• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Семь правил информационной безопасности

Created: 02 April 2014

Управляющим Директором Qualys по Восточной Европе, Кавказу и Центральной Азии, Павлом Сотниковым и сотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Статья вышла в первом номере журнала за 2014 год.

Семь правил информационной безопасности

Учитывая стремительно растущую сложность информационных систем и их проникновение в жизнь предприятия, перед руководителями ИТ-департаментов в полный рост встает проблема обеспечения их безопасности. Прекрасно понимая, насколько это сложный процесс и то, что многие предприятия находятся в самом начале этого пути, предлагаем основные правила, которые помогут облегчить старт.

1.Знайте, что наиболее важно для вашей организации

Самый очевидный шаг, с которого нужно начинать процесс обеспечения ИБ – определиться с активами, которые являются жизненно важными для организации. Для банка это будет АБС (автоматизированная банковская система), для интернет-магазина – сайт и база данных. Если таких систем несколько – нужно их ранжировать по важности, критичности для бизнеса. При ограниченности средств на обеспечение информационной безопасности, т.е. практически всегда, очень важно направить усилия на защиту наиболее важных активов. Правильно расставленные приоритеты – важнейший момент.

Продолжением инвентаризации является расстановка приоритетов не только по шкале «важно ‑ не важно» в целом, но и видение вглубь проблемы – определение критичности по трем критериям информационной безопасности – конфиденциальности, целостности и доступности. Если задуматься, то для разных активов и приоритеты будут разные – для сайта компании  в первую очередь важна целостность и доступность, для клиентской базы – конфиденциальность, для биллинга - целостность и т.д. Соответственно выбираются и решения. Подходить ко всем проблемам одинаково – неверно, или не будет обеспечен нужный уровень защиты, или всё это будет стоить неоправданно дорого.

2. Знайте и понимайте своих врагов

Только зная, кто вам угрожает, можно подготовить адекватную защиту. Рассматривая каждый информационной актив, нужно определиться, кто потенциальный и наиболее вероятный противник и нарушитель информационной безопасности. Это могут быть и обиженные сотрудники, и конкуренты, и сетевые преступники всех мастей. В каждом случае мы не можем наверняка знать мотивы злоумышленников, но можем оценить уровень их технической подготовки и наиболее вероятный вектор атаки, т.е. что именно интересует наших противников.

3. Вы не можете контролировать угрозы, вы можете контролировать уязвимости

К сожалению, устранить угрозы информационным активам практически невозможно, ведь невозможно разом устранить всех хакеров, создателей компьютерных вирусов, да и от конкурентов никуда не деться. Выходит, что практически единственное, что можно сделать – уменьшить уязвимость по отношению к угрозам, именно для этого устанавливается антивирусное ПО, межсетевые экраны, создаются системы многофакторной аутентификации и т.д. Всё это – меры по снижению уязвимости информационных систем.

Вот несколько наглядных выкладок:

• 75% атак используют уже известные уязвимости, которые могли быть закрыты в результате внедрения системы управления уязвимостями.

• Более чем 90% успешных атак базируются на самых простых техниках.

• 96% успешных взломов можно было бы избежать, если бы жертва внедрила ряд простых мер безопасности.

• 85% кибер-атак могут быть остановлены посредством внедрения процесса поиска, оповещения и устранения самых важных кибер-проблем в короткий промежуток времени.

Большим подспорьем в выстраивании защиты является известный сборник 20 критических мер по информационной безопасности от SANS Institute.

Другими словами, даже такой авторитетный источник как SANS Institute ставит процесс поиска и устранения уязвимостей во главу угла. А чтобы процесс работал – он должен быть максимально автоматизирован. Тут, как говорят медики, препаратом выбора является система управления уязвимостями, например QualysGuard. При этом QualysGuard может выступать и в качестве собственно средства поиска уязвимостей, и в качестве средства комплаенс-контроля, обеспечивая контроль установленного программного обеспечения, и в качестве средства контроля безопасности конфигурации программного обеспечения и оборудования.

4. Идентификация рисков без их устранения имеет нулевой эффект

Важнейшим шагом по итогам работ по выявлению уязвимостей является их устранение. Ведь приобрести сканер уязвимостей и не устанавливать патчи на уязвимые системы или провести аудит по информационной безопасности, но не предпринять мер по устранению несоответствий – деньги, выброшенные на ветер. Поэтому важно перейти, в том числе и в сознании профильных руководителей отрасли, от логики «обнаружения» к логике «управления», когда проблема не просто обозначается, но и применяются различные меры по снижению рисков, например, страхование и т.д.

5. Вы не можете сделать всё, принимайте риски

К сожалению, несмотря на все усилия, всегда остается риск, что что-то может быть упущено, забыто. Неспроста ведь говорят – дорогу осилит идущий, бояться ошибок не стоит. Всегда важно понимать, что на реализацию всех возможных мер по безопасности не хватит никаких бюджетов, соответственно с некоторыми рисками нужно будет смириться. Идеальный вариант, если этот тезис будет понят и высшим руководством организации.

6. Фокусируйтесь на процессах, а не на отчётах

Всем известны случаи, что работа целого коллектива может быть сорвана из-за отсутствия незаменимого специалиста, который хоть и не руководитель, но именно на его знаниях и опыте всё держится. Хорошая работа кадровой службы должна обеспечить своевременную подготовку кадров, взаимозаменяемость и т.д. В вопросе информационной безопасности тоже нужно стараться так построить рабочий процесс, чтобы на выходе получать предсказуемый результат – приемлемые риски и по возможности отсутствие значительных инцидентов. Построение процессов – целая наука, и тут важно иметь хотя бы базовые представления о процессном подходе и системе управления качеством, например, на базе стандарта ISO 9000.

7. Люди – ключевой элемент безопасности

Система уязвима настолько, насколько уязвимо её самое слабое звено. Зачастую таким звеном являются люди. Задача специалиста по информационной безопасности сложна вдвойне, нужно пройти между двух огней. С одной стороны руководство должно понимать, что и зачем вы делаете. С другой важно построить отношения с рядовыми сотрудниками, чтобы они знали вас в лицо и воспринимали как коллегу и помощника, а не как «большого брата», который исподтишка следит за ними и «стучит» начальству. Задача очень непростая.

При создании статьи были использованы следующие источники информации:

  • James A. Lewis, Raising the Bar for Cybersecurity. Washington, DC: CSIS, 2013
  • SANS Institute. Critical Controls for Effective Cyber Defense
Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости