Нажмите "Enter", чтобы перейти к содержанию

Меры обеспечения безопасности: Меры обеспечения информационной безопасности

Содержание

Меры обеспечения информационной безопасности

Дата: 08.11.2020. Автор: Артем П. Категории: Прочее

В каждой организации, вне зависимости от ее размеров, штата, сферы деятельности и иных факторов, консолидируются малые или крупные информационные массивы, нуждающиеся в защите. Требования к конфиденциальности устанавливаются как федеральным законодательством, регуляторами, так и внутренней политикой конкретного предприятия, заинтересованного в охране коммерческой и других видов тайн.

Меры обеспечения информационной безопасности, которые будут принимаются для формирования системы кибербезопасности организации, напрямую зависят от действующих в отношении компании нормативно-правовых регламентов, а также от утвержденной внутри организации концепции противодействия киберугрозам.

Руководители компании обязаны заняться разработкой и последующим внедрением концепции обеспечения кибербезопасности. Эта документация – основополагающая для создания внутренних техрегламентов и систем мер защиты.

Созданием политики безопасности зачастую занимаются сторонние высококвалифицированные специалисты по информационной безопасности, которые имеют солидный опыт в сфере проведения аудита информационных систем, организационных структур предприятий, действующих бизнес-процессов, в создании наиболее подходящего комплекса мер обеспечения информационной безопасности.

К перечню основных мер обеспечения информационной безопасности принято относить:

  • Криптографическая защита данных. При реализации этой меры используются специальные механизмы защиты с помощью шифрования информации для обеспечения кибербезопасности организации. Криптографические защитные методы применяются в различных отраслях деятельности для хранения, обработки, передачи информации по сетям связи и на всевозможных носителях.
  • Обнаружение кибератак и защита от них. В этом случае предполагается использование специализированных систем обнаружения вторжений (IDS), которые являются на сегодняшний день одними из наиболее важных элементов современных систем кибербезопасности внутренних сетей предприятий и организаций.
    Несмотря на то, что использование технологии IDS не гарантирует полную защиту данных, она всё равно играет значительную роль в этой сфере.
  • Разграничение доступа к информационным системам. Разграничение доступа в современных организациях представлено в виде комплекса правил, определяющего для каждого субъекта, метода и объекта наличие или отсутствие прав доступа с помощью указанного метода. Наибольшее распространение сейчас имеют две модели разграничения доступа – дискреционная и полномочная.
  • Межсетевые экраны. Представлены в виде программных или программно-аппаратных элементов компьютерных систем, основная задача которых заключается в контроле и фильтрации проходящего веб-трафика в соответствии с заданными правилами. Межсетевые экраны обеспечивают защиту сегментов сети или отдельных хостов от несанкционированного доступа с применением уязвимых мест в программном обеспечении или протоколах сетевой модели OSI.
  • Антивирусная защита. Антивирусное программное обеспечение применяется для профилактики и диагностики вирусного заражения, а также для восстановления функционирования информационных систем, которые уже были поражены вредоносным ПО. Антивирусные программы представляют собой программное обеспечение, используемое для выявления, уничтожения вирусов, вредоносного ПО, программ-вымогателей, шпионского софта и т. д.
  • Резервное копирование данных (бэкап). При резервном копировании создаются копии файлов на другом устройстве или в облачной инфраструктуре на случай потери или повреждения основного устройства. Существует два основных способа резервного копирования: дифференциальное и полное. При полном выполняется копирование всех файлов, а при дифференциальном – в первый раз копируется всё, а в дальнейшем только те файлы, в которые были внесены изменения
  • Защита от утечек данных. Защита такого типа представляет собой реализацию комплекса мер, которые направлены на то, чтобы обеспечить сохранность и целостность защищаемой информации компании для сведения к минимуму вероятности возникновения финансовых и репутационных потерь, если такая утечка всё же случится. Для защиты от утечек используются DLP-системы, обеспечивающие полноценный контроль информационных ресурсов предприятия, отслеживание содержимого сообщений и документооборота, предупреждение о нарушении политик безопасности, помощь при осуществлении расследований и предотвращении утечек данных.
  • Протоколирование и аудит. Под протоколированием принято понимать процессы сбора и накопления информации о тех событиях, которые происходят в информационной системе. Аудит – анализ собранной информации, который осуществляется в режиме реального времени или с определенной периодичностью. Если аудит выполняется с автоматическим реагированием на обнаруженные нештатные ситуации, то его называют активным.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.

Читать все записи автора Артем П

Меры по обеспечению информационной безопасности | Описание мер по обеспечению информационной безопасности на предприятии

В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.

