Информационная безопасность в компании с чего начать

Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?

Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.

Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).

Кто может назвать себя специалистом по ИБ?

Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.

Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.

Наиболее важные специальности в ИБ

Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:

Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.

Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.

Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.

Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.

Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?

Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.

Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.

В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.

Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.

Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.

А какие инструменты используют «безопасники»?

Все зависит от того, в каком именно направлении занят специалист, а также от места его работы — коммерческая это организация или государственная. Если говорить о России, то специалистам по информационной безопасности часто приходится работать с сертифицированными ФСТЭК ФСБ инструменты — просто потому, что государственные организации обязаны использовать лишь сертифицированные ПО и железо. Это могут быть отечественные антивирусы, межсетевые экраны, разного рода аппаратное обеспечение.

Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.

Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.

Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:

• поиск уязвимостей на клиентской части веб-приложений, эксплуатация клиентских уязвимостей, способы защиты;
• Навыки поиска server-side-уязвимостей, понимание особенностей Bug Bounty;
• Навыки взлома беспроводных сетей, устройство сетей и способы обеспечения безопасности в них;
• Навык реверса приложений, поиска и эксплуатации бинарных уязвимостей. Основы криптографических протоколов.

Обязанности:

• Выполнение тестирования информационных сред и программных продуктов компании;
• Тестирование информационных систем на отказоустойчивость;
• Инструментальный анализ информационных систем;
• Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
• Тестирование на проникновение;
• Анализ безопасности исходных кодов программных продуктов.

• Опыт работы по выявлению уязвимостей систем;
• Опыт работы с Burp Suite, Hydra;
• Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
• Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
• Знание принципов построения и работы веб-приложений;
• Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
• Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
• Опыт проведения тестирования на проникновение;
• Опыт проведения аудита систем ИТ и ИБ.

Вот несколько примеров — реальные вакансии на сервисе «Мой круг».

Сколько получает эксперт по ИБ?

Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.

Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».

Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.

Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.

Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.

В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.

Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.

• информационная безопасность
• пентест
• кем работать в it
• мой круг
• moikrug.ru
• geekbrains

• Блог компании Хабр Карьера
• Информационная безопасность
• Карьера в IT-индустрии

С чего начать внедрение ИБ для бизнеса

Рано или поздно практически любая компания сталкивается с проблемой безопасности информационных систем. В этих целях создается подразделение ИБ, которое и поддерживает должный уровень защиты, и в том числе, выполняет правила, рекомендованные Центром интернет-безопасности (CIS).

Рассмотрим алгоритм, по которому строится информационная безопасность компании, и основные рекомендации для бизнеса любого масштаба.

Уровни внедрения ИБ

Очень часто подход к информационной безопасности в компании делится на несколько уровней – от базового к организационному, или от минимального к максимальному:

• Минимальное внедрение ИБ считается обязательным для любого бизнеса. Оно подразумевает применение основных мер для защиты от массовых атак.
• Расширенное внедрение предполагает применение дополнительных практик. Такой уровень требуется для бизнеса со сложной иерархической структурой и несколькими профилями безопасности.
• Максимальное внедрение предполагает снижение рисков и уязвимостей «до нуля». Используется для крупных корпораций и социально значимых компаний, которые работают с большим количеством пользователей.

Аренда выделенного
сервера
Разместим оборудование
в собственном дата-центре
уровня TIER III.
Конфигуратор сервера
Подбор оборудования для решения Ваших задач и экономии бюджета IT

Поддержка руководства

Инициатива создания отдела ИБ может исходить от руководства, в результате не возникнет никаких проблем с согласованием действий. Однако на деле подразделение создается стихийно: во многих компаниях уже присутствует служба безопасности, которая не понимает, зачем требуется еще один отдел и что входит в технические меры защиты. В этом случае может возникнуть ряд сложностей с внедрением всех необходимых требований.

Инициатива создания защиты обычно исходит от рядовых специалистов, то есть «снизу вверх». Если руководство организации не до конца понимает необходимость мер по обеспечению информационной безопасности бизнеса, то подобный подход будет малоэффективен. Даже при создании соответствующего отдела есть риск, что вопросами безопасности будут заниматься по остаточному признаку.

При внедрении технологии «сверху вниз» в процесс оказываются втянуты топ-менеджеры и владельцы, что приносит большую пользу и эффективность. Руководство смотрит на ИБ с позиции бизнеса, поэтому тщательно оценивает все риски и разрабатывает необходимые процедуры.

