Как обеспечить информационную безопасность в компании: полное руководство от А до Я

Главный актив современной организации – это информация. Персональные данные сотрудников, база клиентов, информация о рынке и партнёрах, уникальные процессы: в любой компании хранится огромное количество сведений, которые представляют большую ценность. Рассказываем о том, как защитить их и обеспечить информационную безопасность в своей компании.

Что такое информационная безопасность?

Под информационной безопасностью обычно понимают совокупность всех мер и инструментов, которые вы используете для сохранения и защиты находящихся в вашем распоряжении данных. Специальное защитное ПО, политики доступа для разных пользователей, инструкции по работе с конфиденциальными данными, бэкап-серверы – всё это является частью инфраструктуры информационной безопасности.

Три цели информационной безопасности.

Чтобы ваше предприятие считалось защищённым с информационной точки зрения, нужно позаботиться о достижении трёх главных целей:

1. Конфиденциальность. Вы должны чётко контролировать доступ к информационным активам предприятия – причём на всех этапах, в том числе передавая данные контрагентам или партнёрам: если кто-то получает доступ к вашей информации, вы должны быть в курсе этого.
2. Целостность. Данные должны быть последовательными, упорядоченными и достоверными. 
3. Доступность. Все, кто имеет право на получение доступа к данным, должны иметь возможность при необходимости получить указанный доступ.

Таким образом, информационная безопасность – это не только про защиту информации от злоумышленников, но и про общую культуру работы с ней: упорядочивание данных, обеспечение доступа к ним и т. д.

Угрозы информационной безопасности.

Все факторы, которые могут угрожать вашей информации, делятся на три больших группы:

• Антропогенные преднамеренные. Угрозы, намеренно созданные человеком или группой людей: хакерские атаки, кража базы данных обиженным сотрудником, происки конкурентов. 
• Антропогенные непреднамеренные. Халатность, некомпетентность или просто случайность, связанная с действиями человека. Когда ваш сотрудник пишет пароль от базы на листочке и кладёт его под клавиатуру, это как раз одна из таких угроз.
• Естественные. Все угрозы, которые напрямую не связаны с действиями человека: пожар в дата-центре, обрыв коммуникаций из-за урагана, вышедший из строя жёсткий диск и т. д.

Кроме того, все угрозы принято делить на внешние – те, источник которых находится за границами контролируемой вами системы – и внутренние. Атакующий вас хакер – внешняя угроза. Инсайдер, внедрившийся в компанию и сливающий данные конкурентам – внутренняя.

Какие угрозы информационной безопасности опаснее всего?

Преднамеренные. Дело в том, что от естественных угроз вы – при грамотном подходе – защищены самой инфраструктурой, в том числе инфраструктурой своих подрядчиков. Непреднамеренные угрозы создают зоны риска, но далеко не всегда приводят к негативным последствиям: тот же листочек с паролем в хорошем коллективе может лежать годами, и это не создаст проблем (хотя, конечно, делать так нельзя!).

Преднамеренная же угроза изначально возникает из-за чьего-то осознанного стремления причинить вам вред. Злоумышленник пытается получить доступ к вашим данным – клиентской базе, платёжным сведениям и т. д. – он активно работает над этим, прилагает усилия. Поэтому большинство средств защиты в сфере информационной безопасности так или иначе направлены на то, чтобы обезопасить вас от преднамеренных угроз.

Как обеспечить информационную безопасность на своём предприятии: три уровня контроля.

Чтобы защита была эффективной, она должна работать на всех уровнях – в том числе на уровне, где действует человек, а не машины. Всё тот же пример: у вас может быть отличное шифрование данных, но смысл в нём, если пароль администратора записан на стикере и висит в приёмной? Именно поэтому в информационной безопасности чётко разделяют три уровня контроля, активно работая на каждом из них.

Административный.

Административный контроль – это комплекс инструкций, процессов и стандартов, по которым работаете вы и ваши сотрудники. Именно он регламентирует действия персонала, предписывает использовать те или иные средства технической защиты данных, а заодно предотвращать непреднамеренные угрозы информационной безопасности.

