Информационная безопасность бизнеса как система

Надежная корпоративная система ИБ может быть выстроена только при участии всех сотрудников компании, а не только за счет команды выделенных специалистов. Большое значение для выстраивания эффективной системы защиты имеют корпоративные образовательные программы, где они могут ознакомиться с правилами обеспечения ИТ-безопасности.

Помимо этого, важное значение имеет внедрение типовых практик реализации системы защиты — применение криптостойких паролей, обеспечение защиты от утечек данных и т. д. Полезно также проводить специальные мероприятия, которые направлены на борьбу против фишинга и атак, использующих методы социальной инженерии.

Эффективность проводимых тренингов и ознакомительных программ следует оценивать через всевозможные метрики. Как показывает опыт, благодаря регулярному ознакомлению сотрудников с методами обеспечения ИБ наблюдается прямое сокращение числа регистрируемых инцидентов.

Характерной чертой большинства предприятий, где обнаруживаются нарушения в области ИБ, является слабая дисциплина по соблюдению сотрудниками мер защиты и низкая грамотность в вопросах ИБ. Снижению рисков и защите информационных активов способствуют регулярные ознакомительные занятия по тематике ИБ.

Система защиты информации и обеспечение информационной безопасности компании.Как заблуждается бизнес

Накопление экспертизы в области ИБ

Как показывает практика предприятий, большинство проблем, связанных с ИБ, не выявляются заранее. Об их существовании становится известно только после выявления признаков серьезных нарушений, которые ведут к сбоям в бизнес-процессах или работе корпоративных ИТ-систем. Внедрение системы ИБ-защиты позволяет заранее выявлять аномальные явления в работе ИТ-систем и не допускать, чтобы потенциальные угрозы перерастали в значимые инциденты.

Современные предприятия ведут сбор огромного количества ИТ-информации. Данные собираются в виде журналов работы ИТ-систем, ведется отслеживание работы корпоративных сетей, брандмауэров, корпоративных приложений, серверов и т. д. Благодаря имеющимся интеллектуальным методикам ИБ-защиты накопленная информация обрабатывается и на базе результатов появляется возможность своевременно предупреждать о возможной опасности. Собранные данные могут служить информационным источником для инициализации расследований в подразделениях компании.

Существенное снижение рисков для бизнеса, нейтрализация отрицательного воздействия на работу корпоративных ИТ-систем достигаются за счет очень быстрого выявления аномалий в работе. При наличии системы ИБ предприятия на это уходит от нескольких минут до нескольких часов, тогда как в остальных случаях на поиски проблем уходят дни и даже месяцы.

Для достижения необходимого результата необходимо заранее готовить собственную команду специалистов по ИБ либо быть готовым к привлечению квалифицированной помощи извне. Необходимо также заранее разработать план мероприятий на случай выявления инцидентов.

Управление угрозами

Корпоративные ИТ-системы создают базу для работы бизнес-процессов и являются механизмом для реализации их важных транзакций. Обслуживание систем, их аппаратной и программной частей, осуществляется исходя из стандартной конфигурации, на которую накладываются установки обновлений и регулярные исправления выявленных ошибок. Эта работа отличается высокой трудоемкостью. Поэтому несмотря на активную поддержку корпоративных ИТ-систем в актуальном состоянии, они все равно оказываются под ударом кибератак и подвержены уязвимостям.

Как строится система информационной безопасности крупных компаний

Политика надежного управления ИБ требуется постоянного выявления всех известных уязвимостей и обновления до актуального состояния в масштабах предприятия. Для ее реализации важно уже на начальном этапе провести инвентаризацию корпоративных прикладных систем, осуществив ее в партнерстве с другими ИТ-подразделениями. После подготовительного этапа следует проводить регулярные сканирования, для критических важных ИТ-систем их частота должна быть не реже одного раза в квартал.

Управление доступом и жизненным циклом цифровых сертификатов

Идеальная система ИБ должна предоставлять правильный доступ к правильным ресурсам в правильное время. Если это правило не соблюдается, то это отражается прежде всего на снижении продуктивности работы корпоративных пользователей.

Реальные проблемы возникают при избыточности предоставляемого пользователям доступа к ИТ-ресурсам компании. В результате растет риск неавторизованного доступа, и как следствие это может привести к нарушениям доступности корпоративной информации, ее целостности и конфиденциальности. Для надежной работы ИТ-систем необходимо создать систему обоснованного предоставления прав доступа. Они задаются производственными ролями и границами ответственности пользователей. Одновременно следует вести мониторинг работы всех корпоративных систем и доступа к ним.