Как обеспечить информационную безопасность предприятия

Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.

Концепция безопасности

В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

В концепции обеспечения информационной безопасности предприятия определяются:

  • информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
  • основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;
  • модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя.
    Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
  • требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
  • методы и средства защиты информации.

Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.

После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.

Объекты защиты

Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия. Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств. Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.

Массивы информации становятся объектами защиты после признания их таковыми и отнесения к конфиденциальной информации.

Классификация осуществляется как по типу информации, так и по местам ее хранения.

Конфиденциальную информацию обычно классифицируют следующим образом:

  • персональные данные, подлежащие защите на основании норм федерального законодательства;
  • программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;
  • программные продукты, созданные или доработанные в интересах компании;
  • базы документооборота;
  • архивы электронной почты и внутренней переписки;
  • производственная информация, документы стратегического характера;
  • научная информация, данные НИОКР;
  • финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

Меры по обеспечению информационной безопасности

Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.

Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:

  • доступность сведений. Под этим определением понимается возможность и для авторизованного субъекта в любое время получить требуемые данные, и для клиентов в регулярном режиме получать информационные услуги;
  • целостность информации. Это означает ее неизменность, отсутствие любых посторонних, неавторизованных вмешательств, направленных на изменение или уничтожение данных, нарушение системы их расположения;
  • конфиденциальность или абсолютная недоступность данных для неавторизованных субъектов;
  • отсутствие отказа или невозможность отрицать принадлежность действий или данных;
  • аутентичность или возможность достоверного подтверждения авторства информационных сообщений или действий в системе.

Организационные меры

К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

  • документирование и оптимизацию бизнес-процессов;
  • установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
  • создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
  • информирование или переобучение персонала;
  • организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
  • получение лицензий, например, на работу с государственной тайной;
  • обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
  • создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
  • установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
  • выполнение всех требований законодательства по защите персональных данных;
  • разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

Технические меры

К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.

К принципам построения такой системы относятся:

  • простота архитектуры, упрощение компонентов, сокращение числа каналов и протоколов межсетевого взаимодействия. В системе должны присутствовать только те элементы, без которых она окажется нежизнеспособной;
  • внедрение только протестированных программных решений, уже не раз опробованных другими предприятиями, плюсы и минусы которых очевидны;
  • минимальные доработки имеющихся лицензионных программных продуктов силами собственных или привлеченных исполнителей;
  • использование только лицензированного ПО, при возможности оно должно быть внесено в государственный реестр программ для ЭВМ и баз данных;
  • использование для построения системы только аутентичных компонентов, надежных и долговечных, не способных неожиданно выйти из строя и подорвать работоспособность системы. Все они должны быть совместимыми друг с другом;
  • управляемость, легкость администрирования как самой системы, так и применяемых программных продуктов, минимальное использование сторонней технической поддержки;
  • протоколирование и документирование любых действий пользователей, осуществляемых с файлами, содержащими конфиденциальную информацию, случаев несанкционированного доступа;
  • эшелонированность обороны. Каждый потенциальный канал утечки должен иметь несколько рубежей системы защиты, затрудняющих работу потенциального похитителя информации.

При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:

  • средства криптографической защиты, обеспечивающие шифрование на рабочих станциях и серверах, передаваемой по каналам связи;
  • средства антивирусной защиты;
  • SIEM-системы и DLP-системы, обеспечивающие закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика.

Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.

10 главных мер безопасности, которые должна иметь каждая организация

По мере того, как ландшафт угроз продолжает развиваться, все больше компаний признают тот факт, что большинство инцидентов безопасности прямо или косвенно вызваны их собственными сотрудниками. Таким образом, традиционный подход к предотвращению несанкционированного доступа к критически важным ресурсам, основанный на замке рва, уже не так эффективен, как раньше. Конечно, брандмауэры и надежные меры физической безопасности по-прежнему необходимы, но требуется подход, в большей степени ориентированный на данные/пользователя.

Ниже приведены десять наиболее важных мер безопасности, на которых организации должны сосредоточиться, чтобы обеспечить безопасность своих систем.

1. Классификация данных

Чтобы защитить важные активы, вам необходимо точно знать, где они находятся. Программное обеспечение для классификации данных автоматически сканирует ваши репозитории, как локальные, так и облачные, и классифицирует конфиденциальные данные по мере их обнаружения. Некоторые решения позволяют выбрать предопределенную таксономию классификации, которая позволяет классифицировать определенные типы данных, например информацию о платежной карте (PCI) или защищенную медицинскую информацию (PHI).

