При работе с файлами на телефоне нередко приходится их удалять, но стандартная...
Введение
Защита информации в Российской Федерации
Законодательная база, регулирующая отношения в сфере информационной безопасности
Информационное законодательство - основной источник информационного права
Правовые проблемы информационной безопасности
Заключение
Список литературы
Введение
В настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу. Правовые проблемы регулирования информационных отношений при построении информационного общества в России в настоящее время нуждаются в тщательном исследовании, поскольку резко ускоряющиеся информационно-коммуникативные процессы глобализации эволюционируют в качественно новое состояние - режим реального времени. Возникающие в связи с этим новые общественные отношения нуждаются в адекватном правовом регулировании.
Цель работы состоит в том, чтобы рассмотреть источники права, регулирующие отношения в сфере информационной безопасности, разобраться в полноте отражения ими существующих реалий общественной жизни, возможно, увидеть пробелы в законодательстве и предложить пути их решения.
Исходя из целей, были поставлены следующие задачи:
изучить понятие информационной безопасности;
рассмотреть нормы права, регулирующие общественные отношения в сфере информационной безопасности;
отразить степень соответствия существующих норм реально имеющимся отношениям;
сформулировать свои предложения по совершенствованию законодательства.
1. Защита информации в Российской Федерации
В практическом смысле, понятном каждому, определение информации дал С.И. Ожегов:
Информация - это:
) сведения об окружающем мире и протекающих в нем процессах;
Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения. На этом фоне все более актуальный характер приобретает в последние десятилетия и особенно в настоящее время задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач. Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания (в частности разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.
В настоящее время большие изменения происходят в методологии защиты информации. Осуществляется переход от дорогостоящего скрытия заведомо завышенного объема данных к гарантированной защите принципиально важных, «узловых точек».
2. Законодательная база, регулирующая отношения в сфере информационной безопасности
Государственная политика в Российской Федерации по обеспечению информационной безопасности реализуется через правотворчество, правоприменение и участие государства в развитии правосознания и правовой культуры граждан.
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести
Методические документы государственных органов России:
Доктрина информационной безопасности РФ;
Руководящие документы ФСТЭК (Гостехкомиссии России);
Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
Методические указания.
За последние годы российское законодательство существенно обновилось. Особенно это коснулось тех сфер правового регулирования, где приняты кодифицированные акты, в том числе Гражданский, Налоговый, Бюджетный, Семейный, Уголовный, Водный и Лесной, Земельный, Трудовой, Гражданский процессуальный и Уголовно-процессуальный кодексы, Кодекс об административных правонарушениях. С их принятием появились реальные условия для проведения полноценной систематизации законодательства и издания Свода законов России.
При формировании законодательства в информационной сфере в самостоятельную отрасль, формирующееся законодательство в сфере обеспечения информационной безопасности является подотраслью информационного законодательства, а при его кодификации в случае принятия Информационного кодекса Российской Федерации может стать его составной частью. Сегодня же, признавая информационное право в качестве отрасли российского права, следует учитывать, что ему не соответствует в законодательстве информационное законодательство в качестве отрасли российского законодательства и его формирование является делом трудным, рассчитанным, по-видимому, на долгие годы.
. Информационное законодательство - основной источник информационного права
Вопросы, связанные с информационным законодательством требуют отражения внимания государства к ряду направлений деятельности в области информатизации. Можно отметить из них наиболее очевидные.
Формирование информационных ресурсов и развитие информационной деятельности - деятельности, непосредственно связанной со сбором, хранением, обработкой, передачей информации в самых разных организационных формах (документированная, звуковая, световая, цифровая и т.п.); деятельности по созданию средств обработки информации в электронном виде - создание программ, программного обеспечения и иных средств работы с информацией и ее транспортировкой (коммуникацией) по каналам связи, сетям в соответствии с типами организации информационных систем и сетей на основе современных технических и технологических достижений; управление качеством информационных технологий (достоверность, полнота, неуязвимость передаваемой информации и создание средств ее защиты в системах информационной безопасности); организация рынка информационных технологий. Все эти направления могут быть объединены в блок формирования специальной отрасли информатики, объединяющей проблемы создания, производства и использования средств информатизации, информационных технологий в широком понимании.
Вторым крупным блоком в системе государственного управления является деятельность по организации применения средств информатизации и информационных ресурсов в самых разных сферах социального развития.
Здесь сосредоточены проблемы информатизации экономики, экологии, здравоохранения, любых отраслей производства, науки, образования, культурно-просветительской деятельности, формирования и использования соответствующих видов и форм информационных ресурсов. Сюда же входят проблемы региональной и отраслевой информатизации и формирование специальных отраслей государственного управления в данной сфере.
Это направление охватывает процессы информатизации деятельности органов государственной власти и местного самоуправления и их взаимодействия. Деятельность органов государственной власти - законодательных, исполнительных, правоохранительных - только и может быть продуктивной и эффективной при условии применения информационных технологий в работе аппарата каждого органа и в системе взаимодействия различных органов между собой.
Четвертый блок в сфере государственного управления в области информационных технологий составляет деятельность каждого из ведомств и государственных организаций, которые самостоятельно и с учетом своих потребностей обеспечивают процессы информационного обеспечения своей деятельности. При отсутствии должной координации на уровне федерации это направление деятельности подвержено местничеству и заканчивается неоправданной тратой средств, несовместимостью средств информатизации, в том числе и информационных технологий в едином пространстве страны.
Поддержка процессов информатизации во всех секторах хозяйства и культуры страны, во всех сферах социального развития и жизнеобеспечения; привлечение населения к новым методам работы с информацией на основе воспитания информационной культуры, переподготовки кадров и массового обучения молодого поколения работе в новых условиях. Здесь сосредоточены организационно-правовые проблемы обеспечения реализации права на информацию различных субъектов, разрешение конфликтов в области формирования и использования информационных технологий.
Все обозначенные направления государственного управления в области информационных технологий реализуются на основе создания и применения соответствующих законов и иных правовых актов, введения обязательных государственных стандартов, методик и правил.
4. Правовые проблемы информационной безопасности
Законом РФ «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства.
Можно выделить три основных направления правового обеспечения информационной безопасности.
Первое направление. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения информации.
Второе направление. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.
Третье направление. Защита информационных прав и свобод личности (право на производство, распространение, поиск, получение, передачу и использование информации; права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии) в информационной сфере в условиях информатизации.
Режим защиты информации устанавливается:
в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом;
в отношении персональных данных.
В целом вопросы этого направления правового обеспечения информационной безопасности условно разделяются на защиту открытой информации и защиту информации ограниченного доступа.
Защита открытой информации осуществляется нормами института документированной информации. Защита информации ограниченного доступа регулируются нормами: института государственной тайны, института коммерческой тайны, института персональных данных, а также нормами защиты других видов тайн.
Объекты правоотношений в области информационной безопасности - это духовность, нравственность и интеллектуальность личности и общества, права и свободы личности в информационной сфере; демократический строй, знания и духовные ценности общества; конституционный строй, суверенитет и территориальная целостность государства.
Субъектами правоотношений в области информационной безопасности выступают личность, государство, органы законодательной, исполнительной и судебных властей, система обеспечения безопасности, граждане.
Ответственность за правонарушения в информационной сфере устанавливается гражданско-правовая, административно-правовая, уголовно-правовая ответственность.
Основной проблемой в сфере информационной безопасности является отсутствие на настоящий момент кодифицированного законодательного свода, объединившего бы в себе все разбросанные по российскому законодательству статьи, посвященные информационной безопасности и информационному праву в целом, как отрасли права.
Заключение
информационная безопасность законодательный правовой
Информационная безопасность общества, государства характеризуется степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и др.
Правовая наука пока не может остановиться на какой-либо определенной модели в области регулирования и защиты интеллектуальной собственности и особенно исключительных прав создателей информационного и технологического продукта. Тем не менее, закон должен откликаться на коллизии в этой среде. Важное направление работы и области создания адекватной инфраструктуры в сфере информатики формируется вокруг создания и использования таких объектов, как информационные технологии и вычислительная техника.
Информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.
В заключении необходимо сказать, что информационная безопасность России является базовой составляющей национальной безопасности России. Она напрямую влияет на эффективную работу органов государственной власти, является неотъемлемым фактором в борьбе с организованной преступностью и мировым терроризмом.
Внедрение современных технологий и законодательная основа защиты информации должна стать мощным звеном в укреплении вертикали власти в России и ее становлении как экономически и политически сильного государства на мировой арене.
Список литературы
1.Конституция Российской Федерации принята всенародным голосованием 12.12.1993 г.
Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ (ред. от 08.12.2011)
Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»
4.Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информации в информационных системах. М. 2007.
6.Ожегов С.И. Словарь русского языка. М., 1978.
«Глобальное исследование по вопросам информационной безопасности. Перспективы на 2014 год» (The Global State of Information Security® Survey 2014) - это всемирное исследование, проведенное фирмой PwC и журналами CIO и CSO. Опрос проводился в режиме «онлайн» с 1 февраля по 1 апреля 2013 года. Приглашения принять участие в исследовании были направлены по электронной почте читателям журналов CIO и CSO, а также клиентам PwC во всех регионах мира. В основе результатов, рассматриваемых в настоящем отчете, лежат ответы более чем 9 600 респондентов из 115 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров информационных служб, руководителей служб безопасности, вице-президентов и директоров по вопросам ИТ и информационной безопасности. Тридцать шесть процентов респондентов представляли Северную Америку, 26% - Европу, 21% - Азиатско-Тихоокеанский регион, 16% - Южную Америку и 2% - Ближний Восток и Африку. Допустимая погрешность составляет менее одного процента. Все цифры и графические данные, приведенные в настоящем отчете, основаны на результатах опроса (если иное не указано отдельно).
Суть проблемы
Стратегии безопасности, которые традиционно были основаны на соблюдении нормативно-правовых требований и ограничивались лишь «защитой периметра», не успевают за растущим уровнем рисков в данной области.