Прежде чем переводить процедуру выделения пользовательских прав в автоматический режим, следует проработать алгоритм управления процессом их идентификации и выделения. Доступ к ключевым корпоративным системам должен иметь парольную защиту. В случае необходимости доступ к критически важным корпоративным системам должен предоставляться на базе двухфакторной аутентификации.

Выданные бизнес-пользователям сертификаты на доступ к корпоративным системам должны периодически пересматриваться.

Защита накопленных данных

Возможности развития системы ИБ на предприятии ограничены объемами финансирования и доступными ресурсами. Для оптимизации затрат необходимо выявить наиболее важные для компании направления и упорядочить их по приоритетам.

Прежде всего в этот список попадут собственные данные компании, не подлежащие публичному распространению. Они хранятся на корпоративных ресурсах и передаются между ее системами. Эти данные играют ключевую роль в бизнес-процессах, поэтому их компрометация, нарушение целостности и доступности могут пагубно отразиться на бизнесе.

При разработке системы защиты предприятия следует выявить ключевые ИТ-продукты и критически важные наборы данных. Накладываемые на них средства контроля призваны снизить риск нарушения целостности, конфиденциальности и доступности хранящейся информации и работы корпоративных ИТ-систем.

Первым делом следует провести инвентаризацию (идентификацию и классификацию) имеющихся критически важных данных, оценив риск в случае их компрометации. После этого организуется контроль за их использованием. В результате все существующие на предприятии группы, отвечающие за безопасность, смогут применять свои инструменты ИБ в зависимости от типа контролируемых данных, добиваясь безопасной управляемости информационных активов.

Безопасность при внедрении новых технологий

Строительство новой корпоративной системы ИБ должно быть частью бизнес-развития компании. Однако развитие услуг, оказываемых клиентам, совершенствование внутрикорпоративных отношений, расширение сферы деятельности требуют от компании внедрения новых технологий. Часто они нарушают прежние ограничения, касающиеся режима безопасности. Это происходит, например, при внедрении мобильных приложений, развитии средств социальных коммуникаций, переходе на использование мобильных устройств и облачных технологий. Учитывая происходящие изменения, разработчик системы ИБ должен быть партнером в процессе модернизации компании.

Читайте также: Кальянный бизнес на дому

Для успешного партнерства необходимо заниматься интеграцией новых технологий с инструментами ИБ уже с самых ранних стадий внедрения. Это ускоряет освоение и устраняет проблемы ИБ до их реального появления.

Безопасность обмена данными с бизнес-партнерами

Бизнес многих предприятий тесно связан со внешними компаниями — сервис-провайдерами, бизнес-партнерами, вендорами. Совместная деятельность порождает появление общих бизнес-процессов. Это в свою очередь порождает доступ к общим ИТ-ресурсам и расширению корпоративной сети. Если на этих участках будут отсутствовать необходимые механизмы защиты, то это может стать серьезной проблемой для полноценной работы корпоративной системы ИБ.

Поэтому необходимо заранее, еще до установления партнерских отношений, предусмотреть появление сторонних компаний с доступом к внутренней корпоративной информации или получающих от нее важные данные. При ведении с ними переговоров должны присутствовать специалисты в области права и ИТ. Это позволит найти общий язык при выборе средств защиты и эффективно использовать отчеты, отражающие элементы общей работы ИТ-систем. Следует также проводить периодическую проверку используемых средств защиты на соответствие достигнутым договоренностями.

Все приведенные в этой статье элементы, по мнению Умеша Йеррама, позволяют получить в итоге эффективную программу развития ИБ на предприятии. Она позволит защитить цифровые активы и уменьшит всевозможные риски. Используя коэффициенты KPI и KRI, нужно измерять эффективность применяемых средств защиты и выявлять элементы, требующие дополнительного внимания. Это позволит заблаговременно получать предупреждения о потенциальных опасностях и устранять риски, ведущие к их реальному возникновению.

Источник: www.itweek.ru

Как создать комплексную систему ИБ в компании

Систему информационной безопасности в компании можно назвать иммунитетом бизнеса. Она должна работать как единый слаженный механизм и охватывать все уровни защиты информации: законодательный, организационный, программно-аппаратный, физический и морально-этический. Только при наличии всех элементов, работающих в единой концепции, достигается синергетический эффект. Отсутствие или изъяны в каком-то из этих элементов делают всю систему уязвимой, что особенно рискованно в периоды активности хакеров.

Что мешает организовать системный подход к информационной безопасности в компаниях

ретейл (как электронная коммерция, так и офлайн-сегмент) с CRM-системами и программами лояльности;
медицинские, страховые и банковские организации, обрабатывающие различные категории персональных данных;
онлайн-сервисы с формами регистрации;
веб-ресурсы, собирающие файлы cookie.

Самостоятельно мониторить все законодательные изменения и гибко подстраиваться под них — задача не из легких. Однако для операторов персональных данных большинство провайдеров уже предоставляют комплексную услугу «Защищенный облачный сегмент, аттестованный в соответствии с требованиями ФЗ-152».

Эффект «лоскутного одеяла»

Нередко в процессе построения комплексной ИБ-системы может возникнуть несогласованность инструментов между собой. Предпосылки к этому могут быть разными:

у компании несколько подрядчиков, участвующих в организации ИБ-архитектуры, из-за чего возникает децентрализованный контроль и конфликты инструментов на стыке систем;

в результате резких глобальных изменений в бизнесе;
усложнение, масштабирование и(или) появление новых бизнес-процессов;
появление новых активов, нуждающихся в защите;
слияние, поглощение, присоединение компаний.

Модули безопасности необходимо интегрировать в общую ИБ-систему так же оперативно, как происходят изменения. Частым итогом в стремлении к этому становится хаос в системе информационной безопасности с несогласованными сегментами ИБ и непрозрачными принципами работы всей системы.

Временная потребность в ИБ-инструментах

Нередко ИБ-инструменты необходимы для временных проектов — организация тестовых сред, государственные инициативы, юридические проекты или перевод сотрудников на удаленку. Компания вынуждена приобретать нужные инструменты при заранее известном исходе событий: по истечении сроков проекта неутилизованные до конца инструменты останутся висеть на балансе организации мертвым грузом.

Вывод очевиден: необходим комплексный подход к организации ИБ-системы, гибко решающий перечисленные проблемы, а также учитывающий цели, отраслевую специфику и масштабы бизнеса.

Подходы к организации комплексной системы ИБ

Базовый набор инструментов, актуальных сегодня для любой организации для достижения комплексности ИБ-системы, выглядит следующим образом:

• IPS/IDS-системы, обеспечивающие безопасность инфраструктуры и приложений от внешних вторжений, в том числе от DDoS-атак;

• WAF (Web Аpplication Firewall) — средство защиты веб-приложений для обнаружения и блокировки сетевых атак;

• централизованная антивирусная защита на уровне серверов и конечных устройств пользователей, защищающая от троянов и вирусов-шифровальщиков;

• корпоративная почта с защитой от спама, вирусов и настроенными политиками, снижающими вероятность получения фишинговых писем и спам-рассылок;

• виртуальные рабочие места (VDI) с двухфакторной аутентификацией и установленным антивирусом;

• защищенное хранилище данных с безопасным удаленным доступом через приложение.

Каждый из инструментов ориентирован на различные цели. Облачное исполнение позволяет всем им органично работать как единый слаженный механизм и масштабироваться на проекты любой сложности.

Обычно первым делом компании предпринимают попытку организовать систему самостоятельно и сразу сталкиваются с описанными выше проблемами: отсутствие бюджета на крупные единовременные затраты, нехватка экспертизы при поиске или внедрении новых инструментов, неясная картина об отраслевых требованиях к ИБ-системе.

При обращении к нескольким подрядчикам по аутсорсингу не всегда удается выстроить единую ИБ-систему: если брать инструменты точечно у разных интеграторов или вендоров, эффекта «лоскутного одеяла» не избежать. В то же время комплексный подход одного провайдера, обладающего широкой экспертизой, эту проблему позволяет решить. Сервис «единого окна» помогает организовать слаженную согласованную систему информационной безопасности.

Возможности организации комплексной системы ИБ с помощью провайдера

Задача провайдера несколько шире, чем у вендора или интегратора, — он стремится предоставить не только ресурсы или инструменты. Провайдеры широкого спектра услуг информационной безопасности пришли к выводу, что рынок нуждается в комплексных ИБ-решениях под ключ с расширенным стеком инструментов для возможности выбора.

Удобным дополнением к этой идее стал сервисный формат «подписки», с помощью которого можно оперативно подключать/отключать модули ИБ. Можно использовать даже дорогие решения — их стоимость будет оптимально распределяться во времени и безболезненно ощущаться для бюджета. А партнерские отношения провайдера с вендорами и глубокая экспертиза в их решениях позволяют еще лучше оптимизировать затраты.

За счет обширного опыта исполнитель всегда в курсе актуальных отраслевых и законодательных нюансов, может безошибочно определить класс информационной системы и категорию данных, обрабатываемых в ней. В зависимости от этого подобрать необходимые инструменты из существующего на рынке мультивендорного предложения.

Провайдер комплексной ИБ-системы может полностью погрузиться в проект: разработать целевую архитектуру ИБ для конкретного заказчика, предоставить несколько линий поддержки для оперативного реагирования на инциденты безопасности, в том числе заняться сопровождением всех продуктов вендоров. Все вопросы в таком случае закрываются через единую точку взаимодействия.

При недостаточной картине актуального состояния ИБ-системы эксперты способны провести аудит ИБ и протестировать инфраструктуру на устойчивость к хакерским атакам (Pentest). Выводы и документация, которые они предоставят, будут полезны для построения целевой ИБ-архитектуры.

С таким подходом можно закрыть сразу несколько уровней защиты информации.

Мультивендорный набор ИБ-инструментов по подписке помогает оперативно и гибко надстраивать ИБ-систему на техническом уровне.
Размещение инфраструктуры в защищенном дата-центре на территории России позволит поддерживать безопасность на физическом и законодательном уровнях.
Привлечение экспертизы сертифицированных специалистов помогает решить вопрос с обеспечением безопасности на административном, морально-этическом и законодательном уровнях.

Централизованный контроль и экспертная поддержка позволяют убрать «слепые» зоны и снизить риски ИБ

Обеспечивая защиту информации на всех уровнях, удается достичь комплексности — одного из главных принципов информационной безопасности. Без него ИБ-система лишена смысла и экономического обоснования.

Выстраивание комплексной системы ИБ на аутсорсинге позволяет добиться большей гибкости:

1. Собирать конструктор из инструментов, закрывающий актуальные задачи заказчика.

2. Использовать понятный KPI услуги, за счет которого система ИБ становится прозрачной.

3. Продолжать держать фокус на ключевых бизнес-задачах и работать в привычной парадигме, но уже с большей уверенностью в комплексной безопасности компании.

Такой подход выигрывает на фоне децентрализованной организации системы ИБ — она становится прозрачной и целостной, исчезают «слепые» зоны, улучшается контроль процессов, за счет чего снижаются риски ИБ.

Источник: www.it-world.ru

Как создать комплексную систему ИБ в компании

Что мешает организовать системный подход к информационной безопасности в компаниях? Рассмотрим основные факторы.

Рост угроз ИБ и числа хакерских атак на фоне пандемии

Глобальные перемены — катализатор хакерской активности. С 2020 года мы становились свидетелями самых громких инцидентов ИБ. Быть готовым ко всему крайне сложно. Но практика показывает, что в вопросах ИБ имеет значение скорость реакции, и даже после регистрации факта атаки, ее можно локализовать, если для этого под рукой имеются подходящие инструменты.

Множество разнородных решений на рынке ИБ с высоким ценником

Обычно ИБ-инструменты набирают по принципу «это дешевле» или «это легче внедрить». Каждый раз исследовать рынок в поисках идеального решения, которое требуется здесь и сейчас, — неудобно. Некоторые инструменты оказываются слишком дорогими. Даже при острой необходимости быстро разморозить и согласовать на них бюджет — задача не из простых.

Долгое внедрение и настройка оборудования и ПО

Если компания приобрела новый инструмент, возникает другая задача — грамотно все настроить и внедрить, и сделать это оперативно. Здесь компании часто сталкиваются с отсутствием практического опыта в настройке. В редких случаях помогают вендоры, но делают они это в отрыве от полноценной картины ИБ-системы заказчика, и каждый — со своей позиции.

Отсутствие внутренних ИБ-компетенций при проектировании и организации целевой архитектуры ИБ

При организации ИБ собственными силами ИТ-специалисты концентрируют внимание в первую очередь на своей зоне ответственности и могут пропустить аспекты, связанные с неключевыми бизнес-процессами. Наём квалифицированных специалистов в штат тоже не помогает решить задачу оптимально по времени и по финансам.

Кажется, что обеспечить техническую целостность и захватить «слепые» зоны помогает внедрение SIEM-системы, которая объединяет весь инструментарий в единую схему. Но такой шаг учитывает лишь программно-аппаратный уровень безопасности, а законодательные, административные и морально-этические уровни остаются без внимания. Инструмент довольно дорогой, поэтому без экспертного подхода к внедрению и настройке его приобретение можно считать неудачной инвестицией.

