Правила информационной безопасности в бизнесе

Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

Кто обеспечивает защиту данных?

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Как строится система информационной безопасности крупных компаний

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях. Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Что защищать и от чего?

• паспортные данные;
• точное место жительства;
• мобильный телефон;
• адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

• если им получено согласие на обработку (необязательно письменное);
• планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
• обрабатываются персональные данные своих сотрудников;
• в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

• Политика в отношении персональных данных задокументирована и находится в публичном доступе.
• Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
• Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
• Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

• программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
• некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
• усложнены условия эксплуатации и хранения информации.

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

• Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

• неисправность технических средств,
• слабые антивирусы, отсутствие шлюзов безопасности,
• невозможность зрительного контроля за серверами и доступом к ним.

Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

• Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
• Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

• Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
• Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.
• Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

• угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
• угроза, инициируемая субъектами извне с целью получения личной выгоды.

• искусственная угроза, созданная при участии человека;
• природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

Непосредственная причина угрозы:

• человек, разглашающий строго конфиденциальные сведения;
• природный фактор (вне зависимости от масштаба);
• специализированное вредоносное программное обеспечение, нарушающее работу системы;
• удаление данных случайным путем из-за отказа техники.

Момент воздействия угрозы на информационные ресурсы:

• в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
• при получении системой новой информации;
• независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

Построение системы защиты персональных данных

Классификация уровней защиты

Информационная безопасность подразумевает четыре уровня защиты от угроз:

• Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
• Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
• Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
• Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

Обеспечение защиты

Защита информации по уровням в каждом случае состоит из цепочки мер.

• Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.
• Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
• Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
• Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

Средства защиты информации

Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

Криптографические средства защиты информации

Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.

Рекомендации по защите персональных данных

Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.

Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.

Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.

Источник: www.smart-soft.ru

Информационная банковская безопасность и ее необходимость

100% практика по признанию должников банкротами.
Юристы гарантированно доводят процессы до полного списания долговых обязательств.

В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.

Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.

Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.

Меры, помогающие обеспечить защиту банковской информации

В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

Меры по защите данных такого типа должны осуществляться последовательно:

Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, — также своевременно уничтожаются остаточные сведения.

Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

Принципы информационной безопасности банка

Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.

Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.

Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.

Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:

Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.

Угрозы информационной безопасности банка

Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.

Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.

При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.

Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.

Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.

Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.

Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.

В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).

Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.

Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.

Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.

Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.

100% практика по признанию должников банкротами.
Юристы гарантированно доводят процессы до полного списания долговых обязательств.

Источник: finexpert24.ru

Простые рекомендации по улучшению информационной безопасности для малого и среднего бизнеса

Всем известные события в мире развязали руки огромному количеству людей, которые занимаются хакингом профессионально или любительски. Кроме того, сегодня во многих зарубежных странах ответственность за подобные действия, если ты работаешь в интересах государства, практически отсутствует.

Я бы назвал нынешнее время периодом почти полной “цифровой анархии” — делай, что хочешь. По этой причине атаки сейчас совершаются не только на госсектор или КИИ, но и на бизнес. Более того, речь идет не только про крупный, но и малый/средний бизнес (СМБ) в том числе. Сегодня любой объект RU сегмента — это цель.

Будь то скромный сайт по продаже вязанных ручных изделий или крупный IT-гигант. Информационная безопасность (ИБ) сегодня — это уже не прихоть, а критически важная необходимость. Но вот если раньше мы говорили о том, что ИБ в СМБ было очень тяжело реализовать по причине стоимости и “кому я там нужен”, то сегодня вы просто можете стать случайной целью из-за массовости атак. Лучше быть к этому готовым.

Исходить всегда лучше из объективной реальности, поэтому я бы хотел проговорить несколько рекомендаций, которые, на мой взгляд, могут позволить реализовать ИБ в любом бизнесе без больших затрат. Необходимо лишь желание и осознание важности подобных мероприятий.

С чего начать защиту информации?

Прежде всего, вы должны задать себе ключевой вопрос:

«Какие из моих цифровых или иных активов самые ценные?»

Проведите аудит данных, которые хранит ваша компания. Рассмотрим на примере интернет-магазина. У вас наверняка есть база клиентов. Где она хранится? На сколько это защищенное место? Какие из этих данных самые важные? Сколько вам будет стоить потеря этой базы?

У кого есть доступ к этой базе?

В контексте СМБ провести подобный аудит можно самому, потратив буквально несколько часов.

Что вам это даст?

1. Вы определите конкретные области, которые необходимо защищать. Начиная от компьютеров ваших сотрудников (потому что на них, к примеру, хранится чувствительная внутренняя документация), заканчивая вашим сайтом (который, к примеру, может являться интернет-магазином и в таком случае будет вашим основным цифровым активом). А может быть ваш основной актив — это профили в соцсетях с большим количеством подписчиков, потому что вы блогер.
2. Сформируете приоритезацию угроз. Вы сразу же сможете разделить все свои активы по степени риска. Можно поискать в сети различные матрицы угроз и приоритезации, но я вам советую простую цветовую шкалу из 3–4 цветов. Красный — риск критический и защищать подобный актив нужно в первую очередь, не думая о деньгах. Желтый – это риск, который можно принять на время, но долго не затягивать с его решением. Логика, думаю, понятна.
3. Понимание затрат. Очевидно, что, после этих трех шагов, у вас начнет складываться конкретная экономика всех процессов. То есть вы уже сможете просчитать все затраты на защиту информации.

Давайте поделим на 2

Теперь, когда мы примерно понимаем, что именно защищаем, нам будет проще искать конкретные решения.

Лично я бы поделил методы обеспечения информационной безопасности для СМБ на 2 категории:
— простые действия, которые вы можете сделать без привлечения внешних специалистов и финансовых затрат (назовем это “базой”).
— меры ИБ с привлечением внешних специалистов и покупкой различных технических решений (назовем это “второй уровень”).

«База»

В этом блоке опишу несколько правил информационной безопасности, которые мне представляются важными, исходя из опыта работы.

1. Культура информационной безопасности и обучение.

Даже если в вашей компании работает 2–3 человека, вы обязаны повышать осведомленность в вопросах ИБ у себя и у них. Без внедрения культуры безопасности ни один совет может не помочь. Люди — это самое слабое звено, и ни одна мера безопасности не спасет вас, если сотрудник просто скачает исполняемый файл из подозрительного письма и запустит его у себя на компьютере.

Сотрудники должны понимать важность всех этих действий и четко осознавать свою ответственность. Подберите бесплатные курсы по антифишингу, парольным политикам, безопасности личных и корпоративных устройств и обяжите своих сотрудников пройти их вместе с последующим тестированием (задокументируйте этот процесс). Не обязательно искать дорогое обучение по информационной безопасности.

Подобные мероприятия нужно проводить периодически, делая акцент на том, как это важно. Можно периодически самому устраивать выборочную проверку своих сотрудников на предмет осведомленности в вопросах безопасности. К примеру, можете попробовать отправить нескольким сотрудникам фишинговые письма с каким-нибудь вложением внутри (естественно, без всяких “вредоносов”). Ну а если бюджет позволяет и вам не хочется тратить на подобное тестирование время, есть масса компаний, которые проводят такие аудиты.

2. Пароли и «двухфакторка».

1. Двухфакторная аутентификация должна стоять ВЕЗДЕ, где это возможно. Касается это как личных устройств, так и корпоративных, если такие имеются. Аккаунты в соцсетях, канал в телеграме, платежные ресурсы, CRM и прочее.
2. Парольная политика. Об этом сказано уже очень много и нами в том числе. Можно посмотреть подробное видео тут.

Источник: srccs.su