К чему это ведет? Сегодня компании зачастую используют устаревшие стратегии безопасности, которые неспособны эффективно противостоять искушенным мошенникам, имеющим доступ к технологиям будущего.
Злоумышленники применяют изощренные методы, чтобы проникнуть через устаревшую защиту периметра безопасности, и наносят точечные «удары», которые очень непросто отследить. Многие из них прибегают к надежным методам «фишинга», с помощью которых незаконным способом получают необходимую информацию от топ-менеджеров компаний. Ситуация также усугубляется тем, что потенциальные объекты хакерских атак - партнеры, поставщики, клиенты и прочие стороны - оперируют все большими объемами информации с помощью взаимосвязанных цифровых каналов.
В совокупности все эти факторы делают вопрос обеспечения информационной безопасности все более сложным и актуальным. Сегодня информационная безопасность превратилась в отдельную дисциплину, которая требует применения передовых технологий и процессов, навыков защиты от взлома системы безопасности, а также исключительной поддержки со стороны высшего руководства компаний. Основным требованием нового подхода является понимание того, что сегодня практически нельзя избежать хакерских атак и что обеспечение безопасности всех данных на одинаково высоком уровне не представляется возможным.
Глобальное исследование состояния информационной безопасности и перспектив её развития на 2014 год проводилось с целью анализа и оценки методов, применяемых международными организациями для борьбы с опытными и ловкими мошенниками. В этом году исследование показало, что руководители в большей степени начинают осознавать важность информационной защиты. Они обращают внимание на необходимость финансирования усиления мер безопасности и считают, что в их компаниях должны быть существенно улучшены инструменты, процессы и стратегии информационной защиты.
Впрочем, хотя компании и повышают стандарты безопасности, мошенники все равно опережают их. Опрос, проведенный в этом году, показывает, что количество инцидентов в сфере безопасности увеличилось на 25% за прошедшие 12 месяцев. При этом затраты, связанные с нарушениями систем безопасности, в среднем выросли на 18%.
Результаты опроса также демонстрируют, что многие организации не применяют технологии, которые позволили бы им выявлять уязвимые звенья общих систем и отслеживать угрозы безопасности, не помогают определить и защитить ключевые активы, а также оценить риски с точки зрения бизнес-целей компании. Для многих компаний вопрос безопасности не является основным компонентом стратегии бизнеса, определяемым генеральным директором и советом директоров, получающим достойное финансирование.
Проще говоря, немногие организации сегодня могут успешно справляться с растущими рисками. Еще меньшее число компаний готово к решению проблем, с которыми им придется столкнуться в будущем.
Гэри Лавленд, руководитель практики PwC, уверен: «Нельзя бороться с новыми угрозами с помощью старых методов. Нам нужна новая модель информационной безопасности, основанная на осознании потенциальных угроз, понимании того, что включают в себя имеющиеся у компании активы, а также на знании мотивов злоумышленников и целей, которые они ставят перед собой».
Такая новая модель информационной безопасности построена на принципе «знание - сила». Помните об этом.
Подробное обсуждение вопроса
Принципы ведения бизнеса меняют свой облик под влиянием процесса универсализации цифровых технологий.
Сегодня компании демонстрируют все большую взаимную связь, интеграцию и зависимость друг от друга. Они применяют технологии и популярные решения в области коммуникации, которые позволяют им обмениваться небывалыми объемами информации с клиентами, поставщиками услуг и товаров, партнерами и сотрудниками. Используя столь сложные технологические решения, организации выполняют свои коммерческие задачи с небывалым успехом и оперативностью.
Между тем сформировавшаяся в мире бизнеса экосистема также подвергает компании риску, отдавая их во власть мошенников, которые стремятся нанести ущерб или даже уничтожить их бизнес с помощью тех же самых технологий. Это привело к тому, что угрозы безопасности превратились в существенный коммерческий риск, о котором необходимо помнить международным компаниям.
На рынке продолжает доминировать привычный подход к управлению стратегией информационной безопасности, который основан на принципе реагирования на возникшую проблему и переносе ответственности за обеспечение безопасности на подразделения ИТ.
Сегодня такой подход перестает быть эффективным, поскольку не может обеспечить необходимый уровень защиты.
Опасность, которую в нынешних условиях представляют риски нарушения безопасности, требует от организаций рассматривать подобные угрозы в качестве проблем, способных нанести существенный ущерб деятельности компании, и решать их в рамках системы управления рисками организации. Обеспечение абсолютной защиты всех без исключения данных больше не представляется возможным.
Отталкиваясь от этого утверждения, мы спросили у представителей бизнеса, сотрудников служб безопасности и директоров по вопросам информационных технологий о том, как они решают первоочередные вопросы информационной безопасности, а также насколько точно соответствуют общим целям бизнеса меры обеспечения конфиденциальности и безопасности информации. Результаты глобального исследования состояния информационной безопасности и перспектив её развития на 2014 год показывают, что большинство директоров различных международных компаний уверены в эффективности методов информационной защиты, применяемых в их компаниях.
Уверенность в эффективности применяемых методов обеспечения безопасности
Как бы удивительно это ни звучало, но сегодня, в эпоху роста и видоизменения рисков, директора по-прежнему полностью уверены в эффективности систем и мер информационной защиты, действующих в их организациях. Семьдесят четыре процента респондентов из различных стран мира утверждают, что принимают эффективные меры по обеспечению безопасности (рис. 1). Наиболее оптимистично смотрит на проблему информационной безопасности высшее руководство компаний. Так, 84% генеральных директоров утверждают, что уверены в надежности своих программ безопасности, так же как и 78% директоров по информационной безопасности, которые несут прямую ответственность за обеспечение сохранности данных. Среди руководящих сотрудников наименьшую уверенность в надежности систем информационной безопасности испытывают финансовые директора. Данные по различным регионам показывают, что респонденты из Южной Америки (81%) и Азии (76%) наиболее уверены в эффективности своих систем безопасности.
Рисунок 1. Уверенность в эффективности программ безопасности (достаточно уверен или полностью уверен
Другим примером уверенности руководителей в системах безопасности может стать их мнение о том, насколько эффективно корпоративная программа безопасности выстроена с учетом общего бюджета расходов и стратегии бизнеса. В данном отношении респонденты проявляют не меньше оптимизма. Более 80% опрошенных уверены в том, что затраты на системы безопасности и соответствующая корпоративная политика соответствуют поставленным бизнес-задачам (за последний год уверенность в эффективности этих двух направлений лишь выросла). Столь высокий уровень уверенности говорит о том, что респонденты считают вопросы безопасности неотъемлемой частью своей бизнес-стратегии и признают их возможное влияние на конечную прибыль компании.
Респонденты также весьма оптимистично оценивают собственные стратегии безопасности и способность своих компаний к упреждающему применению таких стратегических инициатив. Мы попросили респондентов рассказать о том, как они оценивают собственный подход к вопросам обеспечения безопасности. Ответы показывают, что сейчас участники опроса дают себе более высокую оценку, чем это было год или два назад.
Участников, которые сообщили о наличии в их компании эффективной стратегии и о готовности компаний к упреждающим действиям в связи с угрозами, мы называем «фаворитами» в «забеге безопасности», поскольку они демонстрируют два основных лидерских качества. В этом году 50% респондентов заявили, что их компании обладают качествами «фаворита» в сфере безопасности. Это на 17% больше, чем в прошлом году (рис. 2). Около четверти опрошенных (26%) говорят о наличии в их организациях надежных стратегий, которые при этом не обязательно способствуют успешному претворению плана в жизнь. Таких респондентов мы назвали «стратегами». Компании, которые эффективно реализуют задуманное, но при этом не имеют столь эффективной стратегии, мы назвали «тактиками». На тактиков приходится 13% всех участников нашего исследования. Еще одну группу респондентов мы назвали «спасателями». Спасатели, на долю которых приходится 11% опрошенных, не имеют принятой стратегии и обычно лишь реагируют на возникшие угрозы.
Рисунок 2. Как респонденты характеризуют свой подход к обеспечению информационной безопасности
ействительно ли «фавориты» являются лидерами в вопросах обеспечения безопасности?
Самооценка собственной эффективности по понятным причинам бывает предвзятой. Потому мы решили подробно проанализировать полученные сведения, для чего сформулировали ряд требований, которым должны соответствовать настоящие лидеры, при этом мы основывались на полученных от респондентов фактических данных, а не на результатах их собственной самооценки. Для того чтобы подтвердить свой статус лидера, респондентам было необходимо:
- иметь общую стратегию в области информационной безопасности;
- иметь в штате директора по информационной безопасности (или равнозначного сотрудника), который отчитывается перед высшим руководством компании (то есть генеральным директором, финансовым директором, операционным директором, директором по рискам или юрисконсультом);
- выполнить оценку и анализ эффективности имеющейся в компании системы информационной безопасности за прошедший год;
- иметь четкое представление о том, какого рода инциденты в области информационной безопасности имели место в прошедшем году.
Анализ респондентов с учетом вышеописанных требований показал, что те, кого мы назвали фаворитами, не всегда реально лидируют в сфере информационной безопасности. Применение этих критериев позволило установить, что лишь 17% всех респондентов являются реальными лидерами в области обеспечения информационной безопасности (рис. 3). Нам также удалось выяснить, что по сравнению с «фаворитами» реальные лидеры способны обнаружить большее число нарушений безопасности, они лучше разбираются в различных типах нарушений и их причинах, а также несут меньшие финансовые потери в результате таких нарушений.
Рисунок 3. «Фавориты» и реальные лидеры
Больше всего реальных лидеров было обнаружено в Азиатско-Тихоокеанском регионе (28%) и в Северной Америке (26%), немногим меньше - в Европе (24%) и Южной Америке (21%), Ближний Восток и Африка (1%) замыкают этот список. Наиболее «продвинутыми» с точки зрения состояния информационной безопасности отраслями стали технологический сектор (16%), сектор финансовых услуг (11%), а также розничная торговля и производство потребительских товаров (9%).
Есть еще одна причина для оптимизма: бюджеты на обеспечение информационной безопасности растут.