Неосведомленность о законодательных требованиях к безопасности, продиктованных спецификой отрасли

Сфера, в которой функционирует предприятие, имеет не меньшее значение. От специфики информации, с которой работает компания, зависит набор инструментов для ее защиты, а также предъявляемые законодательные требования.

Владельцы медицинских информационных систем (МИС) должны располагать не только целевой системой ИБ, требуемой для подключения к ЕГИСЗ, но и действующими сертификатами ФСБ, ФСТЭК.

В мае 2021 года Госдума приняла законопроект о штрафных санкциях за нарушение безопасности объектов критической инфраструктуры (КИИ). ФСТЭК планирует увеличить число проверок объектов КИИ и привлечь другие ведомственные органы к их проведению.

Защита информации, и в особенности государственной тайны, на государственных информационных системах (ГИС) — действительно сложная и ответственная задача. Требования к безопасности ГИС изложены и закреплены в Приказе ФСТЭК № 17 от 11.02.2013 и в Постановлении Правительства РФ № 555 от 11.05.2017

152-ФЗ «О персональных данных» по-своему окрашивает целевую ИБ-архитектуру компаний из различных сфер:

ретейл (как электронная коммерция, так и офлайн-сегмент) с CRM-системами и программами лояльности;
медицинские, страховые и банковские организации, обрабатывающие различные категории персональных данных;
онлайн-сервисы с формами регистрации;
веб-ресурсы, собирающие файлы cookie.

Эффект «лоскутного одеяла»

у компании несколько подрядчиков, участвующих в организации ИБ-архитектуры, из-за чего возникает децентрализованный контроль и конфликты инструментов на стыке систем;
в результате резких глобальных изменений в бизнесе;
усложнение, масштабирование и(или) появление новых бизнес-процессов;
появление новых активов, нуждающихся в защите;
слияние, поглощение, присоединение компаний.

Временная потребность в ИБ-инструментах

Подходы к организации комплексной системы ИБ

• WAF (Web Аpplication Firewall) — средство защиты веб-приложений для обнаружения и блокировки сетевых атак;

• виртуальные рабочие места (VDI) с двухфакторной аутентификацией и установленным антивирусом;

• защищенное хранилище данных с безопасным удаленным доступом через приложение.

Возможности организации комплексной системы ИБ с помощью провайдера

С таким подходом можно закрыть сразу несколько уровней защиты информации:

Мультивендорный набор ИБ-инструментов по подписке помогает оперативно и гибко надстраивать ИБ-систему на техническом уровне.
Размещение инфраструктуры в защищенном дата-центре на территории России позволит поддерживать безопасность на физическом и законодательном уровнях.
Привлечение экспертизы сертифицированных специалистов помогает решить вопрос с обеспечением безопасности на административном, морально-этическом и законодательном уровнях.

Централизованный контроль и экспертная поддержка позволяют убрать «слепые» зоны и снизить риски ИБ

Выстраивание комплексной системы ИБ на аутсорсинге позволяет добиться большей гибкости:

1. Собирать конструктор из инструментов, закрывающий актуальные задачи заказчика.

2. Использовать понятный KPI услуги, за счет которого система ИБ становится прозрачной.

Источник: oncloud.ru

Накопление экспертизы в области ИБ

Управление угрозами

Управление доступом и жизненным циклом цифровых сертификатов

Защита накопленных данных

Безопасность при внедрении новых технологий

Безопасность обмена данными с бизнес-партнерами

Как создать комплексную систему ИБ в компании

Что мешает организовать системный подход к информационной безопасности в компаниях

Эффект «лоскутного одеяла»

Временная потребность в ИБ-инструментах

Подходы к организации комплексной системы ИБ

Возможности организации комплексной системы ИБ с помощью провайдера

Как создать комплексную систему ИБ в компании

Продажа бизнеса в Санкт Петербурге или Ленинградской области

Как выйти из бизнес аккаунта в тик токе

Бизнес карта это наличный или безналичный расчет

Как перейти в бизнесе на новый уровень

Что есть в Москве чего нет в Ростове бизнес

Роль технопарков и бизнес инкубаторов в развитии

Иллюзия прибыли что это такое в бизнесе

Вспомогательные бизнес процессы это процессы обеспечивающие основные процессы ресурсами