обеспечение информационной безопасности на предприятии

Ошибки в защите информационных систем

Автор Владимир в . Опубликовано Лицензирование

В последние 3-4 года проблеме защиты информации уделяется повышенное внимание. Защита коммерческой тайны, постоянные тренинги по безопасности для персонала, целый отдел айтишников и новейшие антивирусы и ПО — это важно, обоснованно и показывает настоящую заботу о своём бизнесе. При этом примерно половина компаний довольствуется формальным выполнением некоторых мероприятий, которые, по мнению собственников бизнеса, достаточны для защиты информационной системы фирмы от злонамеренных действий.

Как правило, информационная система организации — самое «слабое» звено, брешь, в которой легко найти лазейку и выполнить нужные действия. Здесь можно не только похитить пароли от программ или скопировать базу данных о клиентах и сделках. Хакеры могут, например, внедрить вредоносный код в рабочую программу, заменить данные расчетных счетов для выполнения финансовых операций, закрыть доступ к электронным тендерным площадкам, чтобы воспрепятствовать участию в торгах и т. д. Чем меньше внимания руководство фирмы уделяет IT-безопасности и обучению персонала в этом поле, тем проще злоумышленникам воспользоваться этим шансом.

Формирование отдела безопасности в компании

Если в фирме осознают необходимость обеспечения информационной безопасности, данная функция обычно возлагается на IT-отдел или подразделение либо вовсе поручается отдельному специалисту. Бывали случаи, что все вопросы, связанные со связью и компьютерами вплоть до заправки картриджей принтеров, были обязанностью одного системного администратора. По мнению руководства, именно штатные айтишники хорошо знают всю информационную инфраструктуру компании, а значит, способны обеспечить её защиту. На первый взгляд, это логично, однако такая «универсальность» обязанностей кроет в себе ряд проблем:

1. Избыток обязанностей при недостатке ресурсов

Зачастую обеспечение информационной безопасности фирмы является не основной, а дополнительной задачей IT-подразделения. Иногда должностные обязанности просто корректируют, при этом не выделяя под них ни дополнительного финансирования ни штатных единиц. Закономерный результат — вопросы безопасности отходят на второй план, а задачи по защите данных выполняются по остаточному принципу.

Как правило, руководство начинает понимать всю важность правильного распределения нагрузки и выделения денег на эту статью расходов только после инцидента, повлекшего крупный финансовый или репутационный ущерб.

Подробнее: Новые стандарты для специалистов по IT-безопасности
2. Взаимоисключающие требования

Если в компании вопросы безопасности идут как дополнительные к задачам обслуживания всей информационной инфраструктуры, перед IT-специалистами могут стоять противоречащие друг другу задачи: защита информации и совместная работа сотрудников по «удалёнке», работа бухгалтерии и согласование отчётов между подразделениями в ГуглДоках… При этом другие отделы могут давить авторитетом или жаловаться руководству на некомфортную работу, долгое подключение, недоступный интернет, необходимость постоянно вводить пароли и т. д. И если недостатки для сотрудников очевидны и постоянно упоминаются на совещаниях, то вопросы безопасности вроде как неявные и постепенно отодвигаются на задний план. Пока нет кибератак и взломов, считается, что защита информации на должном уровне, а значит, специалист может пренебречь обеспечением безопасности в угоду минутным требованиям сотрудников или руководства. При этом в случае инцидента виноват будет именно айтишник, ведь именно в его ведении находятся вопросы защиты информации в компании.

Подробнее: Виды каналов утечки информации
3. Выбор профиля

Здесь ситуация схожа с походом к узкому специалисту. Никто не рискует своим здоровьем и не ходит лечить зубы к терапевту, хотя он тоже врач и что-то знает о заболеваниях ротовой полости. Все идут к стоматологу, который сразу установит и решит проблему. В вопросах информационной безопасности работа штатного айтишника сравнима с практикой терапевта: он обслуживает систему и понемногу знает об антивирусах, мониторинге, пентестах и тестировании на уязвимости. Он может порекомендовать профилактические мероприятия или заметить подозрительную активность в системе, которую неплохо бы проверить дополнительно.

Но по вопросам аудита системы, аттестации по требованиям безопасности информации или для подготовки информационных систем фирмы к получению лицензии на гостайну лучше обратиться именно к «узкому» специалисту-безопаснику. Как правило, их знания всегда актуальны, а опыта хватает для решения практически всех задач в сфере защиты данных и ИС.

4. Безопасность — это действие, а не состояние

Многие из тех, кто понимают всю важность обеспечения защиты информации, вкладывают серьёзные деньги в ПО и оборудование, не скупятся на найм специалистов, аудиты и тесты системы. Убедившись в защищённости, облегчённо вздыхают и считают задачу по обеспечению информационной безопасности выполненной.

Между тем, каждый день появляются новые уязвимости и другие угрозы для безопасности информационной системы. И если в штатном режиме защита предотвратит случайные инциденты или попытку взлома начинающего хакера, то перед спланированной и целенаправленной кибератакой компания окажется бессильна.

Защита информационной системы — это постоянная работа, которая заключается не только в установке обновлений и патчей для ПО, но и в периодической проверке на уязвимости, изучении инцидентов собственных и других информационных систем, обучении и мотивации IT-специалистов.

Компании, потенциально интересные злоумышленникам, например, фирмы с лицензией ФСБ, работающие с гостайной, всегда должны выстраивать и мониторить систему защиты с учётом повышенных рисков.

5. Относительность положительного результата

Если штатные безопасники проведут тестирование системы на уязвимости, вполне возможно, что ничего не найдут и сделают вывод: система не имеет уязвимостей. Если аудит проведут специалисты по ИБ, результат наверняка будет другим, не таким радужным. Любой специалист и даже команда не имеют информации о состоянии защиты вашей информационной системы на 100%. Выводы проверки будут соответствовать опыту и компетентности того, кто проводил её.

Всегда есть риск, что атаку на информационную систему предпримет «компьютерный гений» или обычный хакер, получивший доступ к новейшим средствам взлома, либо спецслужбы или продвинутые айтишники, нанятые конкурентом. Именно поэтому всегда нужно не только выстраивать периметр защиты информационных систем, но и разрабатывать план реагирования и минимизации ущерба в случае внештатных ситуаций и прямых кибератак.

Выводы

Любая система защиты не является статичной. Для обеспечения должного уровня безопасности информации необходимы:

  • профильный специалист по ИБ либо отдел IT-безопасности, постоянное обучение и поддержание знаний и навыков в актуальном состоянии;
  • достаточное финансирование и обеспечение оборудованием и ПО, регулярные обновления;
  • периодические аудиты и тестирование системы на уязвимости и наличие недостатков в защите;
  • разработка сценария реагирования в нештатных ситуациях и уменьшения возможного ущерба от внешних или внутренних злонамеренных воздействий на систему;
  • поручение специфических задач узкопрофильным специалистам или фирмам, занимающимся информационной безопасностью;
  • обучение и тренинги для персонала фирмы, чтобы сотрудники знали основные меры безопасности в работе в информационной системе, могли определить потенциально опасные или подозрительные действия и события и вовремя среагировать на них.

Есть вопросы по технической защите конфиденциальной информации? Звоните, поможем.

Заказать звонок

Трекбэк с Вашего сайта.

Оставить комментарий