Многие респонденты высоко оценивают собственную компетенцию в отношении методов обеспечения информационной безопасности, при этом лица, ответственные за корпоративные бюджеты, также весьма оптимистично смотрят на состояние систем безопасности. Возможно, они понимают, что сегодня, в условиях повышенного риска, проблемы безопасности требуют дополнительных инвестиций. Как бы то ни было, существенный рост финансирования систем информационной безопасности является хорошим знаком для служб безопасности. Несмотря на существенные различия таких бюджетов в зависимости от отрасли и размера компании, в целом, по оценке респондентов, объем средств, выделенных на обеспечение информационной безопасности в этом году, в среднем составил 4,3 млн долл. США, что на 51% больше, чем это было в 2012 году. Тем не менее, несмотря на такой рост, бюджет функций информационной безопасности составляет лишь 3,8% от общих затрат на информационные технологии в этом году, что говорит об относительно невысоком уровне инвестирования.
Что же ждет нас в будущем? Прогнозы также полны оптимизма. Почти половина всех респондентов (49%, что на 4% больше, чем в прошлом году) утверждают, что уровень затрат на обеспечение безопасности в течение следующих 12 месяцев увеличится. По данным опроса, 66% респондентов из Южной Америки и 60% представителей Азиатско-Тихоокеанского региона ожидают, что инвестиции в информационную безопасность будут расти. В Северной Америке лишь 38% участников опроса прогнозируют рост финансирования систем безопасности, что делает данный регион самым «скупым» на затраты в этом направлении.
Современные проблемы - устаревшие решения
Сегодня уже невозможно игнорировать шквал сообщений о том, что за последний год злоумышленники стали более изобретательными в вопросах взлома систем безопасности и все чаще добиваются достижения своих целей. Учитывая тот факт, что журналисты порой злоупотребляют сенсационностью заголовков новостей, чтобы привлечь читателей на сайты своих изданий, вполне разумно будет усомниться в точности сообщений о хакерских атаках.
Результаты данного исследования частично подтверждают обоснованность шумихи вокруг увеличивающего числа инцидентов в сфере информационной безопасности.
В любом случае с фактами не поспоришь, а они говорят о том, что число инцидентов в области информационной безопасности растет. (Под инцидентом в области информационной безопасности мы понимаем любое происшествие негативного характера, которое в той или иной мере угрожает компьютерной безопасности.) Участники опроса сообщили о том, что число обнаруженных инцидентов увеличилось на 25% по сравнению с прошлым годом (рис. 4). Похоже, эти данные оправдывают броские заголовки в прессе об увеличении числа угроз информационной безопасности. С другой стороны, рост числа обнаруженных инцидентов также может говорить о том, что организации более эффективно отслеживают возможные нарушения.
Рисунок 4. Среднее количество инцидентов в сфере информационной безопасности, произошедших за последние 12 месяцев
Марк Лобел, партнер PwC, утверждает: «Число инцидентов увеличивается не только из-за роста рисков, но также и вследствие того, что некоторые компании инвестируют в новые технологии, которые помогают более эффективно обнаруживать такие инциденты. С этой точки зрения увеличение числа выявленных инцидентов в области информационной безопасности можно рассматривать как положительный сдвиг».
При этом число респондентов, которым неизвестно точное число инцидентов, год от года продолжает расти, достигнув на сегодняшний день отметки в 18%. Похоже, это несколько противоречит утверждению о том, что компании все более эффективно выявляют случаи нарушения своей информационной защиты. Это, скорее, указывает на то, что старые методы обеспечения безопасности могут быть неэффективными или же просто не действуют. Рост числа инцидентов параллельно с увеличением объемов данных, передаваемых в электронном формате, приводит нас к очевидному выводу: уровень потерь информации становится все выше. В этом году 24% респондентов сообщили об утрате данных в результате инцидентов в области информационной безопасности, что на 16% больше, чем в 2012 году.
Углубленный анализ типов скомпрометированной информации позволяет прийти к весьма интересным выводам. Список таких данных возглавляет документация по персоналу (35%) и клиентские файлы (31%) (рис. 5). Каждый год участники опроса сообщают нам, что данные о сотрудниках и клиентах являются для них наиболее ценной информацией.
Рисунок 5. Последствия инцидентов в области информационной безопасности
Поэтому было бы логичным предположить, что защита именно этих видов данных должна стать приоритетом для служб информационной безопасности. Тем не менее тот факт, что данные о клиентах и сотрудниках компаний наиболее часто становятся объектом кражи, говорит нам о том, что текущие меры защиты информации являются неэффективными или же неверно ориентированы на возникающие риски.
Общий объем убытков
Вполне логичным представляется то, что по мере увеличения количества инцидентов в сфере безопасности будут расти и финансовые затраты. Так и происходит на практике. Мы установили, что средний уровень финансовых убытков, связанных с инцидентами в области информационной безопасности, за прошлый год вырос на 18%.
Шейн Симс, директор PwC, говорит: «В целом уровень затрат и степень сложности мер реагирования на инциденты увеличиваются. В число общих затрат входит стоимость проведения расследований, расходы на анализ бизнес-рисков и обнаружение инцидентов, стоимость отправки уведомлений клиентам, потребителям и в регулирующие органы, а также расходы на судопроизводство. Помимо этого, у компаний возникают затраты на устранение последствий инцидента, поскольку под угрозу попадает все больше информации в рамках различных юрисдикций, а системы контроля безопасности просто не поспевают за непрерывными изменениями в мире информационной безопасности».
Дальнейший анализ полученных данных показал, что наиболее существенный рост финансовых затрат отмечен в компаниях респондентов, которые сообщили об ущербе на крупные суммы в результате инцидентов в сфере безопасности. Конкретный пример: число респондентов, сообщивших об убытках в размере 10 млн долл. США и более, увеличилось на 51%% за период с 2011 года. Мы ожидали, что отрасли, которые традиционно принимали предупредительные меры и инвестировали в информационную безопасность, понесут меньшие убытки. Впрочем, как ни странно, на деле всё оказалось иначе. В число отраслей, которые понесли убытки в объеме 10 млн долл. США и более, вошли фармацевтический сектор (20%), сектор финансовых услуг (9%) и технологический сектор (9%).
В среднем один инцидент обходится компании в 531 долл. США (рис. 6). Респонденты, которых мы включили в число лидеров по информационной безопасности, сообщают о самой низкой стоимости одного инцидента (421 долл. США в среднем), что неудивительно. Весьма неожиданным для нас стало то, что компании, относящие себя к числу «фаворитов», тратят 635 долл. США на один инцидент в области информационной безопасности - почти столько же, сколько тратят «спасатели», которые, по собственной оценке, наименее подготовлены к реализации эффективной программы защиты от информационных угроз. Все это ставит под сомнение реальную эффективность компаний, входящих в категорию «фаворитов».
Рисунок 6. Средние затраты на один инцидент в области информационной безопасности
Инсайдеры, сторонние лица и хакеры
Как мы уже отмечали, заголовки новостей не всегда справедливо отражают актуальные риски. Хотя различные резонансные инциденты (например, случаи искусного взлома защитных барьеров, относимые к числу целенаправленных устойчивых угроз) искушают других злоумышленников, подталкивая их к попытке повторить успешный опыт преодоления защитных систем, на практике такие преступления совершаются редко.
На самом деле реальность куда более прозаична. Большинство респондентов считают, что причиной инцидентов, связанных с нарушением безопасности, являются обычные «инсайдеры», такие как сотрудники (31%) и бывшие сотрудники компаний (27%) (рис. 7). Многие организации полагают, что угроза, которую представляют инсайдеры, может быть даже еще опаснее, чем об этом говорится в резонансных новостях. При этом частотность инсайдерских инцидентов невелика.
Рисунок 7. Вероятные источники угрозы инцидентов
Учитывая широкую распространенность рисков, связанных с персоналом, у нас вызывает удивление неготовность многих компаний противостоять довольно обычным внутренним угрозам. Отдельный обзор под названием «Исследование уровня киберпреступности в США» за 2013 год, в спонсировании которого принимала участие фирма PwC, показал, что треть респондентов из США не имеют плана реагирования на инсайдерские инциденты . Впрочем, даже среди тех, у кого есть план на случай возникновения инсайдерской угрозы, лишь 18% считают его высокоэффективным.
Майкл А. Мэйсон, директор по безопасности компании Verizon Communications, утверждает: «На мой взгляд, сегодня вероятность инсайдерской угрозы существенно выросла по сравнению с прошлыми периодами». Он добавляет, что компания Verizon считает инсайдерами всех лиц, имеющих доступ к корпоративным данным: «Помните, что инсайдерский инцидент вовсе не означает попытку некоего "жулика" взломать вашу систему защиты. Такие инциденты, например, возникают, когда обычный сотрудник проявляет особое рвение и работает с нарушением условий безопасности. Наши проблемы в большей степени проистекают из человеческого, а не технического фактора».
Джон Хант, руководящий сотрудник PwC, отмечает: «Одна из причин того, что компании не имеют действенных планов защиты от внутренних угроз, заключается в том, что они сами предоставляют многим типам инсайдеров, например партнерам или поставщикам, право доступа в пределах периметра сети, поскольку такие инсайдеры пользуются определенным доверием. Бизнесу пора понять, что доверие к консультантам не должно быть безграничным».
Говоря о внешних факторах риска, важно отметить, что некоторые стороны, представляющие наибольшую угрозу, в частности хакеры, на практике оправдывают свой потенциал риска. Вот доказательство: 32% участников опроса связывают возникновение инцидентов в области информационной безопасности с хакерскими атаками (это на 27% больше, чем в прошлом году).
Не стоит забывать и об инцидентах, получивших широкий общественный резонанс. Речь идет, в частности, о попытках правительств иностранных государств получить нужную им информацию с помощью целенаправленных устойчивых атак. По мнению участников опроса, на долю инцидентов с участием иностранных государств приходится лишь 4% всех установленных случаев нарушения периметра информационной безопасности.