2. Строгий контроль доступа

Учитывая, что неправомерное использование привилегированных учетных записей является одной из основных причин утечки данных, крайне важно ограничить доступ к критически важным системам, учетным записям и данным в соответствии с Принципом наименьших привилегий (PoLP). ). Другими словами, пользователям следует предоставлять доступ только к тем ресурсам, которые им необходимы для выполнения их роли, и доступ должен быть отозван, когда он больше не требуется. Обычно считается хорошей идеей использовать многофакторную аутентификацию, когда это возможно.

3. Мониторинг доступа к привилегированным учетным записям

Вы должны тщательно контролировать все случаи доступа к привилегированным учетным записям и получать оповещения в режиме реального времени, когда доступ к ним вызывает подозрение. Примеры подозрительных событий включают:

  • Пользователь, получающий доступ к привилегированной учетной записи в нерабочее время;
  • Пользователь получает доступ к неактивной или общей учетной записи пользователя;
  • Пользователь получает доступ к сети из неизвестного места или с неизвестного устройства;
  • Пользователь получает доступ к данным, к которым обычно не имеет доступа;
  • Пользователь повторно вводит неправильные учетные данные для доступа к своей учетной записи.

4. Шифрование конфиденциальных данных

Все конфиденциальные данные должны быть зашифрованы как при хранении, так и при передаче. Использование шифрования — один из самых простых и эффективных способов предотвращения несанкционированного доступа к конфиденциальным данным, но до сих пор им часто пренебрегают.

5. Обучение по вопросам безопасности

Поскольку большое количество инцидентов, связанных с безопасностью, вызвано небрежностью инсайдеров, обучение по вопросам безопасности имеет решающее значение. Сотрудники должны понимать важность хорошей гигиены паролей и должны быть обучены выявлять подозрительные сообщения электронной почты/SMS, а также телефонные звонки. Им нужно будет проверять сообщения электронной почты, которые отправляются с общедоступных доменов электронной почты, сообщения с плохой орфографией и грамматикой, а также сообщения, которые создают ощущение срочности. Сотрудники никогда не должны загружать вложения от неизвестных отправителей или переходить по ссылкам на ненадежные веб-сайты.

6. Сегрегация и сегментация сети

Сегрегация сети — это изоляция критически важных сетей от общего доступа, тогда как сегментация сети — это разделение сети на более мелкие подсети. Как сегрегация, так и сегментация сети играют важную роль в создании архитектуры с нулевым доверием, которая предполагает, что все пользователи являются потенциально злонамеренными и поэтому должны подтверждать свою личность каждый раз, когда им требуется доступ к критически важным ресурсам.

7. Облачная безопасность

Облачная безопасность — это широкий термин, который включает в себя широкий спектр мер безопасности, начиная от реализации надежного контроля доступа и заканчивая шифрованием конфиденциальных данных и тщательной проверкой всех параметров безопасности и соглашений, связанных с вашим поставщиком облачных услуг. Вы должны убедиться, что выбранные вами решения безопасности способны обнаруживать, классифицировать и отслеживать все конфиденциальные данные, хранящиеся в облаке.

8. Безопасность приложений

Веб-приложения часто содержат уязвимости, поэтому нам необходимо устанавливать обновления/исправления. Неверные методы управления доступом, криптографические сбои и неправильная настройка безопасности — вот некоторые из уязвимостей, существующих в современных приложениях. Одним из наиболее распространенных типов угроз безопасности приложений являются небезопасные веб-формы, которые подвергают приложение атакам путем внедрения кода SQL. Если разработчик приложения не сможет должным образом очистить входные данные веб-формы, злоумышленники могут внедрить в них код, который запрашивает базовую базу данных. В некоторых случаях злоумышленник может извлечь большие объемы ценных данных, используя этот подход.

9. Управление исправлениями

Все системы и приложения должны своевременно обновляться. Если ваша компания использует много проприетарного программного обеспечения, рекомендуется использовать автоматизированное решение для управления исправлениями, чтобы ничего не пропустить.

10. Физическая безопасность

Хотя это уже не так актуально, как раньше, по-прежнему крайне важно, чтобы ваши серверные комнаты и рабочие станции были должным образом защищены с помощью замков, сигнализации, идентификационных бейджей, камер видеонаблюдения и любых других методов, предотвращающих несанкционированное доступ.

Если вы хотите узнать, как Lepide может помочь вам обеспечить безопасность ваших критически важных активов, запланируйте демонстрацию с одним из наших инженеров или начните бесплатную пробную версию сегодня.