Инструменты:

• политики корпоративной безопасности;
• должностные инструкции и регламенты;
• дисциплинарные меры, предусмотренные за нарушения;
• нормативные акты и законы.

Логический.

Он же технический – когда речь заходит об информационной безопасности предприятия, обычно в первую очередь думают именно об этом уровне защиты. Включает в себя ПО и аппаратные средства для ограничения и распределения доступа к информации, а также для обеспечения её сохранности.

Инструменты:

• специальное ПО (подробнее расскажем ниже, в отдельном разделе);
• технические средства: серверы, шлюзы и т. д.

Физический.

Третий уровень контроля фокусируется на физической защите носителей информации. 

Инструменты:

• системы отопления, кондиционирования и пожаротушения;
• сигнализации;
• камеры;
• двери и замки;
• системы контроля доступа в помещения и т. д.

Программы для защиты информации.

Защита информации на физическом и административном уровне – тема для отдельных статей, причём скорее не по IT, а по строительству, юриспруденции и управлению бизнесом. Поэтому в нашей статье мы сосредоточимся на логическом уровне защиты данных: поговорим о ПО, которое вам понадобится.

Антивирусы.

Защищают от вредоносного ПО – как бьющего «по широким площадям» (блокировщики системы, вирусы-вымогатели, шифровальщики и т. д.), так и от созданного специально для кражи данных из вашей компании. Регистрируют несанкционированный доступ, ограничивают подозрительные действия программ и в целом дают неплохую базовую защиту. Чтобы выбрать конкретное решение, посмотрите наш ТОП антивирусов для малого и среднего бизнеса, он актуален.

DLP-системы.

Продвинутые системы, направленные на защиту от утечек данных. Если антивирус фокусируется на вредоносном ПО, DLP обеспечивают комплексную информационную безопасность – анализируют действия ваших сотрудников, проверяют попытки получить несанкционированный доступ к информации, сигнализируют о подозрительных событиях (например, специалист качает базу на флешку). ТОП DLP-систем мы тоже публиковали, ознакомьтесь и найдёте подходящую.

Системы мониторинга сотрудников.

Замыкают «большую тройку информационной безопасности» системы мониторинга. Автоматизированные комплексы защиты хороши, но иногда вам нужно лично посмотреть за тем, чем занимаются сотрудники – и здесь у Kickidler нет конкуренции. Он поможет даже в том случае, если злоумышленник ничего не скачивает, а просто фотографирует данные с экрана: сможете увидеть, кто заходил на соответствующие страницы внутренних ресурсов, и отследить его. 

Одну из таких историй поимки инсайдера с помощью Кикидлера мы описывали в блоге, почитайте.

Контроль доступа.

Системы контроля доступа могут как ограничиваться встроенным программным обеспечением ваших рабочих машин – например, парами логин-пароль для разных сотрудников и настройкой групп пользователя – так и быть масштабным комплексом, защищающим в том числе на физическом уровне. Например, хорошая СКУД (система контроля и управления доступом):

• связана с электронными замками и турникетами, позволяя отследить местоположение сотрудника на предприятии в любой момент времени;
• интегрирована с камерами видеонаблюдения: вы можете посмотреть запись с зоны, где находился сотрудник;
• учитывает использование рабочих компьютеров, производственного оборудования и других технических средств.

То есть, продвинутый СКУД буквально помещает ваших специалистов «под микроскоп». Связка СКУД+Kickidler позволяет полностью детализировать всю активность подчинённого с момента его прихода на работу: чем бы они ни занимались, вы будете знать все подробности.

Шифрование.

Программы для шифрования данных помогают защитить важную корпоративную информацию от кражи через несанкционированный доступ. Даже если злоумышленник сможет скачать, например, базу клиентов, он всё равно не сможет ей воспользоваться – без специального ключа данные будут нечитаемы. Большинство хороших сервисов для хранения информации уже имеют встроенные системы шифрования, но есть и специальные программы именно для криптографической защиты данных: например, VeraCrypt или AxCrypt.

SIEM-системы.

SIEM – Security Information and Event Management – это программные комплексы, которые занимаются постоянным мониторингом состояния сетевых устройств и приложений. Если возникает угроза безопасности (например, подозрительные попытки получить доступ к базе данных), SIEM моментально обрабатывает соответствующий сигнал, проверяет наличие других подобных сигналов и оповещает оператора о проблеме.

SIEM помогают собрать в одном окне данные от антивирусов, систем контроля доступа, DLP, брандмауэров и иных средств защиты информации. То есть, вы получаете единый комплексный лог, который позволяет быстро посмотреть репорты от разных приложений на момент возникновения угрозы. Отметим, что в классическом варианте SIEM только передают сигналы о кибератаках, но сейчас есть и активные системы, которые способны сразу же заблокировать подозрительную активность.

Межсетевые экраны (брандмауэры, файрволлы).

Базовые средства защиты компьютера от сетевых атак – например, они входят в обычный пакет защитных программ Windows. Занимаются контролем сетевого трафика, блокируя все подозрительные подключения и оповещая о них пользователя. Как правило, используются в связке с антивирусом: брандмауэр препятствует сетевым атакам, а антивирус разбирается с угрозами, которые уже попали на компьютер. 

Прокси-серверы.

Между локальными машинами – рабочими компьютерами сотрудников – и глобальной сетью (интернетом) размещается промежуточный узел сети: сервер, который предназначен только для фильтрации трафика. Таким образом, у рабочих станций вообще нет связи с интернетом:

1. любой запрос поступает на прокси-сервер;
2. прокси проверяет запрос на соответствие политикам безопасности и, если всё в порядке, дублирует его во внешнюю сеть;
3. далее прокси получает результат запроса из интернета, проверяет его, и только потом результат передаётся локальной машине.

Такое решение можно назвать более продвинутым вариантом брандмауэра.

VPN.

VPN – виртуальная частная сеть – это шифрованный канал связи между сервером и рабочим компьютером. Он позволяет создать безопасную сеть между машинами, которые расположены далеко друг от друга: например, объединить разные филиалы или предоставить удалённым сотрудникам доступ к базе данных. «Прослушать» такой трафик невозможно, даже провайдер интернета не будет знать, какую информацию вы передаёте.

Песочницы.

ПО, которое создаёт изолированную среду для работы с компьютерными программами. Фактически в вашем распоряжении появляется виртуальная машина, которая никак не связана со внешним миром и основной системой – если понадобится запустить приложение, которому вы не доверяете, лучше всего сделать это именно в песочнице.

Как внедрить систему информационной безопасности в своей компании?

Выше мы перечислили достаточно много разных инструментов защиты данных, но как объединить их в одну систему? Возьмём дли примера гибридную компанию на 50 сотрудников, в которой часть специалистов трудится в офисе, а часть работает удалённо. Процессы могут быть организованы следующим образом:

1. Вся конфиденциальная информация – базы данных, архивы и т. д. – хранится на собственных серверах, расположенных в офисе. Доступ к серверной имеют только системные администраторы и руководство компании.
2. Рабочие компьютеры объединены в доменную сеть (все настройки пользователей хранятся на главном сервере, контроллере домена, все параметры рабочих станций регламентированы).
3. Удалённые сотрудники получают доступ к сети по VPN.
4. Весь трафик контролируется межсетевым экраном с грамотно настроенными политиками.
5. Файлы проверяет антивирус.
6. Активность сотрудников отслеживают DLP-платформа и Kickidler. 
7. Для упрощения мониторинга можно использовать SIEM-систему. 

После внедрения всего перечисленного останется позаботиться о человеческом факторе. Обязательно подготовьте сотрудникам чёткие инструкции по работе с конфиденциальными данными, грамотно настройте все права и не забывайте держать руку на пульсе происходящего. Тогда и только тогда ваши конфиденциальные данные будут под защитой. 

Успехов!