Для крупных компаний, таких как Verizon, этот аспект не представляет существенной угрозы. Майкл Мэйсон уверен, что «опасаться целенаправленных устойчивых угроз - в каком-то смысле все равно, что бояться подхватить простуду, работая со штаммами вируса сибирской язвы».
Несмотря на то что риск возникновения целенаправленных устойчивых угроз невелик, для многих крупных организаций крайне важно следить за стремительными изменениями в области кибермошенничества. Это хорошо понимает руководство компании Cablevision Systems Corporation, оператора мультисервисных каналов связи, предоставляющего услуги доступа к кабельному телевидению и сети Интернет, а также выпускающего ежедневное печатное издание.
Дженнифер Лав, старший вице-президент по вопросам безопасности компании, рассказывает: «Как и многие другие операторы мультисервисных каналов связи, мы внимательно отслеживаем публикуемые отчеты, сообщающие о росте числа обнаруженных угроз, связанных с деятельностью киберпреступников и иностранных государств, особенно если такие угрозы нацелены на электроэнергетические и коммуникационные компании. Мы получаем информацию из разных источников, в том числе отраслевых и государственных. На ее основании мы определяем имеющиеся риски и принимаем решения о дальнейших мерах».
Слабая защита от сильного противника
Для того чтобы успешно бороться с актуальными рисками, компаниям необходимо разработать действенную стратегию и внимательно следить за наиболее уязвимыми участками информационной экосистемы и за стремительно развивающимися угрозами. В основе принимаемых мер и инвестиционных решений должно лежать четкое представление об информационных активах, о рисках, угрожающих информационной экосистеме, и ее уязвимых местах. Все решения в данной области необходимо оценивать в контексте осуществляемой компанией деятельности.
Многим для этого нужно научиться мыслить по-новому и перестроить систему планирования. Именно поэтому вовсе не удивительно, что многие участники опроса говорят об отсутствии в их компаниях надежных технологий и процессов, которые могли бы обеспечить должный уровень понимания актуальных рисков. К примеру, 52% опрошенных не применяют инструменты поведенческого мониторинга и контроля. При этом 46% респондентов не прибегают к использованию информации о системах безопасности или технологий по управлению событиями. Несмотря на то что инструменты для управления активами играют крайне важную роль при обеспечении безопасности информационных активов, 39% опрошенных не применяют такие средства. Даже стандартные технологии, необходимые для защиты особо секретной информации, используются не столь широко, как хотелось бы. Особенно стоит отметить, что 42% участников исследования не применяют инструменты для предотвращения потери данных.
По мере увеличения объемов данных и активизации обмена информацией с партнерами, поставщиками, подрядчиками и клиентами, компаниям следует все более внимательно отслеживать риски, связанные с предоставлением корпоративных данных третьим лицам. Бизнесу также необходимо убедиться в том, что такие третьи стороны полностью соответствуют требованиям к безопасности информации или даже превосходят их.
Нас весьма беспокоит, что в США многие респонденты не имеют политик и инструментов, необходимых для оценки третьих лиц с точки зрения рисков безопасности (информация получена по результатам отдельного исследования, в финансировании которого принимала участие фирма PwC) . Например, лишь 20% опрошенных утверждают, что проводят оценку информационной безопасности третьих лиц, с которыми они могут обмениваться данными или которым они предоставляют доступ к своей сети, чаще одного раза в год. При этом 22% опрошенных говорят, что не проводят вовсе никакой оценки третьих лиц, а 35% проверяют третьи стороны на предмет безопасности лишь раз в год или реже.
Только 22% опрошенных утверждают, что создают планы реагирования на различные инциденты, связанные с партнерами по цепочке поставок, при этом 52% респондентов вообще не составляют такие планы.
Как уже говорилось, резкий рост числа рисков и изменение их характера требуют от компаний четкого понимания того, что в нынешних условиях нецелесообразно - или даже невозможно - обеспечить одинаковый уровень защиты для всех видов информации, как это было до недавнего времени. Новая модель информационной безопасности требует от бизнеса четко определять действительно значимую информацию и уделять ей повышенное внимание.
Вполне очевидно, что характер такой информации будет зависеть от особенностей конкретных компаний и отраслей. В число таких «драгоценных» активов может входить интеллектуальная собственность, включающая проектную документацию по продуктам, маркетинговые планы, информацию, которой обменивается руководство, а также стратегии бизнеса. Впрочем, данную категорию можно расширить до пределов любой информации, которая в случае ее кражи или потери может нанести бизнесу существенный вред.
Сегодня на долю таких нематериальных активов, как интеллектуальная собственность, приходится 80% всей стоимости, создаваемой фирмами, входящими в индекс S&P 500 (по данным Ocean Tomo, банка интеллектуальной собственности™) . Чем выше стоимость интеллектуальной собственности, тем больше она привлекает киберпреступников.
Результаты данного исследования показывают, что, несмотря на увеличение стоимости интеллектуальной собственности и усугубление потенциальных последствий ее утраты, многие респонденты недостаточно эффективно определяют и защищают свою информацию, имеющую особую ценность. К примеру, лишь 17% опрошенных распределяют информацию по категориям конфиденциальности в зависимости от ее коммерческой ценности, и только 20% применяют отдельные процедуры, направленные на обеспечение защиты интеллектуальной собственности (рис. 8). Двадцать шесть процентов участников опроса проводят инвентаризацию активов и применяют процедуры управления активами. Результаты опроса показывают, что в некоторых отраслях активность применения политики, направленной на защиту интеллектуальной собственности, фактически снижается.
Рисунок 8. Наличие политики по охране интеллектуальной собственности и коммерческой тайны
Еще одним ключевым риском в области защиты данных является применение мобильных устройств (смартфонов и планшетов), а также использование личных портативных устройств на работе. Хотя тенденция к использованию мобильных устройств для обмена информацией и передачи данных активно развивается, политика компаний в данной области существенно отстает от растущих темпов распространения смартфонов и планшетов. Участники опроса утверждают, что за последний год компании не сильно продвинулись вперед в вопросе внедрения программ безопасности в отношении использования мобильных устройств. Отмечается, что в некоторых случаях масштабы деятельности в данном направлении вообще сокращаются (рис. 9). Например, лишь 42% опрошенных отметили, что в их компаниях имеется стратегия по обеспечению информационной безопасности мобильных устройств. Только 39% утверждают, что в их организациях применяется программное обеспечение для управления мобильными устройствами - важный инструмент, предназначенный для автоматического коллективного администрирования смартфонов.
Рисунок 9. Меры по контролю рисков нарушения безопасности, связанных с использованием мобильных устройств
Облачные технологии, которые присутствуют на рынке уже более десяти лет, стали широко распространенной - если не повсеместной - практикой для обмена корпоративными данными.
Почти половина респондентов (47%) используют те или иные аспекты облачных технологий, что на 24% больше, чем в прошлом году. Среди тех, кто применяет в работе облачные технологии, 59% сообщили о повышении эффективности систем безопасности.
Сучетом вышесказанного весьма удивительно видеть, что многие компании не уделяют должного внимания возможным негативным последствиям применения облачных технологий. К примеру, среди всех участников опроса, использующих такие технологии, лишь 18% сообщили о наличии в их организациях официальной политики, регулирующей применение облачных вычислений.
Джошуа МакКиббен, директор PwC, говорит: «Отсутствие в организациях политики по регулированию использования облачных технологий является существенной угрозой безопасности бизнеса. Увеличение объемов передаваемых данных, а также рост масштабов применения мобильных устройств приводит к более интенсивному использованию облачных технологий, которое может привести к потенциальным злоупотреблениям со стороны персонала. В то же время компаниям важно следить за тем, чтобы сторонние поставщики услуг в сфере облачных вычислений соблюдали установленные требования к безопасности».
Как уже отмечалось, целенаправленным устойчивым угрозам уделяется неоправданно большое внимание в прессе, в результате чего число компаний, которые с повышенной серьезностью относятся к таким угрозам, может увеличиваться. К примеру, 54% опрошенных утверждают, что в их организациях внедрены технологии, обеспечивающие управление процессом обнаружения таких рисков и помогающие защититься от них. В число отраслей, компании которых применяют решения по противодействию целенаправленным устойчивым угрозам, входит аэрокосмическая и оборонная отрасль (61%), государственный сектор (58%) и фармацевтическая отрасль (58%).
В «Исследовании уровня киберпреступности в США» за 2013 год говорится о том, что инструменты по противодействию целенаправленным устойчивым угрозам обычно включают в себя анализ с целью выявления вредоносного ПО, отслеживание исходящего трафика, поиск неавторизованного оборудования, получающего доступ к сетям, а также анализ и географический поиск информации по IP-адресам .
Готовимся к встрече с угрозами будущего
Злоумышленники сегодня становятся все опытнее и изощреннее, что позволяет им находить новые уязвимые звенья в системах безопасности компаний. Для того чтобы эффективно справляться с этим риском, организациям необходимо применять передовые знания об информационных активах, системных угрозах и уязвимых местах, планируя инвестиции и необходимые меры для решения проблем в области информационной безопасности. Такие меры следует оценивать с учетом особенностей деятельности, осуществляемой организацией.
Данное исследование показывает, что компании, лидирующие, по нашему мнению, в области информационной безопасности, расширяют свои возможности в этом направлении, внедряя политику и регламенты, благодаря которым вопрос обеспечения безопасности становится одной из главнейших задач бизнеса. Для таких компаний вопросы безопасности выходят за рамки ИТ-проблем. Как же им это удается?
Лидеры в области безопасности стремятся тесно увязать свои стратегии по обеспечению информационной безопасности с потребностями бизнеса, устанавливая стандарты для внешних партнеров, а также в целом переосмысливая фундаментальные принципы безопасности данных (рис. 10). К примеру, 88% лидеров имеют в штате директора, который отвечает за информирование сотрудников предприятия о важности обеспечения информационной безопасности в компании. Другая дальновидная политика предполагает создание межфункциональной группы, которая будет координировать решение проблем в области безопасности и сообщать о них сотрудникам компании. Этот принцип организации систем безопасности применяется в 66% опрошенных организаций.