Если инициатива защиты исходит «снизу», то лучше всего заручиться поддержкой руководства, а при организации необходимых процедур придерживаться принципа «сверху вниз».

Состав рабочей группы

Следующий обязательный шаг – определение сотрудников, которые будут принимать активное участие в создание ИБ.

Бизнес часто предпочитает отдать задачи по организации информационной безопасности на аутсорсинг. Такой подход довольно распространен, но имеет свои «подводные камни». Например, внешние специалисты не всегда могут оценить важность и ценность тех или иных ресурсов для компании. Поэтому в рабочей группе обязательно должен быть сотрудник фирмы, который проконтролирует все этапы создания ИБ.

Анализ рисков

Управление рисками – одна из важнейших стадий подготовки технической защиты компании. На этом этапе необходимо провести ряд работ:

• Определить информационные активы, которые представляют наибольшую ценность.
• Выявить, какие требования нужно выполнить для соблюдения законодательства.
• Проанализировать имеющиеся уязвимости с точки зрения информационной безопасности.
• Выявить возможные угрозы для бизнеса.
• Оценить риски и возможный ущерб.
• Определить источники угроз.
• Подготовить отчет для презентации руководству компании.

Подобный подход позволит определить угрозы и их возможный ущерб для компании, а после этого – рассчитать вероятность наступления тех или иных событий. Подробный отчет также станет незаменимым для определения перечня выполняемых технических мер.

Организационные мероприятия

Внедрение системы обеспечения информационной безопасности потребует разработки политики, инструкций и стандартов. В документах должна быть зафиксирована ответственность сотрудников за нарушение установленных правил и разглашение конфиденциальной информации.

Важно понимать, что ни одна система ИБ не может существовать без соответствующей документальной базы. При этом разработанные регламенты должны полностью отражать все принимаемые в компании меры и периодически обновляться.

Способы защиты информации

После выполнения всех подготовительных мер потребуется выбор методов обеспечения ИБ, а затем – их внедрение в действующую ИТ-инфраструктуру.

Каждое средство защиты данных оценивается с точки зрения эффективности и затратности. Стоит понимать, что прибыль в этом случае будет косвенной – речь идет о минимизации определенных рисков.

Потребуется учесть следующие параметры:

• Затраты на приобретение и внедрение.
• Необходимость в обучении специалистов.
• Угрозы, с которыми можно бороться с помощью этой меры.

Комплекс мер для ИБ

Подробнее расскажем, какие меры в обязательном порядке потребуется ввести, чтобы обеспечить минимальный уровень безопасности. Начать стоит с инвентаризации и учета всех устройств. Предполагается применение следующих решений:

• Создание детального реестра устройств, на которых хранятся корпоративные данные. Обязательно указание сетевого и аппаратного адреса, имя владельца и т. д.
• Регулярный пересмотр и обновление реестра (каждые полгода или чаще).
• Разработка мер реагирования на любые неавторизованные устройства (например, удалять из сети или помещать в карантин).

Отдельно потребуется выполнить инвентаризацию и учет ПО. Эта процедура включает в себя:

• Создание реестра используемых ПО с подробными характеристиками.
• Регулярное обновление реестра (не реже раза в полгода).
• Проверка авторизованного ПО на поддержку вендором.
• Алгоритм реагирования на неавторизованное ПО.

Обязательным пунктом информационной безопасности успешного электронного бизнеса является защита данных. На минимальном уровне ИБ от компании потребуется:

• Наладить процесс управления всеми данными.
• Создать реестр учета сведений.
• Настроить специальные списки для управления доступом к документам.
• Создать реестр конфиденциальных документов.
• Разработать списки пользователей с указанием уровня доступа к системе.
• Использовать меры для сохранности данных.
• Определить уровень допустимых потерь.
• Настроить безопасное уничтожение данных.
• Использовать инструменты шифрования.

Компания обязана использовать защищенные конфигурации для устройств и ПО, а также настроить параметры управления учетными данными.

Отдельные меры потребуются для управления контролем доступами. К их числу относят:

• Выбор способов предоставления доступа.
• Особенности отзыва прав доступа.
• Применение многофакторной аутентификации.

Обязательной мерой является непрерывное управление уязвимостями. Оно может включать в себя создание отдельных документов по управлению уязвимостями, использование автоматического управления патчами ОС и прикладного ПО.

Управление информационной безопасностью бизнеса включает в себя ряд мер по сбору журналов аудита и их хранению в надежном хранилище. Кроме этого, от компании потребуется наладить процесс управления журналами и использовать логирование для всех корпоративных устройств.

Обеспечение ИБ подразумевает под собой комплекс мер по защите электронной почты и браузера. Компании рекомендуется:

• Использовать приложения и браузеры последних версий, с полной поддержкой вендора.
• Применять сетевую фильтрацию URL.
• Использовать фильтрацию DNS.

Защита системы от вредоносных программ должна выполняться с помощью специальных программ и приложений. Необходимо настроить автоматическое обновление сигнатур защиты и запретить автозапуск съемных устройств.

Отдельные меры при создании системы ИБ касаются восстановления данных. Что стоит предпринять:

• Определить приоритеты при восстановлении данных и меры защиты резервных копий.
• Настроить автоматическое резервное копирование.
• Предпринять меры для защиты данных для восстановления.

Еще один немаловажный аспект безопасности информационных систем – это управление сетевой инфраструктурой. Потребуется следить за актуальностью инфраструктуры, проверять наличие последних версий ПО и продумать безопасную сетевую архитектуру.

Также важно выполнять тестирование на возможное проникновение в систему, настроить централизованные оповещения о событиях безопасности и внедрить сетевое IDS-решение.

Многие компании дополнительно используют инструменты для фильтрации трафика между сетевыми сегментами и управления доступом для удаленных устройств. Однако на начальном уровне безопасности такие меры могут и не потребоваться.

Доведение информации до заинтересованных лиц

На следующем этапе потребуется донести сведения по информационной безопасности организации до всех пользователей. Важно объяснить сотрудникам, как работает система, какие правила им потребуется соблюдать и т. д.

Компания может понести огромные убытки, если меры по ИБ не будут исполняться на 100%. Поэтому каждый специалист фирмы должен владеть основами информационной безопасности и знать о регламенте действий в любой непредвиденной ситуации.

Мониторинг и оценка

После внедрения всех необходимых мер работа над системой не прекращается. Потребуется постоянный мониторинг и оценка результатов ИБ. Важно понять, изменился ли уровень технической защиты в лучшую сторону, какие угрозы остались без внимания и нет ли критических ошибок, которые потребуют срочного устранения. Все процедуры выполняются циклично, система постоянно совершенствуется, проводится обучение новых сотрудников и анализ инцидентов.

Остались вопросы об информационных технологиях и безопасности бизнеса? Специалисты нашего дата-центра Xelent готовы ответить на них!

Популярные услуги
Защищенное облако 152 ФЗ

Защищенное облако 152 ФЗ – ИТ-инфраструктура, предназначенная для создания информационных систем персональных данных (ИСПДн), соответствующих требованиям федеральных законов.

Частное облако с управлением через vCloudDirector

Простая, удобная и надежная интеграция облачной инфраструктуры в IT-инфраструктуру компании с глубокими индивидуальными настройками.

Размещение серверов (colocation)

Мы советуем размещать сервера на ru-площадках, находящихся в регионе, где работает ваша компания. Это нужно для максимального качества связи. Наши клиенты могут воспользоваться хостингом для размещения серверов в ЦОД Санкт-Петербурга и Москвы.

Как усилить информационную безопасность в компании

Например, компания подверглась фишинговой атаке, резервное копирование критической для бизнеса информации не настроено или настроено некорректно, хакеры просят выкуп (обычно речь идет о сумме от 5 тысяч долларов), и только тогда, оглядывая ИТ-инфраструктуру, бизнес понимает, чем и зачем нужно было заниматься. Вчера.

Во-первых, каждый современный бизнес должен взять за правило один простой и понятный тезис: защита информации – это главный приоритет. Методы и средства защиты информации должны быть выбраны и проработаны насколько возможно заранее. Желательно, на этапе построения ИТ-инфраструктуры. Критически не рекомендуется заниматься этим только после какого-либо серьезного инцидента, потому что в таком случае все зачастую идет по одному и тому же сценарию: пожар потушен, – другой вопрос заключается в том, какие бизнес понес потери, – и через время проблема опять отходит на второй план.

Стандарты и структура

Количество угроз информационной безопасности растет едва ли не каждый день – в геометрической прогрессии. Для того, чтобы понимать, как именно должны быть устроены концептуальная и техническая защита информации на предприятии, нужно регулярно изучать и/или освежать в памяти стандарты информационной безопасности. Например, крайне полезно будет отслеживать новые системы оценки рисков, на которых зачастую основывается обоснование бюджетов на ИБ.

Кроме того, важно разобраться со структурой информации. Это нужно для того, чтобы была возможность определить слабые звенья и, соответственно, приоритетные объекты защиты. В большинстве случаев классификация информационных ресурсов строится по функциональному признаку. В соответствии с таким подходом следует назначить владельцев информационных ресурсов и определить уровни конфиденциальности. При этом не стоит излишне засекречивать информацию – в случае строгого ограничения доступа к необходимым сведениям сотрудники всегда найдут возможность обойти существующие запреты.

Совет от генерального: Алексея Белимова, наш верховный лидер и идеолог, генеральный директор, убежден, что информационная безопасность ИТ-инфраструктуры — это прежде всего элементарная цифровая гигиена. 95% атак можно предотвратить или обезвредить том случае, если есть правильные бэкапы, и установлены пароли сложнее стандартных.

 Иерархия доступа

Структура того, какие сотрудники и в каких ситуациях имеют постоянный или могут получить временный доступ к какой-либо информации должна быть описана и закреплена регламентом. Этот документ лучше не делать слишком сложным, однако и упрощать тоже не стоит – последнее грозит увеличением вероятность несанкционированного доступа к конфиденциальной информации. Важно четко понимать, кто и на каком уровне может получить доступ к бухгалтерской отчетности, например, и закрепить это право за конкретными сотрудниками. Стратегия, при которой доступ к чему бы то ни было каждый раз нужно запрашивать отдельно утяжеляет работу и сказывается на эффективности внутренних коммуникаций.

Пример матрицы доступа

Диалог и группы риска

Сверив часы с международными или локальными стандартами информационной безопасности, разработав структуру защиты критичных данных и определив иерархию доступа к тем или иным уровням информации, вы сделали полдела. Подготовили фундамент. На этом не стоит останавливаться. В зависимость от размеров и возможностей вашей компании нужно или создать комитет по ИБ, прямой обязанностью которого будет контроль выполнения регламентов или ввести правило регулярного отчета от каждого департамента.

Говорите о вопросах информационной безопасности – это важно. В процессе подобного обсуждения вы, во-первых, зарядите сотрудников общей идее и будете регулярно поддерживать этот заряд, а во-вторых, оно поможет определить т.н. группы риска в компании. Не устанем повторять: одна из самых больших уязвимостей ИБ – человеческий фактор. Это сотрудники, которые открывают подозрительные письма, распаковывают файлы, не следят за цифровой гигиеной и устанавливают везде одинаковые пароли. Обсуждение проблем ИБ нужно прежде всего за повышения общей компьютерной грамотности всего коллектива.

Тестирование и учет нарушений

В какой-то момент необходимо переходить от теории к практике. Во-первых, нужно определиться с механизмами тестирования информационной безопасности. Они могут быть открытые, когда вы, например, проверяете, правильно ли настроено бэкпирование, с какой регулярностью на резервный сервер сливаются данные и следит ли за эти ответственный сотрудник. Также тестирование может быть тайное. Это как «тайный покупатель», но в случае с тестирование ИБ вы или сторонние специалисты, нанятые вами специально для этого, выступаете в роли хакера, который всем доступными способами пытается заполучить информацию. При чем сотрудникам, всем или большинству, не нужно знать, что будет проведен т.н. «слепой» тест.

Такое тестирование помогает усиливать информационную безопасность, делая компании готовой к настоящим атакам киберпреступников. Кроме того, оно помогает и, как уже было сказано, найти и/или закрепить слабые звенья среди сотрудников, а еще вы сможете понять, кто именно относится к работе и обеспечению ИБ безответственно, то есть не соблюдает регламенты, подвергая информацию предприятия серьезной опасности. Выявив это, вы сможете начать вести учет нарушений, разработав, соответственно, систему предупреждений и штрафов.

