отслеживание потенциальных угроз, то IPS — на их предотвращение. IntrusionPreventionSystem позволяет защищать информацию от внешних угроз и от угроз внутренних; для этого она может блокировать адреса, проверять используемые файлы и ограничивать возможности пользователей по установке программного обеспечения на индивидуальные устройства и гаджеты.
6. DataLossPrevention (DLP): с помощью этого решения можно воспрепятствовать возможностям утечки данных — например, заблокировав передачу данных через мессенджеры, ограничив использование почты для отправки информации или печатающих устройств для ее перевода в “бумажный” вид.
7. EndpointDetection and Response (EDR): использование этого метода помогает отслеживать опасную активность на устройствах, которые являются конечными сетевыми точками. Данная технология направлена на выявление подозрительных попыток получения доступа к данным или необычных пользовательский действий.
8. UserBehaviorAnalytics (UBA): позволяет отслеживать пользовательские паттерны для определения потенциальных угроз. С применением этой технологии на основе данных о поведении можно распознавать попытки осуществления доступа при отсутствии на это прав. Например, если злоумышленник попытается войти под чужой учетной записью в программу из другой страны, в необычное время, или захочет изучить файлы, которые не требуются обладателю учетки для работы, — аналитическая система распознает эти действия как подозрительные и примет меры: заблокирует учетку.

Как эффективно управлять ИБ на предприятии?

1. Оценивать риски

Чтобы защитить данные — нужен регулярный аудит безопасности по всем видам угроз. Нелегальный доступ, раскрытие и изменение информации, — все потенциально-опасные для предприятия ситуации должны быть идентифицированы: чтобы эффективно бороться с ними, руководители должны иметь под рукой данные аудита и понимать, на каких именно рисках стоит сосредоточиться (частых/вероятных), а какие — отслеживать по остаточному принципу (маловероятные).

Классифицируются риски не только по уровню потенциальной опасности, но и по следующим параметрам:

• Характеру последствий;
• Сфере появления;
• Уровню воздействия;
• Причинам формирования.

2. Разрабатывать, внедрять, совершенствовать политики безопасности

Политики фиксируются в документах и охватывают все составляющие информационной безопасности, начиная от мер обеспечения безопасности информации, и заканчивая требованиями к осуществлению удаленной работы. Политики безопасности не являются статичными: они должны постоянно пересматриваться в соответствии с результатами аудита. Для измерения эффективности политик применяются отдельные ИТ механизмы.

3. Отслеживать инциденты и реагировать на них

Для того, чтобы эффективно управлять информационной безопасностью, предприятию нужен действенный алгоритм, который позволит если не предупреждать инциденты благодаря своевременному аудиту, то хотя бы сводить к минимуму ущерб от них. О мерах отслеживания мы уже говорили выше, — а что касается способов действий, то это может быть, в частности, формирование плана мероприятий и “команд реагирования”, которые будут подключаться к обеспечению безопасности при угрозе инцидента, а также тестирование и регулярная симуляция потенциальных ситуаций, угрожающих информационной безопасности.

4. Использовать современные процессные решения

Угрозы могут меняться, а механизмы их осуществления — совершенствоваться. Соответственно для того, чтобы обеспечивать адекватный отклик и защищать информацию от посягательств, нужно постоянно модифицировать технологии и средства реагирования на инциденты, а также управление ими.

5. Регулярно проводить аудит инфраструктуры

Комплексное оценивание оборудования предприятия, а также его систем позволяет проанализировать релевантность тем требованиям, которые предъявляют к ним с точки зрения производительности, эксплуатационных проблем, безопасности информации и инфраструктуры.

6. Производить меры ИТ аудита

Мероприятия аудита, ориентированные на отслеживание уровня безопасности инфраструктуры и информационных ресурсов предприятия, а также на выявление “слабых мест”, позволяют объективно оценить, насколько устойчивы информационные сети и системы, соответствуют ли они требованиям безопасности, насколько они восприимчивы к угрозам и к каким — более прочих.

Регулярное осуществление аудита безопасности  ИТ инфраструктуры и систем позволяет “держать руку на пульсе”, обеспечивая идентификацию уязвимостей, распределение их по приоритетам, определение ресурсов для предотвращения угроз и формирование плана на случай, если угроза из потенциальной перейдет в реальную.

Роль аудита в управлении безопасностью

Регулярный аудит ИТ безопасности позволяет снизить риски возникновения инцидентов, а также уменьшить вероятность сопутствующих им потерь предприятия. Целями аудита будут являться:

• Определение соответствия систем и оборудования предприятия правилам и стандартам безопасности;
• Поиск уязвимостей, которые могут быть использованы для получения доступа к информации;
• Отслеживание эффективности существующих мер защиты;
• Поиск путей для устранения недостатков и оптимизации ИТ безопасности.

Осуществление аудита производится в несколько этапов, к которым относятся:

1. Планирование

На этом этапе аудита формируются цели, определяются задачи и охват; также выбираются инструменты и методы аудита.

2. Анализ

В рамках проведения аудита исследуется политика безопасности, изучаются регламенты, процедуры, а также НПА и другие виды документации.

3.  Проверка

Аудит направлен на изучение работоспособности ПО, инфраструктуры для контроля доступа и прочих технических средств, применяемых в управлении ИБ.

4. Идентификация угроз

На этом этапе аудита отслеживаются потенциальные опасности, характерные для инфраструктуры и информационных систем.

5. Определение мер для оптимизации

Разрабатываются рекомендации для повышения информационной безопасности, ликвидации “слабых мест” в инфраструктуре и системах.

Аудит систем безопасности ИТ,систем и инфраструктуры позволяет сформировать надежную информационную систему с высоким уровнем доверия к ней у пользователей предприятия, а также у ее партнерских организаций.

Возможные рекомендации

В результате аудита ИТ безопасности систем и инфраструктуры могут быть предложены такие меры, как:

1. Внедрение действий по осуществлению контроля доступа (либо их оптимизация), которые могут включать в себя использование двухфакторной аутентификации, обращение к системам управления доступом и ограничение пользовательских прав;
2. Применение специального ПО, позволяющего пресекать угрозу попадания вирусов в корпоративную информационную сеть и повреждения инфраструктуры, обнаруживать вторжения и предотвращать утечку данных;
3. Защита от мошеннических действий путем использования систем анализа трафика и отслеживания активности;
4. Аудит знаний и инструктаж персонала по вопросам информационной безопасности.

Управление ИТ безопасностью — процесс многоаспектный и ресурсозатратный, и для эффективного его осуществления требуется обоснованный подход, предполагающий привлечение аналитиков, экспертов по безопасности, инфраструктурных инженеров и других специалистов. Не у всех предприятий есть возможность построить управление информационной безопасностью самостоятельно. Если это касается и вашей компании — обращайтесь к экспертам assino: они позаботятся о том, чтобы ваши корпоративные данные были надежно защищены.