Общие меры кибербезопасности | nibusinessinfo.co.uk

Предприятия должны использовать различные меры кибербезопасности, чтобы обеспечить безопасность своих бизнес-данных, своих денежных потоков и своих клиентов в Интернете. Эти меры должны быть направлены на предотвращение рисков из различных источников, включая:

  • интернет-атаки, например, шпионское или вредоносное ПО
  • недостатки, созданные пользователями, например, легко угадываемые пароли или неуместная информация
  • присущие системе или программным средствам недостатки и уязвимости
  • подрыв системных или программных функций

Необходимые меры кибербезопасности

Следующие процессы и инструменты довольно легко внедрить, и в совокупности они обеспечат вам базовый уровень защиты от наиболее распространенных ИТ-рисков.

Используйте надежные пароли

Надежные пароли необходимы для надежной сетевой безопасности. Сделайте свой пароль трудным для угадывания:

  • с использованием комбинации заглавных и строчных букв, цифр и символов
  • делает его длиной от 8 до 12 символов
  • отказ от использования персональных данных
  • регулярно менять
  • никогда не использовать его для нескольких учетных записей
  • с использованием двухфакторной аутентификации

Создайте политику паролей для своего бизнеса, чтобы помочь персоналу следовать рекомендациям по обеспечению безопасности. Изучите различные технологические решения для обеспечения соблюдения вашей политики паролей, например, запланированный сброс пароля. Подробные рекомендации по паролям см. в руководстве Национального центра кибербезопасности (NCSC) по использованию паролей для защиты ваших данных и рассмотрите различные стратегии паролей, которые могут повысить безопасность вашего бизнеса.

Управление доступом к данным и системам

Убедитесь, что отдельные лица могут получать доступ только к тем данным и службам, для которых они авторизованы. Например, вы можете:

  • контролировать физический доступ к помещениям и компьютерам сети
  • ограничить доступ неавторизованным пользователям
  • ограничить доступ к данным или службам с помощью элементов управления приложениями
  • ограничить то, что можно копировать из системы и сохранять на устройства хранения
  • ограничить отправку и получение определенных типов вложений электронной почты

Современные операционные системы и сетевое программное обеспечение помогут вам достичь большей части этого, но вам потребуется управлять регистрацией пользователей и системами аутентификации пользователей, например паролями. Для получения дополнительной информации прочитайте введение NCSC в элементы управления идентификацией и доступом.

Установите брандмауэр

Брандмауэры являются эффективными привратниками между вашим компьютером и Интернетом. Они действуют как барьер для предотвращения распространения киберугроз, таких как вирусы и вредоносные программы. Важно правильно настроить устройства брандмауэра и регулярно проверять их, чтобы убедиться, что их программное обеспечение/прошивка обновлены, иначе они могут быть не полностью эффективными. Узнайте больше о брандмауэрах в безопасности сервера.

Используйте защитное программное обеспечение

Вы должны использовать защитное программное обеспечение, такое как антишпионское, антивредоносное и антивирусное ПО, чтобы обнаруживать и удалять вредоносный код, если он проникает в вашу сеть. Ознакомьтесь с нашим подробным руководством, которое поможет вам обнаружить спам, вредоносное ПО и вирусные атаки.

Регулярно обновляйте программы и системы

Обновления содержат жизненно важные обновления безопасности, помогающие защититься от известных ошибок и уязвимостей. Убедитесь, что вы обновляете свое программное обеспечение и устройства, чтобы не стать жертвой преступников.

Мониторинг вторжений

Вы можете использовать детекторы вторжений для мониторинга систем и необычной сетевой активности. Если система обнаружения подозревает потенциальную брешь в системе безопасности, она может генерировать сигнал тревоги, например оповещение по электронной почте, в зависимости от типа обнаруженной активности. Узнайте больше об обнаружении нарушений кибербезопасности.

Повышение осведомленности

Ваши сотрудники обязаны обеспечивать безопасность вашего бизнеса. Убедитесь, что они понимают свою роль, а также все соответствующие политики и процедуры, и регулярно проводите обучение и информирование о кибербезопасности. Читайте об внутренних угрозах в области кибербезопасности.

Вы также должны следовать рекомендациям, определенным в правительственной программе Cyber ​​Essentials.

Вы можете использовать бесплатную проверку службы кибербезопасности Национального центра кибербезопасности (NCSC), чтобы выполнить ряд простых онлайн-проверок для выявления распространенных уязвимостей в общедоступных ИТ-системах.

No related posts.

Published in Разное

Ваш комментарий будет первым

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *