Информационная безопасность с точки зрения методологии – это глубоко изученный процесс, который принято подразделять на несколько уровней. От глобальных основ к частным практикам, которые приняты в конкретной компании.

Уровни информационной безопасности – это методологическая основа, на которой базируется реализация информационной защиты организации. Без знания этих основ и их особенностей невозможно эффективно внедрить защитные механизмы в инфраструктуру компании.

Существуют как глобальные проблемы, затрагивающие несколько «пластов» ИБ, так и локальные, характерные для конкретного уровня. В этой статье мы разберем проблематику реализации программ информационной безопасности и основные трудности, с которыми сталкиваются компании.

1 уровень защиты информации

Это уровень правовых основ. Главным инициатором, в лице своих законодательных органов и профильных ведомств, выступает государство,. На правовом уровне формируются регламенты и минимальные требования, которым должны соответствовать те или иные компании.

Уровень требований во многом определяется спецификой субъекта правоприменения. Это могут быть объекты критической информационной инфраструктуры, операторы данных, государственные предприятия или другие субъекты.

Андрей Тимошенко

Директор по стратегическому развитию бизнеса, Innostage

Существует базовый, так называемый «джентльменский» набор мер защиты, который должна внедрить любая организация независимо от ее размера или сферы деятельности. К таким мерам относятся: антивирусная и сетевая защита, средства безопасного доступа, межсетевое экранирование, а также безопасные настройки ИТ-платформ, таких как серверы, рабочие станции, системы управления базами данных и сетевое оборудование. Не меньшее значение имеют выявление и закрытие уязвимостей, резервное копирование данных.

Тем, кто активно применяет для рабочих целей интернет-сервисы, необходимо внедрять защиту от DDoS-атак и межсетевое экранирование на уровне web-приложений (Web Application Firewall, WAF). Организациям, работающим с большими объемами персональной информации клиентов и секретами производства, следует усиливать меры по управлению доступом и внедрять системы противодействия утечкам информации.

На уровне правовых основ есть два глобальных риска, которые могут негативно сказаться на всей ИБ-инфраструктуре:

1. Бюрократизация. Часто ее называют «бумажной безопасностью», когда набор документов полностью соответствует требованиям регуляторов, но заявленный уровень защиты не соответствует реальности. Эта проблема перекликается с административным уровнем информационной безопасности, где формируются локальные нормативы и корпоративные правила работы с данными.
2. Неэффективная адаптация. Проблема интерпретации законодательных актов и их применения к конкретной компании обычно вскрывается на этапе ведомственных проверок. Риски здесь напрямую зависят от профессионализма подрядчика и профильных сотрудников.

Помимо этого, всегда остается риск столкнуться с классическими проблемами любого законодательства: бюрократизацией процессов, отсутствием разъяснений по тем или иным частным случаем, неочевидностью правоприменительной и судебной практики.

Владимир Арышев

Эксперт по комплексным ИБ-проектам, STEP LOGIC

Обеспечение безопасности – это процесс, который нуждается в постоянном сопровождении. Система защиты должна регулярно корректироваться в соответствии с изменяющейся средой: появляются новые информационные активы, виды атак, изменяются модели нарушителей.

Для непрерывной регистрации и обработки событий безопасности, выявления новых уязвимостей и обучения сотрудников правилам безопасной работы требуется команда высококвалифицированных специалистов.

Не каждая организация готова создавать такое подразделение, поэтому сейчас все большую популярность получают различные сервисы аутсорсинга ИБ, например, Security Operations Center (SOC), позволяющие большую часть аналитической и рутинной работы перевести во внешнюю специализированную организацию.

За законодательным уровнем защиты систем идет административный, на котором «универсальные» правовые нормы и требования адаптируются под специфику конкретной компании.

2 уровень защиты информации

Это уровень управленческих решений. Основные инициаторы на административном уровне – это топ-менеджмент компании. В рамках этого уровня формируются должностные инструкции, назначаются ответственные лица и составляются регламенты реагирования, обучения персонала и внедрения других защитных механизмов.

Как и на предыдущем уровне, главной проблемой здесь остается формализм: политики могут быть скачаны из интернета ради прикрытия юридических дыр. В таком случае, протоколы безопасности становятся формальными и не несут никакой практической пользы, поскольку не исполняются должным образом.

Александр Герасимов

CISO Awillix

Чтобы правильно оценить уровень защищенности систем, первым делом нужно определить модель угроз компании и узнать от кого защищаться. Без моделирования возможных угроз информационной безопасности, невозможно построить защищенную систему.

Но если описаны:

1. Угрозы безопасности – это возможная реализация атак или нарушение главных принципов информации: целостности, доступности, конфиденциальности.
2. Модели нарушителя – это портреты хакеров, например, внешний злоумышленник со сканерами в арсенале, хакер в составе группировки, предприимчивый школьник или внутренний нарушитель.
3. Способы реализации угроз – сценарии атак.
4. Возможные уязвимости – бреши в ИТ-инфраструктуре компании: сайтах, приложениях, личных кабинетах и так далее.
5. Последствия от потери или компрометации информации.

То становится ясно, как именно изменить системы, процессы и средства защиты, чтобы сократить риски и учесть максимум угроз информационной безопасности.

Успешность компании на административном уровне информационной безопасности напрямую зависит от зрелости руководства с позиции ИБ. Большую роль здесь играет осознанность основных принципов информационной безопасности, ее значения для функционирования компании.

Если руководство компании понимает, например, что незащищенность от DDoS-атак может стать причиной недоступности ресурсов компании на N времени и приведет к X финансовых потерь – оно с большей вероятностью придет к пониманию необходимости «закрыть» эту проблему превентивно, до первого инцидента.

 Дмитрий Пудов

Генеральный директор NGR Softlab

Мне сложно поверить, что многие организации столкнулись с информационной безопасностью впервые. Сейчас многие компании готовы перейти к более осознанному управлению рисками информационной безопасности, отдавая себе отчет, что игнорировать их нельзя.

Если в организации вопросы ИБ вышли на стратегический уровень, то необходимо создавать и развивать это направление. С точки зрения методологии, информационная безопасность – достаточно зрелая область знаний, на рынке достаточно профессиональных компаний, которые смогут помочь сформировать стратегию ИБ и реализовать ее, учитывая все тонкости и нюансы законодательства, ИТ-ландшафта, финансовых возможностей организации и особенностей ее бизнес-процессов.

Сейчас на рынке уже есть ряд компаний, которые готовы предоставлять некоторые услуги безопасности по сервисной модели. Если организация в начале пути, то важно постараться работать с профессионалами и помнить о правиле Парето: 20% мероприятий дадут 80% результата.

Законодательный и административный уровни – это этапы теоретико-инструментального обоснования. Их главная задача – это стандартизация процессов осуществления информационной безопасности. Создание комплекса опривыченных и понятных действий позволяет сформировать ощущение предсказуемости. А предсказуемость – это одно из главных условий безопасности.

3 уровень защиты информации

Это процедурный или операционный уровень ИБ. То есть, уровень практической реализации тех регламентов и инструкций, которые были сформулированы на предыдущих этапах.

Этот уровень обеспечения ИБ – один из самых высокорисковых. На это есть две главные причины:

1. Задействование большого количества людей. Фактически, на этом уровне участвуют все сотрудники компании, которые имеют возможность доступа к корпоративным информационным системам.
2. Актуализация. Риск столкновения с киберугрозами существует в любой момент времени. Как правило, «на дистанции сотрудники показывают разный уровень сопротивления методам социальной инженерии.

Роман Ламинин

Ведущий специалист по ИБ, eXpress

Массовое обучение действительно может помочь в данной ситуации. Прежде всего, необходимо проводить тренинги по противодействию методам социальной инженерии и фишинговым атакам. Причем, приоритет стоит отдавать не только теоретическим, но и практическим занятиям с интервалом не более 4-х недель. Как показывает опыт тренинговых групп компании HelpSystems, уже через 3–4 недели после окончания тренинга по антифишингу сотрудники клиента начали открывать откровенно фишинговые письма.

Многие компании уже пришли к тому выводу, что успешность внедрения технических средств и ИБ-процедур напрямую зависит от уровня подготовки сотрудников. Новый тренд, к которому движется отрасль – это обеспечение равномерной периодичности, а в лучшем случае – непрерывности обучения сотрудника.

Александр Осипов

Директор по облачным платформам и инфраструктурным решениям, МегаФон

Действительно, несмотря на то, что компании с каждым годом все осознаннее относятся к обеспечению информационной безопасности, человеческий фактор продолжает оставаться одной из главных проблем систем безопасности.

Хакеры активно используют методы социальной инженерии – например, электронные письма, содержащие зараженные файлы или фишинговые ссылки, которые, по нашим данным, открывают более 30% сотрудников. Чтобы уровень кибергигиены рос, компаниям нужно планомерно повышать осведомленность сотрудников о правилах безопасности: учить выявлять фишинговые сайты, рассказывать о психологических приемах и технологиях, которые используют мошенники, чтобы получать конфиденциальную информацию, и так далее.

В этом компаниям помогают обучающие платформы. Например, у нас в МегаФоне это Security Awareness, на которой есть постоянно обновляющийся набор курсов по разным темам в сфере кибербезопасности и инструментов, позволяющая проверять и закреплять полученные знания. Прохождение обучения позволяет снизить угрозу фишинга почти в десять раз, до 3-5%.

Актуальность такого подхода растет пропорционально росту числа атак, большинство из которых происходят с использованием методов социальной инженерии для получения «точки входа».

Павел Яшин

Руководитель службы информационной безопасности, iiii Tech (Форайз)

Сотрудники – наиболее простой для взлома ресурс. Как бы мы ни готовили наши системы обнаружения вторжений, как бы ни настраивали DLP – если злоумышленник получил данные учетной записи сотрудника – значит барьер пройден, злоумышленник уже внутри сети компании и ему открыты многие возможности.

Что же включает в себя цифровая гигиена? Вот набор простых правил:

• Использовать сложные пароли;
• Никому не сообщать пароли и пин-коды;
• Использовать мультифакторную аутентификацию везде, где это возможно;
• Не хранить персональные данные (например, сканы паспортов) в облачных системах;
• Использовать соцсети с умом – не стоит делиться слишком личной информацией;
• Не использовать рабочую почту для личных нужд;\
• Не подключаться с рабочих компьютеров к открытым WiFi-сетям;
• Обращаться к сотрудникам службы безопасности при подозрении на кибератаку.

Нужно помнить, что обычная человеческая жадность, любопытство, лень – это «критические уязвимости», и их очень любят использовать злоумышленники. Но знание правил цифровой гигиены может обезопасить и снизить эффективность атаки мошенников.

Еще один важный момент, который часто упускается на операционном уровне – это выстраивание эффективных моделей взаимодействия между ИБ-специалистом и остальными сотрудниками. Если сотрудник считает, что получил фишинговое письмо – он должен четко понимать, как и кому нужно передать эту информацию. Такой подход позволяет выработать «коллективный иммунитет», и своевременно предупредить остальных сотрудников о возникшей угрозе.

4 уровень информационной безопасности

Это уровень «боевых» информационных систем и технических решений, с помощью которых компания защищает свою инфраструктуру. В зависимости от конкретной компании, ее возможностей и масштабов, могут быть использованы как SIEM-системы, так и обычные антивирусные программы.

Павел Коростелев

Руководитель отдела продвижения продуктов компании, Код Безопасности

Для начала компания должна определить, какую информацию она хочет защищать. В этом помогут тестовые вопросы: какая информация может обогатить конкурентов, утечка каких данных приведет к приостановке непосредственной деятельности компании и за что могут последовать штрафы от регуляторов.

Затем следует принять организационные меры по построению ИБ-системы: определить политики безопасности, разработать стандарты и руководства; назначить ответственных. После этого необходимо подумать об обучении сотрудников основам кибербезопасности.

Следует понимать, что защита информации должна быть всесторонней – на уровне IT-инфраструктуры, приложений и данных. Если компания большая, скорее всего понадобится установка системы мониторинга безопасности и сбора событий.

Поскольку одна из основных проблем в современной кибербезопасности – это нехватка специалистов, то стратегию защиты стоит выстраивать таким образом, чтобы затрачивать как можно меньше человеческих ресурсов.

На техническом уровне защиты информационной безопасности происходит определенный конфликт интересов: стремление бизнеса минимизировать затраты сталкивается со стремлением ИБ-специалистов максимально насытить инфраструктуру защитными инструментами.

В рамках этого «конфликта» значение имеют два ключевых фактора:

1. Бюджет. Специалисту по ИБ предстоит на языке бизнеса обосновать, например, почему компании необходимо подключение к TI-платформе. Основная сложность заключается в том, что здесь нет конкретных метрик, в стиле «окупаемости вложений».
2. Модель угроз. Важно понимать, какие данные и от чего предстоит защищать. На основе этой информации делаются выводы: хватает принятых мер или нужны новые. 

При этом, важно понимать, что никакая система защиты не будет работать в компании, где сотрудники пренебрегают правилами цифровой гигиены. Это повышает актуальность простых решений, связанных с постоянным обучением сотрудников.

Дмитрий Ковалев

Руководитель ИБ-департамента компании «Сиссофт»

Человеческий фактор – самое слабое звено в системе информационной безопасности компании. Бизнесу крайне важно уделять внимание цифровой гигиене сотрудников, выделять на это ресурсы и время.

В противном случае инвестиции в покупку технических средств защиты информации будут поставлены под угрозу элементарным незнанием основ кибербезопасности. Среди базовых знаний сотрудников должны быть: понимание принципов создания и хранения паролей, умение вовремя распознать фишинговые письма, понимание к каким рискам может привести один клик по непроверенной ссылке.

Итоги

Главная цель разграничения уровней ИБ – это упрощение понимания процесса реализации информационной безопасности. На основе этой модели четко видна зависимость операционных решений и технологий от бумажной работы.

Понимание связей между этими уровнями дает компании ряд важных преимуществ:

• повышает осознанность всех участников процесса;
• позволяет оптимизировать затраты за счет проведения анализа и избирательного отношения к инструментарию ИБ;
• улучшает качество ИБ-процессов, что влечет снижение затрат на внедрение защитных инструментов.

При этом важно понимать, что уровни не взаимозаменяют друг друга, и не получится прикрыть отсутствие работы с сотрудниками внедрением защитных ИС с сохранением эффективности вторых.

Таким образом, комплексный подход и осознанная работа на каждом из базовых уровней безопасности информации позволяет снизить себестоимость последующего уровня за счет эффективного выстраивания процессов.

Источник: Cyber Media