Основные угрозы информационной безопасности в бизнесе

В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня — ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз безопасности информационных ресурсов предприятия много: это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.

Понятие информационной безопасности

На сегодняшний день существует множество определений информационной безопасности. Приведем лишь пару из них.

Информационная безопасность (англ. «Information security») — защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий, сопровождающихся нанесением ущерба владельцам или пользователям информации.

Виды угроз безопасности информации. Угрозы и нарушители безопасности информации

Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.

Цель защиты информации — минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности:

1. Угрозы конфиденциальности — несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).
2. Угрозы целостности — несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).
3. Угрозы доступности — ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки ).

Источники угроз информационной безопасности:

1. Внутренние:
2. ошибки пользователей и сисадминов;
3. ошибки в работе ПО;
4. сбои в работе компьютерного оборудования;
5. нарушение сотрудниками компании регламентов по работе с информацией.
6. Внешние угрозы:
7. несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т. п.);
8. компьютерные вирусы и иные вредоносные программы;
9. стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной и ценной информацией).

Методы и средства защиты информации

Методы обеспечения безопасности информации в информационной системе:

• Препятствие — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
• Управление доступом — регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т. д. (например, когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
• Криптография — шифрование и защита информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи; или хранение информации в блокчейне).
• Противодействие атакам вредоносных программ (англ. «malware») — предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т. д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т. п.).
• Регламентация — создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т. д.).
• Принуждение — установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т. п.).
• Побуждение — призыв к персоналу не нарушать установленные порядки по работе с информацией, т. к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).

Средства защиты информации:

Безопасность бизнеса четыре основные угрозы

• Технические (аппаратные) средства — сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, вход в здание или помещение по ключ-карте, электронные ключи и т. д.
• Программные средства — программы-шифровальщики данных, антивирусы, брандмауэры, бэкап-системы, системы аутентификации пользователей и т. п.
• Смешанные средства — комбинация аппаратных и программных средств.
• Организационные средства — правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

• ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
• Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне»

Источники Показать

1. Галяутдинов Р. Р. Курс лекций по IT в экономике

Если понравилась статья, поделитесь с друзьями и подпишитесь на обновления:

Нашли опечатку? Помогите сделать статью лучше! Выделите орфографическую ошибку мышью и нажмите Ctrl + Enter.

Источник: galyautdinov.ru

Основные угрозы информационной безопасности современной компании

Информационная безопасность компании — крайне важная и сложная тема, которой в современном мире необходимо заниматься вплотную. Защита коммерческой тайны, секретов производства, персональных данных сотрудников, партнеров и клиентов должна находиться в приоритете для каждого руководителя компании

В этой статье мы постарались рассмотреть наиболее часто встречающиеся угрозы безопасности в сфере IT, с которыми сталкиваются собственники, директора и руководители IT-подразделений компаний на начальном этапе внедрения и настройки системы защиты информации. На какие риски и угрозы следует обратить внимание в первую очередь?

Итак, вот наш топ угроз информационной безопасности компании любого размера:

