Информационная безопасность организации: борьба с внешним и внутренним мошенничеством

Информационная сеть любой организации круглосуточно находится под угрозой несанкционированного доступа извне. Это могут быть обычные хулиганские действия, целью которых является причинение вреда. Другой вариант — сознательное вмешательство в работу конкретной организации с целью получить доступ к конфиденциальной информации. Для проникновения в сеть мошенники могут подбросить зараженную флешку, но чаще всего они используют интернет-браузер и электронную почту.

Например, если кто-то из сотрудников запустит на служебном компьютере присланное по почте приложение со скрытыми опасными функциями (зараженное компьютерным вирусом), результатом может стать немедленная утечка в интернет персональных данных клиентов, сотрудников, деловых партнеров. Организация несет ответственность за неразглашение этой информации, поэтому такой инцидент может испортить репутацию, нарушить бизнес и вызвать прямые убытки в связи необходимостью выплат по судебным искам.

Помимо краж персональных данных, статистика которых в последние годы неутешительна, очень велики риски мошенничества с помощью разглашения, удаления или подмены внутренней документации: договоров, финансовых документов, баз данных, деловой переписки и других ценных сведений. Все эти серьезные угрозы заставляют каждую организацию ставить информационную безопасность на первое место в списке своих приоритетов.

Обеспечение информационной безопасности: основные принципы

Базовая угроза для любой организации — это вирусы и спам, распространяющиеся через интернет. Поэтому система обеспечения информационной безопасности обязательно должна включать в себя:

• перекрытие всех возможных каналов проникновения вирусов;
  
• защиту от случайного запуска вирусов, сетевых и почтовых «червей», «троянских коней», нежелательных программ (spyware, adware, dialers и др.);
  
• защиту от спама, а также поддельных писем (к сожалению, стандартный протокол электронной почты позволяет отправлять письма от имени любого лица, и выглядят они почти как настоящие);
  
• непрерывный антивирусный мониторинг и регулярное антивирусное сканирование всех серверов, рабочих станций и мобильных устройств, подключаемых к корпоративной сети;
  
• централизованное управление системой антивирусной защиты;
  
• автоматическое реагирование на заражение, в том числе оповещение системных администраторов и удаление вирусов (то есть очистка от вредоносных программ всех ИТ-систем, подвергнувшихся заражению).
  

Важной задачей является защита корпоративных ресурсов от DDoS-атак, способных затруднить работу внутренней сети или даже вывести ее из строя. Для этого необходимо использовать системы защиты корпоративных ресурсов, а также разработать процедуры, определяющие порядок реагирования на DDoS-атаки. С другой стороны, нельзя допустить, чтобы компьютеры организации, незаметно зараженные вирусом, сами стали источниками DDoS-атаки — а вероятность этого очень велика, если принимаемые меры обеспечения информационной безопасности недостаточны.

Многие организации используют универсальный способ защиты от всего комплекса проблем: размещение своих информационных ресурсов в защищенном виртуальном дата-центре. Доступ владельца к принадлежащей ему информации при этом осуществляется удаленно, а все данные находятся под надежной защитой с использованием специализированных средств, в том числе сертифицированных ФСБ и ФСТЭК. Сертификаты ФСБ и ФСТЭК — это подтверждение того, что программное обеспечение соответствует критериям этих регуляторов в области обеспечения информационной безопасности.

Работу аналитиков по контролю событий ИБ и выявлению угроз значительно упрощают ситуационные центры, позволяющие:

• отслеживать текущее состояние защищенности информационных систем (в т.ч. систем безопасности) и их соответствие требованиям корпоративных политик и стандартов безопасности;
  
• своевременно обнаруживать нарушения правил информационной безопасности;
  
• в случае опасности оперативно принимать соответствующие меры благодаря централизованному сбору, обработке и анализу данных обо всех событиях в корпоративной сети.
  

Чтобы закрыть мошенникам доступ к корпоративным информационным системам, компании внедряют системы однофакторной и многофакторной аутентификации, основанные на шифровании информации и использовании сложных паролей. Аутентификация представляет собой процедуру проверки подлинности пользователя, которая подтверждает право доступа к определенной информации, право выполнять определенные действия (например, редактировать файлы или пересылать информацию) и другие служебные полномочия.

Наиболее распространенный способ аутентификации — это многоразовый, постоянно действующий пароль. Это способ теоретически надежен, но практически крайне уязвим. Поэтому для обеспечения безопасности и защиты от шпионажа используются и другие решения: двухфакторные системы одноразовых паролей, биометрическая аутентификация (по отпечатку пальца, сетчатке глаза, голосу и так далее), подтверждение прав доступа с помощью криптографических сертификатов — смарт-карт или USB-ключей.

Борьба с внутренним мошенничеством

Источник угроз может находиться не только вне организации, но и внутри нее. Системы для борьбы с внутренним мошенничеством позволяют своевременно выявлять нестандартное поведение сотрудников, которое может свидетельствовать о потенциально опасных операциях. Это могут быть попытки доступа к закрытой информации, распечатывание и пересылка конфиденциальных данных и другие действия, не соответствующие служебным обязанностям сотрудника.

Системы защиты от утечки конфиденциальной информации основаны на строгих правилах передачи данных во внешние сети. Современные технологии и программные решения позволяют контролировать основные каналы распространения информации, препятствовать ее утечке, своевременно обнаруживать случаи передачи конфиденциальной информации посторонним лицам и выявлять сотрудников, совершающих запрещенные действия в компьютерной сети.

Важный метод обеспечения ИБ — это составление должностных инструкций для всех сотрудников, имеющих доступ к корпоративным информационным системам. Внутреннее мошенничество может быть и неосознанным — например, сотрудник может брать документы, чтобы работать с ними дома, и через флешку заразить служебный компьютер от домашнего. Результатом может стать утечка важной информации и персональных данных.

ИТ-разделы должностных инструкций сотрудников (как типовые, так и индивидуальные) должны быть согласованы с CEO и CSO организации. Желательно также, чтобы их проверил системный интегратор, в чьем дата-центре находятся информационные ресурсы организации.

iBusiness