Рисунок 10. Политика и меры в области информационной безопасности, применяемые участниками опроса (все опрошенные / лидеры)
Джо Ноусэра, руководящий сотрудник PwC, отмечает: «Такая политика показывает, что компании проявляют высокий, невиданный ранее уровень ответственности в отношении информационной безопасности. Эта ответственность подразумевает участие всех директоров и ведущих руководителей в обеспечении успешного выполнения компанией всех задумок и планов, направленных на повышение уровня безопасности. Данная тенденция также подчеркивает необходимость информирования сотрудников и третьих сторон, занимающихся обработкой важной информации, о значимости информационной безопасности».
Дженнифер Лав, старший вице-президент по вопросам безопасности компании Cablevision, говорит: «В нашей компании топ-менеджеры и члены совета директоров с готовностью принимают участие в реализации инициатив в области безопасности. Они хорошо понимают, насколько важную роль играет информационная безопасность, и хотят иметь четкое представление об угрозах, с которыми мы сталкиваемся, и о мерах, принимаемых для защиты уязвимых участков периметра безопасности».
Внедрение политики и необходимых регламентов, а также вовлечение топ-менеджмента в работу над усовершенствованием систем безопасности - это всего лишь начало реальной деятельности. Эффективность принимаемых мер можно оценить, проанализировав применение компаниями технологий, которые обеспечивают внедрение такой политики и регламентов.
Чаще всего именно лидеры применяют инструменты, которые помогают в реальном времени анализировать подозрительную деятельность в рамках сетевого оборудования и приложений. К примеру, 66% лидеров в области информационной безопасности утверждают, что в их компаниях применяются системы защиты информации и управления инцидентами (SIEM). Ровно такое же количество опрошенных (66%) говорит, что им удалось внедрить инструменты корреляции событий, которые объединяют и сопоставляют информацию, полученную разными системами, например системами мониторинга уязвимостей и системами контроля взлома периметра безопасности. Решения, предназначенные для сканирования систем безопасности в поисках уязвимых мест, применяются 71% лидеров. Такие инструменты позволяют проводить оценку сетей и приложений с целью выявления возможных слабых сторон.
Несмотря на то что в данном отчете мы в основном рассматриваем лидеров, которые применяют вышеописанные технологии, также важно отметить, что сегодня, в условиях повышенных рисков безопасности, всем без исключения компаниям следует внимательно рассмотреть возможность применения данных защитных мер.
Другим примером эффективных мер безопасности является информирование сотрудников и организация обучения персонала. Информированность работников является очень важным фактором любой программы безопасности. Шестьдесят процентов опрошенных говорят, что в их компаниях имеются обучающие программы, предназначенные для повышения уровня информированности сотрудников. Поскольку сотрудники зачастую становятся «психологической мишенью» злоумышленников, всем без исключения респондентам следует задуматься о внедрении эффективной программы обучения персонала.
Для того чтобы оценить приоритеты респондентов в отношении подготовки к угрозам будущего, мы проанализировали, какие процессы и технологии защиты компании планируют внедрить в первую очередь в ближайшие 12 месяцев. Особое внимание мы уделяли следующим пяти категориям защитных мер: защита важных активов, обеспечение безопасности инфраструктуры, выявление угроз безопасности, аналитические меры и обеспечение безопасности мобильных устройств.
Сьюзен Модлин, директор по безопасности компании Equifax, международного бюро кредитных историй, рассказывает: «Очень часто деятельность злоумышленников направлена против сотрудников, которые располагают определенными сведениями. Именно поэтому мы проводим обучение сотрудников в виде ролевых игр. Наши программы обучения нацелены на такие группы высокого риска, как сотрудники колл-центра, пользователи с высокими полномочиями и топ-менеджеры. Мы учим персонал компании грамотно противостоять так называемым фишинговым атакам».
Для создания эффективной системы безопасности сегодня компаниям необходимо определить так называемые драгоценные активы, то есть наиболее важные активы компании, и в первую очередь обеспечить их защиту. Двадцать пять процентов респондентов утверждают, что в течение грядущих 12 месяцев они внесут в число приоритетных задач реализацию программы по определению особо важных активов, а 17% - что они оценят приоритетность инструментов по управлению активами (рис. 11). Данные решения являются ключом к пониманию, оценке и эффективному управлению важной корпоративной информацией.
Рисунок 11. Защитные меры, которые пока не применяются, но входят в список приоритетов на ближайший год
Для того чтобы повысить надежность инфраструктуры, практически четверть опрошенных (24%) планируют внедрить стандарты безопасности для внешних партнеров, поставщиков и клиентов. Эта задача становится все более актуальной по мере того, как компании открывают доступ к своим сетям, приложениям и данным для третьих лиц. Более того, применение таких технологий, как виртуализация и облачные вычисления, существенно повысило вероятность угроз, которые могут исходить от инсайдеров, обладающих высокими полномочиями доступа. Таким образом, мониторинг и управление пользователями с высоким уровнем доступа теперь входят в число основных проблем. Исследование показало, что 17% опрошенных планируют внедрить инструменты для управления пользователями с высоким уровнем доступа в течение следующих 12 месяцев.
Остальные приоритеты направлены на технологии, которые помогают лучше понять характер угроз, а также повысить уровень безопасности мобильных устройств. Мы впервые спросили респондентов о том, планируют ли они начать пользоваться абонентскими услугами по обнаружению потенциальных угроз для того, чтобы заручиться поддержкой третьих сторон и получать своевременные предупреждения о рисках и так называемых уязвимостях нулевого дня (уязвимость, используемая злоумышленником в тот же день, когда она была обнаружена, то есть пока способ ее устранения не найден). Многие из участников опроса ответили утвердительно на этот вопрос: 49% респондентов сказали, что в данный момент они применяют такие услуги. При этом 25% тех, кто не использует данные решения, планируют в ближайшие 12 месяц включить их в число своих приоритетных задач.
Компания Equifax в числе своих основных приоритетов называет обеспечение защиты устройств, которыми пользуются сотрудники, с тем чтобы организация, предоставляющая финансовые услуги, могла более эффективно отслеживать основные факторы угроз. Сьюзен Модлин говорит: «Мы анализируем аппаратное оборудование, применяемое сотрудниками, и фактически создаем так называемую песочницу, которая позволяет оградить компьютеры от вирусов и вредоносных программ. Это не только помогает нам бороться с рисками, но также способствует определению типов потенциальных угроз и поиску злоумышленников, планирующих атаки непосредственно против нашей компании».
Принимая во внимание все увеличивающийся интерес к способам обработки больших массивов информации, мы также спросили респондентов о планах их компаний относительно применения аналитических схем в целях повышения общей безопасности. Стратегический подход к данному вопросу становится все более популярным: 20% респондентов сказали, что планируют в будущем пересмотреть приоритетность инструментов информационной безопасности и управления событиями. Столько же опрошенных считают внедрение технологий корреляции событий в системах защиты своей первоочередной задачей.
Пракаш Венката, управляющий директор PwC, уверен: «Такие технологии помогают компаниям обнаружить закономерности и аномалии в деятельности, направленной на изучение компьютерных угроз, с которыми сталкивается бизнес. Обладая этими знаниями, руководители смогут предвидеть изменения в характере киберугроз, нависших над их организациями, и оперативно реагировать на них».
Еще одной актуальной проблемой является безопасность мобильных устройств. Практически четверть всех участников исследования сообщили о своих планах повысить приоритетность шифрования смартфонов, внедрить решения по управлению мобильными устройствами, а также реализовать стратегию использования персональных устройств в корпоративных сетях.
Прошедший год показал, что обмен информацией об угрозах безопасности, даже между конкурирующими компаниями, стал мощным инструментом противодействия рискам. Мы считаем, что сотрудничество помогает бизнесу быстрее адаптироваться к изменениям рыночной конъюнктуры. Пятое ежегодное исследование PwC Digital IQ5 помогло выявить, что фирмы, в которых топ-менеджмент готов к сотрудничеству, успешно интегрируют стратегию и информационные технологии. Такой подход весьма часто способствует повышению эффективности бизнеса.
Мы захотели узнать, как респонденты, многим из которых приходится работать в крайне конкурентных условиях, смотрят на возможность сотрудничества с другими игроками рынка в целях повышения уровня безопасности и обмена знаниями о потенциальных угрозах. Многие организации осознают, что у такого сотрудничества есть свои плюсы. Результаты опроса показали, что половина опрошенных сотрудничают с другими участниками рынка, а среди лидеров в области безопасности этот показатель достигает 82%.
Пример от Equifax: по словам Сьюзен Модлин, компания Equifax «принимает участие в деятельности Центра анализа информации о финансовых услугах и обмена такой информацией». Она убеждена: «Для нашей компании это крайне важно, поскольку многие государственные учреждения также принимают участие в работе этого Центра, что позволяет нам заранее получать информацию о возникающих угрозах». Equifax также участвует в работе нескольких других отраслевых групп и взаимодействует с аналогичными предприятиями.
Двадцать восемь процентов опрошенных в числе основных причин, по которым они отказываются от сотрудничества, называют обеспокоенность в связи с увеличением числа уязвимостей периметра безопасности, боязнь того, что конкуренты воспользуются полученной информацией в своих интересах, а также прямое недоверие своим конкурентам (рис. 12). Наконец, 22% респондентов не знают о том, сотрудничает ли их организация с другими участниками рынка.
Рисунок 12. Причины отсутствия сотрудничества по вопросам безопасности
Что препятствует развитию систем безопасности?
Хотя большинство лиц, заинтересованных в укреплении систем безопасности, и согласны с тем, что необходимо принимать меры по усилению информационной защиты, они до сих пор не могут прийти к общему пониманию того, какие меры необходимы для преодоления существующих барьеров.
Мы попросили участников исследования назвать самые существенные препятствия, которые мешают им повысить уровень информационной безопасности в их компаниях. В итоге мы получили множество противоречивых мнений, причем в некоторых случаях респонденты пытались найти виноватых вместо того, чтобы проанализировать реальные причины.
В целом участники опроса отметили, что в число наиболее существенных препятствий входит недостаток капитального финансирования, отсутствие четкого понимания того, какое влияние на состояние информационной безопасности окажут будущие потребности бизнеса, недостаток целеустремленных лидерских идей, а также отсутствие эффективной стратегии безопасности (рис. 13).
Рисунок 13. Основные препятствия на пути к созданию эффективной системы безопасности
Тенденция роста бюджетов на обеспечение безопасности в этом году может привести к решению проблем с финансированием. При этом вызывает беспокойство, что такие ключевые вопросы, как понимание принципов безопасности, приведение их в соответствие с будущими потребностями бизнеса, а также обеспечение эффективности стратегий безопасности, по-прежнему входят в число ключевых проблем. Респонденты также весьма часто называют высшее руководство, особенно генеральных директоров, в качестве основного препятствия на пути к повышению уровня безопасности.
Но кого же тогда винят во всем генеральные директора? Любопытно отметить, что генеральные директора в основном называли главным препятствием самих себя. Финансовые директора называли генеральных директоров в качестве основного барьера для развития информационной безопасности. За гендиректорами в этом списке следовали директора по информационным технологиям, информационной безопасности и общей безопасности. По мнению директоров по информационной безопасности, несущих прямую ответственность за системы информационной защиты, список основных препятствий возглавляет недостаточное финансирование (как капитальное, так и операционное), второе место занимает недостаток компетенций и технического опыта у специалистов компании. Директора по информационным технологиям считают, что развитию систем защиты информации мешает отсутствие эффективной стратегии и общей концепции развития, а также недостаток лидерского участия генеральных директоров и руководителей, отвечающих за обеспечение безопасности.
Дэвид Берг, руководящий сотрудник PwC., уверен: «Отсутствие четкого понимания всей картины препятствий, стоящих на пути к построению эффективной системы безопасности, отчасти показывает, что бизнес не вполне готов к ведению адекватного диалога по вопросам информационной защиты. Такой диалог помогает сотрудникам, руководителям и третьим лицам понять свои функции в рамках систем информационной безопасности, а также осознать ключевые приоритеты и наиболее опасные риски. Для того чтобы достигнуть устойчивого понимания принципов безопасности, компаниям также потребуется заручиться полной поддержкой высшего руководства, в том числе генерального директора и совета директоров. Обсуждение проблем безопасности должно иметь непрерывный характер».
Мировая гонка в области кибербезопасности
В течение нескольких лет Азиатско-Тихоокеанский регион был лидером по инвестициям в развитие технологий и процессов обеспечения безопасности, а также по расходованию средств на эти цели. В результате данный регион оторвался от остальных в вопросах разработки и внедрения эффективных программ защиты информации (рис. 14).
Рисунок 14. Меры по обеспечению безопасности в разбивке по регионам
а данный момент этот регион продолжает лидировать в сфере информационной безопасности. Фактически 28% компаний, которых мы считаем лидерами, представляют Азиатско-Тихоокеанский регион, а это лишь 21% от общего числа участников исследования.
Южная Америка стремится догнать Азиатско-Тихоокеанский регион, лидирующий в области информационной защиты. Впервые за все время Южная Америка оказалась близка к лидерству по объемам инвестиций в системы информационной безопасности, политике в этой сфере и характеру принимаемых защитных мер. Этот континент занимает ведущее положение по многим аспектам, включая уровень затрат на цели безопасности и количество штатных директоров по информационной безопасности, ответственных за контроль защитных систем. По многим другим аспектам Южная Америка не отстает от своего азиатско-тихоокеанского соперника.
И тем не менее Азиатско-Тихоокеанский регион продолжает занимать уверенные позиции в вопросах бюджета на безопасность и передовых методов работы. Европа и Северная Америка, в свою очередь, во многом отстают от своих соперников, в том числе в таких областях, как введение должности директора по информационной безопасности, внедрение политики по резервному копированию и восстановлению данных (обеспечению непрерывности бизнеса), а также сотрудничество с другими игроками рынка. Северная Америка демонстрирует успехи в ряде областей, добившись от третьих сторон соответствия установленным требованиям политики конфиденциальности, обеспечив высокий уровень информированности сотрудников и организовав обучение персонала по вопросам безопасности. Вместе с тем этот регион продолжает отставать по многим другим показателям.
Азиатско-Тихоокеанский регион: по-прежнему в лидерах
Азиатско-Тихоокеанский регион продолжает занимать лидирующее положение по таким показателям, как бюджет на безопасность и методы работы. Инвестиции в укрепление систем безопасности также остаются на высоком уровне: ередний объем бюджетов на безопасность увеличился на 85% за прошедший год. Азиатско-Тихоокеанский регион также продемонстрировал самый высокий показатель доли бюджета на информационную безопасность от общих затрат на информационные технологии - 4,3%. Респонденты рисуют вполне радужную картину будущих затрат на обеспечение информационной безопасности: 60% опрошенных утверждают, что бюджет на защиту данных в их компаниях будет увеличен в течение следующих 12 месяцев. Вместе с тем, средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос на 28% за прошедший год.
Азиатско-Тихоокеанский регион имеет равные с Южной Америкой позиции по ключевым направлениям политики, таким как: наличие в штате должности директора по информационной безопасности в целях контроля программы защиты данных. Регион также отличается стремлением к применению новых прогрессивных мер безопасности, среди которых назначение директора, отвечающего за информирование персонала о важности информационной безопасности (69%), и сотрудничество с другими игроками рынка в целях повышения уровня безопасности (59%). В регионе, если сравнивать его с Южной Америкой, по всей вероятности, будут внедрены технологии, направленные на обнаружение фактов взлома систем защиты (67%), и будут созданы системы для сбора, передачи и хранения всех персональных данных (60%).
Вместе с тем динамика ежегодных изменений показывает, что в Азиатско-Тихоокеанском регионе отмечается замедление в области внедрения некоторых направлений политики и технологий обеспечения безопасности. Например, число респондентов, которые ответили, что у них существует политика в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации, за последний год сократилось. При этом другие основные направления политики, такие как обучение сотрудников и процедуры защиты интеллектуальной собственности, фактически не развиваются.
На долю Китая в этом исследовании приходится 33% респондентов из Азиатско-Тихоокеанского региона, за Китаем следуют Индия (31%) и Япония (17%). По большинству показателей Китай значительно опережает другие страны в развитии практики и политики в области обеспечения безопасности. Например, 60% респондентов в Китае используют инструменты поведенческого мониторинга и контроля, 73% осуществляют централизованное хранение пользовательских данных, а 72% используют сканеры для выявления уязвимых мест - по всем указанным показателям Китай опережает другие страны. Шестьдесят два процента (62%) респондентов в Китае применяют технологии, обеспечивающие защиту и обнаружение целенаправленных устойчивых угроз, а 66% внедрили технологии защиты информации и управления событиями - все эти показатели выше, чем в других странах. Более того, ни одна из стран не внедрила политику по безопасности мобильных устройств, по использованию личных портативных устройств на работе и по использованию социальных сетей на более высоком уровне, чем Китай. Например, 71% респондентов в Китае имеют политику по использованию персональных устройств в корпоративных сетях, тогда как в США таких респондентов оказалось 64%, а в Индии - 54%. По сравнению c Китаем Индия демонстрирует убедительные достижения в сфере реализации программ и политики безопасности, но отстает от Китая почти по всем показателям.
Южная Америка: новый лидер с юга
Южная Америка демонстрирует значительные достижения по уровню расходов на обеспечение безопасности, внедрению политики и технологий в этой сфере. По многим показателям данный регион сопоставим с Азиатско-Тихоокеанским регионом, а иногда и опережает его.
Например, бюджеты на информационную безопасность за последний год резко увеличились - на 69%, а 66% респондентов в Южной Америке отмечают, что расходы на безопасность возрастут в течение последующих 12 месяцев. Бюджеты на обеспечение безопасности составляют 4,1% от общих расходов на информационные технологии, при этом более высокий показатель отмечен только в Азиатско-Тихоокеанском регионе. Респонденты в Южной Америке активнее приглашают на работу директоров по информационной безопасности (75%) и следуют политике в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (58%). Этот континент является лидером в области сотрудничества (66%) и поддерживает тесные связи с Азиатско-Тихоокеанским регионом в сфере реализации прогрессивных направлений политики безопасности, таких как наличие в штате организации директора, отвечающего за информирование сотрудников о важности информационной безопасности (68%). Средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос незначительно (на 4%) по сравнению с прошлым годом.
Доля респондентов из Бразилии оказалась самой большой в Южной Америке (48% от общего числа), затем следует Мексика (30%) и Аргентина (21%). Бразилия является лидером по ряду показателей, например в категории поведенческого мониторинга и контроля (57%), а также использования сканеров для выявления уязвимых мест в системах и сетях (63%), но в целом она отстает от Китая и США.
Южная Америка продемонстрировала некоторые слабые стороны. Например, доля респондентов, которые отметили, что в их организации существует политика обучения персонала в сфере информационной безопасности, оказалась сравнительно небольшой (54%), как и доля тех, кто ведет учет регионов, где осуществляется сбор, передача и хранение персональных данных (53%).
Европа: отставание в области финансирования и мер защиты
UB отличие от других регионов, в Европе за последний год инвестиции в информационную безопасность немного сократились (3%), и этот континент продолжает отставать в реализации важнейших мер по обеспечению информационной безопасности.
Наряду с небольшим сокращением инвестиций на обеспечение безопасности, только 46% респондентов в Европе считают, что уровень расходов на обеспечение безопасности в последующие 12 месяцев возрастет. И если число выявленных инцидентов в сфере безопасности снизилось за последний год на 22%, то средний размер финансовых убытков, вызванных такими инцидентами, повысился на 28%.
Внедрение существенных направлений политики, в том числе в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (45%), а также в сфере обучения и информирования сотрудников по вопросам информационной безопасности (21%), оказалось в Европе на сравнительно низком уровне. Кроме этого, небольшое число респондентов ответили, что они сотрудничают с другими компаниями (45%) и следуют политике в области мобильной безопасности (38%).
Северная Америка: в отстающих и в лидерах одновременно
Инвестиции в обеспечение безопасности стремительно растут в Северной Америке, как и число выявленных нарушений систем безопасности. И хотя далеко не все ключевые направления политики в области безопасности внедрены, Северная Америка является лидером в ряде важных областей.
Средний размер бюджета на обеспечение безопасности возрос за последний год на 80%, однако перспективный бюджет по расходованию средств в следующем году является наименьшим среди всех регионов: только 17% респондентов в Северной Америке ожидают увеличения расходов в области информационной безопасности в ближайший год. Количество выявленных нарушений системы безопасности возросло на 117% за 2012 год, а средняя сумма финансовых потерь, возникших в результате инцидентов в сфере безопасности, увеличилась на 48%.
Северная Америка является лидером среди других регионов по целому ряду направлений, таких как: наличие общей стратегии в сфере безопасности (81%), введение требования о соблюдении третьими сторонами политики конфиденциальности и неразглашения информации (62%) и обучение персонала по вопросам безопасности (64%). Кроме этого, в регионе высока вероятность учета, сбора, передачи и хранения персональных данных (64%), а также применения технологий обнаружения вторжений (67%).
Среди недостатков отметим следующее: Северная Америка отстает по таким направлениям, как сотрудничество с другими участниками рынка (42%) и наличие в штате компаний директора по информационной безопасности (65%). В Северной Америке меньшее число респондентов проанализировало эффективность мер по обеспечению безопасности в своих компаниях в прошедшем году.
США, на которые приходится 84% североамериканских респондентов, оказались среди лидеров в области стратегий развития облачных технологий (52%), безопасности мобильных устройств (60%), социальных сетей (58%) и использования личных портативных устройств на работе (64%), уступая лишь Китаю в большинстве категорий.
Что это значит для вашего бизнеса
В «Глобальном исследовании по вопросам информационной безопасности. Перспективы на 2014 год» отражается состояние систем информационной безопасности в период неопределенности, когда все замерли в ожидании перемен, но при этом пытаются сохранить существующее положение дел. Респонденты отмечают прогресс в применении современных средств безопасности, с одной стороны, а с другой - уделяют недостаточное внимание таким ключевым стратегиям, как защита прав интеллектуальной собственности. При этом они вновь готовы инвестировать средства в обеспечение безопасности, но не имеют четкого представления о том, как именно следует совершенствовать существующую практику.
Если принять во внимание значительные изменения и проблемы, вызванные появлением всё новых угроз для экосистемы бизнеса, совсем не удивительно, что на вопрос о том, в каком направлении нужно двигаться дальше, нет однозначного ответа.
Одно очевидно: прежние средства защиты уже неэффективны в борьбе с новыми, стремительно возникающими сегодня угрозами. А риски завтрашнего дня представляются в лучшем случае неопределенными, а в худшем - губительными, но в любом случае они потребуют разработки абсолютно новой модели обеспечения информационной безопасности.
Мы предлагаем современный подход к пониманию того, какой может быть модель безопасности, основанная на понимании природы и источников угроз, а также на знании того, какие ресурсы имеются у компании. При наличии такой модели нарушения в области безопасности воспринимаются как чрезвычайно опасный для бизнеса риск, который не всегда можно предотвратить, но которым можно управлять, удерживая его на приемлемом для организации уровне.
Мы назвали такую модель «От осознания - к действию». По сути, такой подход основан на четырех ключевых принципах:
- Обеспечение безопасности - жизненно важная для бизнеса задача. Создание эффективной системы безопасности требует, чтобы вы понимали уровень риска и возможные последствия, связанные с работой в условиях существования интегрированной международной экосистемы бизнеса. Комплексная стратегия безопасности должна стать важнейшим элементом вашей бизнес-модели; безопасность перестала быть всего лишь одной из задач в области ИТ.
- Угрозы для безопасности являются бизнес-рисками. Риски, связанные с безопасностью, следует рассматривать как угрозы для самой организации. Чрезвычайно важно прогнозировать такие угрозы, понимать уязвимые места своей организации, уметь выявлять связанные с ними риски и управлять такими рисками. Необходимо, чтобы поставщики, партнеры и другие третьи лица были ознакомлены с вашей политикой и практикой в области безопасности и были согласны следовать им.
- Защита наиболее важной информации. Для создания эффективной системы безопасности вы должны иметь четкое представление о характере меняющихся угроз и уметь адаптироваться к ним путем определения, какая информация является для вас наиболее ценной. Вы должны знать, где находится эта «драгоценная» информация, кто имеет к ней доступ в любое время, и умело распределять в приоритетном порядке ресурсы вашей организации в целях защиты наиболее ценной информации.
- Преимущества модели «От осознания - к действию».
Применение этой новой модели информационной безопасности предполагает, что в основе любой деятельности и инвестиционных решений должно быть четкое понимание того, что представляют собой имеющиеся в организации информационные ресурсы, какие существуют угрозы для экосистемы бизнеса, какие участки системы наиболее уязвимы, а также каковы результаты мониторинга деятельности организации. Вам необходимо сформировать в своей организации культуру, направленную на обеспечение безопасности, таким образом, чтобы она охватывала всех сотрудников, начиная с высших должностных лиц, принимающих на себя обязательство по обеспечению безопасности, и заканчивая каждым сотрудником и всеми третьими лицами. При этом необходимо сотрудничать с государственными учреждениями и частными компаниями для более эффективного обмена информацией о возникающих угрозах для безопасности.
Мы поможем вам понять последствия применения этого нового подхода к вопросу информационной безопасности и окажем содействие по внедрению принципов, лежащих в основе такого подхода, с учетом индивидуальных потребностей вашего бизнеса и отрасли, а также с учетом угроз, характерных для вашей бизнес-среды. Мы продемонстрируем вам, как можно успешно противостоять сегодняшним угрозам безопасности и эффективно планировать защиту против тех угроз, которые возникнут завтра.
«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.
«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: Журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.
Ocean Tomo, Ежегодное исследование рыночной стоимости нематериальных активов (Ocean Tomo), апрель 2011 года
Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.
Составляющие информационной безопасности
В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.
Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:
- целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
- конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
- доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.
Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:
- несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
- искажение, частичную или полную утрату конфиденциальной информации;
- целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
- отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).
Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.
Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.
Рис. 7.1.
В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:
- от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
- несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
- разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
- внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.
Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").
Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .
Рис. 7.2.
Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.
С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.
Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.
Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.
Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.
Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.
Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.
Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.
Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:
- мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
- управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
- – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
- – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
- – рабочей станции (Data-in-Use);
- – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
- – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
- – установления проактивной защиты и персональных сетевых экранов;
- – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.
Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.
Прежде, чем начинать разговор об организации эффективной и надежной защиты информации в операционных системах, определим круг угроз, от которых необходимо защититься. Угрозы безопасности операционной системы существенно зависят от условий эксплуатации системы, от того, какая информация хранится и обрабатывается в системе, и т.д. Например, если операционная система используется главным образом для организации электронного документооборота, наиболее опасны угрозы, связанные с несанкционированным доступом (НСД) к файлам. Если же операционная система используется как платформа для провайдера Internet-услуг, очень опасны атаки на сетевое программное обеспечение операционной системы.
Все попытки взлома защиты компьютерных систем можно разделить на три группы:
Атаки на уровне операционной системы;
Атаки на уровне сетевого программного обеспечения;
Атаки на уровне систем управления базами данных.
Атаки на уровне систем управления базами данных
Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия - поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление хакером защиты, реализуемой на уровне СУБД.
Кроме того, имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные методы. В первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея хакерской атаки на СУБД - так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.
Атаки на уровне операционной системы
Защищать операционную систему, в отличие от СУБД, гораздо сложнее. Дело в том, что внутренняя структура современных операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей. Среди людей несведущих бытует мнение, что самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так.
Никто не спорит с тем, что пользователю следует быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация - совсем не лишнее. Однако искусство хакера состоит отнюдь не в том, чтобы взламывать любую компьютерную защиту. Нужно просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку, чем проще алгоритм атаки, тем больше вероятность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, приближенных к "боевым", весьма ограничены.
Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки.
Единой и общепринятой классификации угроз безопасности операционных систем пока не существует. Однако можно классифицировать эти угрозы по различным аспектам их реализации.
Классификация угроз по цели:
Несанкционированное чтение информации;
Несанкционированное изменение информации;
Несанкционированное уничтожение информации;
Полное или частичное разрушение операционной системы (под разрушением операционной системы понимается целый комплекс разрушающих воздействий от кратковременного вывода из строя ("завешивания") отдельных программных модулей системы до физического стирания с диска системных файлов).
Классификация угроз по принципу воздействия на операционную систему:
Использование известных (легальных) каналов получения информации; например, угроза несанкционированного чтения файла, доступ пользователей к которому определен некорректно - разрешен доступ пользователю, которому согласно адекватной политике безопасности доступ должен быть запрещен;
Использование скрытых каналов получения информации; например, угроза использования злоумышленником недокументированных возможностей операционной системы;
Создание новых каналов получения информации с помощью программных закладок.
Классификация угроз по характеру воздействия на операционную систему:
Активное воздействие - несанкционированные действия злоумышленника в системе;
Пассивное воздействие - несанкционированное наблюдение злоумышленника за процессами, происходящими в системе.
Классификация угроз по типу используемой злоумышленником слабости защиты:
Неадекватная политика безопасности, в том числе и ошибки администратора системы;
Ошибки и недокументированные возможности программного обеспечения операционной системы, в том числе и так называемые люки - случайно или преднамеренно встроенные в систему "служебные входы", позволяющие обходить систему защиты; обычно люки создаются разработчиками программного обеспечения для тестирования и отладки, и иногда разработчики забывают их удалить или оставляют специально;
Ранее внедренная программная закладка.
Классификация угроз по способу воздействия на объект атаки:
Непосредственное воздействие;
Превышение пользователем своих полномочий;
Работа от имени другого пользователя;
Использование результатов работы другого пользователя (например, несанкционированный перехват информационных потоков, инициированных другим пользователем).
Классификация угроз по способу действий злоумышленника (нару шителя):
В интерактивном режиме (вручную);
В пакетном режиме (с помощью специально написанной программы, которая выполняет негативные воздействия на операционную систему без непосредственного участия пользователя-нарушителя).
Классификация угроз по объекту атаки:
Операционная система в целом;
Объекты операционной системы (файлы, устройства и т.д.);
Субъекты операционной системы (пользователи, системные процессы и т.д.);
Каналы передачи данных.
Классификация угроз по используемым средствам атаки:
Штатные средства операционной системы без использования дополнительного программного обеспечения;
Программное обеспечение третьих фирм (к этому классу программного обеспечения относятся как компьютерные вирусы и другие вредоносные программы (exploits), которые можно легко найти в Internet, так и программное обеспечение, изначально разработанное для других целей: отладчики, сетевые мониторы и сканеры и т.д.);
Специально разработанное программное обеспечение.
Классификация угроз по состоянию атакуемого объекта операционной системы на момент атаки:
Хранение;
Передача;
Обработка.
Типичные атаки на операционную систему
Сканирование файловой системы.
Данная атака является одной из наиболее тривиальных, но в то же время одной из наиболее опасных. Суть атаки заключается в том, что злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать или удалить) все файлы подряд. Если он не получает доступ к какому-то файлу или каталогу, то продолжает сканирование. Если объем файловой системы достаточно велик, рано или поздно обнаруживается хотя бы одна ошибка администратора. В результате злоумышленник получает доступ к информации, доступ к которой должен быть ему запрещен. Данная атака может осуществляться специальной программой, которая выполняет вышеописанные действия в автоматическом режиме.
Несмотря на кажущуюся примитивность описанной атаки, защититься от нее не так просто. Если политика безопасности допускает анонимный или гостевой вход в систему, администраторам остается только надеяться, что права доступа ко всем файлам системы, число которых может составлять сотни тысяч, определены абсолютно корректно. Если же анонимный и гостевой вход в систему запрещен, поддержание адекватной политики регистрации потенциально опасных событий (аудита) позволяет организовать эффективную защиту от этой угрозы. Впрочем, следует отметить, что поддержание адекватной политики аудита требует от администраторов системы определенного искусства. Кроме того, если данная атака осуществляется злоумышленником от имени другого пользователя, аудит совершенно неэффективен.
Кража ключевой информации .
В простейшем случае эта атака заключается в том, что злоумышленник подсматривает пароль, набираемый пользователем. То, что все современные операционные системы не высвечивают на экране вводимый пользователем пароль, несколько затрудняет эту задачу, но не делает ее невыполнимой. Известно, что для того, чтобы восстановить набираемый пользователем пароль только по движениям рук на клавиатуре, достаточно всего несколько недель тренировок. Кроме того, достаточно часто встречается ситуация, когда пользователь ошибочно набирает пароль вместо своего имени, которое, в отличие от пароля, на экране высвечивается.
Некоторые программы входа в операционную систему удаленного сервера допускают ввод пароля из командной строки. К таким командам относится, например, команда nwlogin операционной системы UNIX, предназначенная для входа на сервер Novell NetWare. При использовании с ключом -р она позволяет вводить пароль в командной строке, например: nwlogin server user -ppassword
При вводе пароля в командной строке пароль, естественно, отображается на экране и может быть прочитан злоумышленником. Известны случаи, когда пользователи создавали командные файлы, состоящие из команд, подобных вышеприведенной, для автоматического входа на удаленные серверы. Если злоумышленник получает доступ к такому файлу, тем самым он получает доступ ко всем серверам, к которым имеет доступ данный пользователь, в пределах предоставленных ему полномочий.
Иногда пользователи, чтобы не забыть пароль, записывают его на бумагу, которую приклеивают к нижней части клавиатуры, к задней стенке системного блока или в какое-нибудь другое якобы укромное место. В этом случае пароль рано или поздно становится добычей злоумышленника. Особенно часто такие ситуации имеют место в случаях, когда политика безопасности требует от пользователей использовать длинные, трудные для запоминания пароли.
Наконец, потеря или кража внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему).
Подбор пароля.
Подбор пароля по частоте встречаемости символов и биграмм;
Подбор пароля с помощью словарей наиболее часто применяемых паролей;
Подбор пароля с привлечением знаний о конкретном пользователе - его имени, фамилии, номера телефона, даты рождения и т. д.;
Подбор пароля с использованием сведений о существовании эквивалентных паролей, при этом из каждого класса опробуется всего один пароль, что может значительно сократить время перебора;
Полный перебор всех возможных вариантов пароля.
Сборка мусора.
Во многих операционных системах информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная. С помощью специальных программных средств эта информация (так называемый мусор) может быть в дальнейшем восстановлена. Суть данной атаки заключается в том, что злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты. По окончании просмотра и копирования вся эта информация вновь "уничтожается". В некоторых операционных системах, таких как Windows 95, злоумышленнику даже не приходится использовать специальные программные средства - ему достаточно просто просмотреть "мусорную корзину" компьютера.
Сборка мусора может осуществляться не только на дисках компьютера, но и в оперативной памяти. В этом случае специальная программа, запущенная злоумышленником, выделяет себе всю или почти всю доступную оперативную память, просматривает ее содержимое и копирует фрагменты, содержащие заранее определенные ключевые слова. Если операционная система не предусматривает очистку памяти при выделении, злоумышленник может получить таким образом много интересной для него информации, например содержание области памяти, только что освобожденной текстовым редактором, в котором редактировался конфиденциальный документ.
Превышение полномочий.
При реализации данной угрозы злоумышленник, используя ошибки в программном обеспечении операционной системы и/или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени другого пользователя, имеющего необходимые полномочия, или в качестве системной программы (драйвера, сервиса, и т.д.). Либо происходит подмена динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам.
Программные закладки.
Программные закладки, внедряемые в операционные системы, не имеют существенных отличий от других классов программных закладок.
О тказ в обслуживании.
Целью этой атаки является частичный или полный вывод из строя операционной системы:
Внедрение «жадных» программ. Жадными называются программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы не могут выполняться или выполняются крайне медленно и неэффективно. Часто запуск жадной программы приводит к краху операционной системы;
Бомбардировка запросами (хакерская программа постоянно направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов компьютера);
Использование ошибок в программном обеспечении или администрировании.
Если в программном обеспечении компьютерной системы нет ошибок, и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система. Тем не менее, приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы на уровне операционной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба.
Атаки на уровне сетевого программного обеспечения
СПО является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищен, и всякий, кто может иметь доступ к этому каналу, соответственно, может перехватывать сообщения и отправлять свои собственные. Поэтому на уровне СПО возможны следующие хакерские атаки:
Прослушивание сегмента локальной сети (в пределах одного и того же сегмента локальной сети любой подключенный к нему компьютер в состоянии принимать сообщения, адресованные другим компьютерам сегмента, и следовательно, если компьютер хакера подсоединен к некоторому сегменту локальной сети, то ему становится доступен весь информационный обмен между компьютерами этого сегмента);
Перехват сообщений на маршрутизаторе (если хакер имеет привилегированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения, проходящие через этот маршрутизатор, и хотя тотальный перехват невозможен из-за слишком большого объема, чрезвычайно привлекательным для хакера является выборочный перехват сообщений, содержащих пароли пользователей и их электронную почту);
Создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида хакер добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям);
Навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, хакер переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей, чьи соединения обманным путем были переключены на компьютер хакера);
Отказ в обслуживании (хакер отправляет в сеть сообщения специальною вида, после чего одна или несколько компьютерных систем, подключенных к сети, полностью или частично выходят из строя).
Поскольку хакерские атаки на уровне СПО спровоцированы открытостью сетевых соединений, разумно предположить, что для отражения этих атак необходимо максимально защитить каналы связи и тем самым затруднить обмен информацией по сети для тех, кто не является легальным пользователем. Ниже перечислены некоторые способы такой защиты:
Максимальное ограничение размеров компьютерной сети (чем больше сеть, тем труднее ее защитить);
Изоляция сети от внешнего мира (по возможности следует ограничивать физический доступ к компьютерной сети извне, чтобы уменьшить вероятность несанкционированного подключения хакера);
Шифрование сетевых сообщений (тем самым можно устранить угрозу перехвата сообщений, правда, за счет снижения производительности СПО и роста накладных расходов);
Электронная цифровая подпись сетевых сообщений (если все сообщения, передаваемые по компьютерной сети, снабжаются электронной цифровой подписью, и при этом неподписанные сообщения игнорируются, то можно забыть про угрозу навязывания сообщений и про большинство угроз, связанных с отказом в обслуживании);
Использование брандмауэров (брандмауэр является вспомогательным средством защиты, применяемым только в том случае, если компьютерную сеть нельзя изолировать от других сетей. Поскольку брандмауэр довольно часто не способен отличить потенциально опасное сетевое сообщение от совершенно безвредного, то в результате типичной является ситуация, когда брандмауэр не только не защищает сеть от хакерских атак, но даже препятствует ее нормальному функционированию).
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Что защищать?
Какие виды угроз превалируют: внешние или внутренние?
Как защищать, какими методами и средствами?
Система ИБ
Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
- статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
- динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.
Дайджест информационной безопасности
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
- информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
- права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
- система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
- система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
- информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
- сведения в открытом доступе;
- общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
- опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.
Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
- на информационное самоопределение;
- на доступ к личным персональным данным и внесение в них изменений;
- на блокирование персональных данных и доступа к ним;
- на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
- на возмещение причиненного ущерба.
Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
- печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
- сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
- средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
- документы всех типов: личные, служебные, государственные;
- программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
- электронные носители информации, которые обрабатывают данные в автоматическом порядке.
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
- Нормативные средства
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:
- ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
- IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
- Организационные и административные меры
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
- Морально-этические меры
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.