1. Редкое обновление антивирусных баз. Нужно следить за тем, чтобы антивирус и его сигнатуры всегда находились в актуальном состоянии. А лучше настроить обновление таким образом, чтобы оно происходило централизованно и без участия пользователей, что позволит исключить человеческий фактор.
2. Отсутствие блокировки компьютера на время отсутствия пользователя. Нужно объяснить сотрудникам о важности блокировки компьютера в случае необходимости покинуть рабочее место. К сожалению, многие об этом забывают, что тоже несет определенные риски утечки данных. Ведь если сотрудник отсутствует на рабочем месте, то и отсутствует контроль за компьютером. В этом случае доступ к информации может получить кто угодно, даже случайный прохожий.
3. Несанкционированное отключение элементов защиты пользователями. Система безопасности данных подвергается угрозам из-за того, что сотрудники самостоятельно отключают средства защиты. Делается это для упрощения работы, чтобы можно было проще войти в систему и выполнять должностные обязанности без введения паролей и не ждать проверок. Для минимизации данной угрозы обычные пользователи должны быть лишены привилегированных прав управления средствами защиты информации. Они должны управляться только системными администраторами или администратором безопасности (CISO).
4. Использование сомнительного программного обеспечения. Многие компании, пытаясь сэкономить, не хотят покупать лицензии на использование профессионального ПО, поэтому стараются найти бесплатные аналоги этих программ. К сожалению, такая экономия может привести к плачевному результату, ведь в пиратские копии нередко встраивают зловредный код (вирусы) и недекларированные возможности, позволяющие злоумышленникам незаметно красть информацию. Программное обеспечение в первую очередь должно быть лицензионным, кроме того оно должно постоянно обновляться, т.к. серьезные разработчики следят за безопасностью своих программных продуктов и достаточно быстро закрывают ошибки, которые могут повлиять на безопасность данных.
5. Отсутствие разграничения доступа. Необходимо обеспечить доступ к определенным разделам системы только тем сотрудникам, которые работают непосредственно с этим разделами и соответствующим функционалом. Нельзя допускать, чтобы каждый рядовой работник имел абсолютный и неограниченный доступ ко всей конфиденциальной информации. Ведь один из них может оказаться недобросовестным, украсть её и передать конкурентам.
6. Разглашение конфиденциальной информации. Многие ответственные лица компании зачастую забывают, что нельзя делиться конфиденциальной информацией с друзьями и родственниками, не говоря уже о посторонних лицах и конкурентах. Для решения данной проблемы с сотрудников, имеющих доступ к обработке конфиденциальной информации, должны быть взяты обязательства о неразглашении, описывающие возможный ущерб компании и личную ответственность за его неисполнение.
7. Использование сотрудниками личной почты, социальных сетей и мессенджеров. Если есть возможность обеспечить своих сотрудников всеми необходимыми инструментами для обеспечения бизнес-процессов внутри компании, следует запретить сотрудникам использовать рабочие компьютеры для входа в личную электронную почту или социальные сети. Таким образом общение и обмен информацией в локальной сети и Интернете не будет бесконтрольным. Лучше всего воспрепятствовать этому технически — в этом вам помогут грамотные IT-специалисты и специальное программное обеспечение (DLP-системы).
8. Потеря носителей конфиденциальной информации. Потеря флэш-карт, дисков и даже целых ноутбуков — еще одна причина утечки конфиденциальных данных. Кроме того кража таких носителей чаще всего становятся целью злоумышленников и конкурентов. Пользователи должны быть проинструктированы о правилах обращения с носителями конфиденциальной информации. Запрет на использование внешних носителей, неучтенных ответственными лицами, в организации должен быть под запретом. Ограничение подключения внешних носителей и скачивание на них конфиденциальной информации может быть организован при помощи всё тех же DLP-систем.

Источник: data-sec.ru

Риски информационной безопасности

Риски информационной безопасности присутствуют в любом бизнесе. Многие компании проводят аудит безопасности, чтобы оценить угрозы, разработать стратегию противодействия злоумышленникам, сохранить конфиденциальную информацию в неприкосновенности. Для каждой отрасли и вида деятельности прослеживается определенная специфика, поэтому данный вопрос требует тщательной проработки и изучения.

Основные риски информационной безопасности

1. Случайные. Объединяют непредвиденные события, когда происходит стечение обстоятельств, приводящее к неблагоприятным последствиям. Как правило, это внезапные, сложно прогнозируемые риски разного характера. Среди типичных примеров – выход из строя технического оборудования, ЧС, перебои электроэнергии, повреждение коммуникационных каналов, поломка блокирующих устройств, ограничивающих доступ к информации.
2. Субъективные. Возникают из-за ошибок и неправильных действий персонала при обработке, хранении информации. Типичными ситуациями здесь выступают пренебрежение внутренними правилами и регламентом безопасности в компании: нарушение режима тайны, несанкционированный доступ к сведениям, нарушение правил передачи информации, использование незащищенных информационных каналов.
3. Объективные. Возникают в ходе использования защитных систем и сопутствующего технического оборудования. Риски возникают в результате проникновения в информационную систему вредоносного ПО, внедрения следящего, шпионского оборудования. Подобные риски отличаются невозможностью полного исключения ввиду несовершенства защиты, многообразия приемов злоумышленников.

Концепции и модели управления рисками ИБ

Любыми рисками можно управлять и тем самым снизить возможный ущерб от их наступления. Существуют различные подходы, модели для анализа рисков информационной безопасности, их управления:

• Процессная модель управления рисками. Основывается на четырех базовых процессах: планирование, реализация, проверка, действие. Планирование включает выбор политики, методов управления рисками, проведение оценки информационных активов, формирование профилей угроз и их дальнейшую обработку. На этапе реализации выполняют развертывание систем безопасности согласно намеченному плану, принимаются дополнительные защитные меры: коррекция бизнес-планов, этапов запуска проекта исходя из специфики, критичности рисков. Проверка сводится к выполнению мероприятий, которые подтверждают эффективность принятых мер, полноценную работу механизмов контроля информации. Действие заключается в улучшении управленческих процессов на основе полученных данных мониторинга, аудита. Итогом считается внесение корректировок, поправок в нормативную, регулирующую документацию компании.
• Модель FRAP (Facilitated Risk Analysis Process) – состоит в качественной оценке рисков. При этом акценты расставляются в пользу детального изучения информационной системы с помощью автоматизированных инструментов, тщательной идентификации угроз с формированием подробного списка. В ходе оценки рисков информационной безопасности происходит их градация согласно вероятности наступления и величине ущерба.
• Модель CRAMM (CCTA Risk Analysis https://rt-solar.ru/products/solar_dozor/blog/3320/» target=»_blank»]rt-solar.ru[/mask_link]