С чего начать обеспечение информационной безопасности? Ключевые угрозы и средства защиты

Наверняка многие мои коллеги, работающие в сфере информационной безопасности, попадали в ситуацию, когда, приходя на новое место работы, понимали, что с точки зрения технологий и бизнеса компания работает вполне успешно, но информационной безопасности никогда не уделялось должного внимания, и сейчас необходимо начать ее грамотное внедрение «без остановки рабочей машины», то есть на ходу, без прерывания бизнес-процессов, обеспечивающих основной доход. Так часто происходит, потому что руководство не всегда осознает, что безопасность критичных процессов необходимо внедрять еще на этапе их разработки, а не тогда, когда «стало понятно, что нужно это защищать». Этот подход будет проблемнее и затратнее, но, пока на горизонте не видно прибыли или существенных рисков ее потери, об информационной безопасности никто не задумывается. В статье я поделюсь опытом обеспечения ИБ компании в подобной ситуации

Первое, что необходимо сделать, – определить направление, в котором будет двигаться ваша защита относительно конкретной организации. Оно зависит от того, чем занимается компания, каковы ее основные информационные активы, критически важные процессы и т.д. Исходя из основных аспектов работы, вы уже должны понимать, на какой из уровней будущей защиты будете делать основной упор. Рекомендую также выстроить грамотные отношения с коллегами из департамента информационных технологий, так как именно они способны помочь вам ознакомиться со всеми бизнес-процессами и информацией, которую будет необходимо защищать.

Основная и главная задача любого отдела информационной безопасности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угрозы с немалой степенью риска их реализации. Я предлагаю всегда разделять угрозы на внутренние и внешние.

Внутренние угрозы

Подавляющее большинство угроз – внутренние. Они возникают из-за отсутствия понимания коллег, имеющих доступ к защищаемой информации, того, в каких случаях ошибка в действиях может повлечь за собой серьезную угрозу. Поэтому в первую очередь я рекомендую позаботиться о внутренних угрозах, если нет возможности разделить обязанности с коллегами на параллельно выполняющиеся, но это уже кадровый вопрос для вашего отдела информационной безопасности.

Инфологическая модель

Чтобы иметь полное и наглядное представление о том, как основные процессы и отделы в организации функционируют между собой, стоит разработать инфологическую модель компании (или несколько для каждого сложного процесса или отдела). Благодаря этому у вас должно сложиться представление, как движется информация в компании, какие системы используются для ее обработки, где она хранится, а также как она попадает в компанию и куда передается вовне. Если добавить к инфологической модели грамотную оценку критичности информационных активов, то вам станет ясно, какие области и процессы являются наиболее критичными. С них и стоит начать поиск уязвимостей.

рис. 1. Инфологическая модель

Нормативные документы информационной безопасности

Нормативные документы информационной безопасности помогут проинформировать ваших коллег об определенных рисках и правилах во время выполнения своих служебных обязанностей. Я бы рекомендовал взять за основу следующий комплекс документов:

• политика информационной безопасности;
• парольная политика;
• политика обработки персональных данных;
• инструкции для пользователей и администраторов ИС;
• инструктаж по информационной безопасности;
• периодические рассылки для сотрудников.

Само собой, этот перечень документов не является исчерпывающим, но если у вас в компании их нет, значит, нормативная база со стороны информационной безопасности проработана не лучшим образом.

Доступ к ресурсам

Хотелось бы заострить внимание на процессе предоставления доступа к различным ресурсам и автоматизированным информационным системам компании. Данный процесс поможет обеспечить грамотное распределение ролей сотрудников и снизит определенные риски наступления инцидентов, связанных с действиями по неосторожности или же незнанием правил работы той или иной системы. Для правильного функционирования этого процесса необходимо подготовить понятный для сотрудников компании регламент.

Режим коммерческой тайны

Установка режима коммерческой тайны в организации – важная часть обеспечения приемлемого уровня защищенности инфраструктуры. В различных рабочих ситуациях, а также и при наступлении инцидентов правового характера наличие режима коммерческой тайны сыграет большую роль в принятии решения об исходе инцидента.

Внешние угрозы

Под внешними угрозами, как правило, понимаются те случаи, когда реализация уязвимости в системе приходит из внешних пределов защищаемого контура. Чтобы таких угроз стало значительно меньше, по крайней мере на сетевом уровне, используются различного рода программные и аппаратные средства.

Как правило, уязвимости для защиты от внешних угроз находятся в ресурсах компании, которые открыты для публичного просмотра. Например, это может быть сайт компании, мобильное приложение или лендинговая страница, в которой клиент может оставить свои контакты. Эти уязвимости формируются на этапе разработки, а также при введении в работу и обновлении данных ресурсов.

Безопасная разработка

Если ваша компания использует такие публичные страницы, как свой основной «магазин», и содержит свой штат разработчиков, которые постоянно выпускают новые программные релизы, стоит подумать о внедрении процесса безопасной разработки. Он предполагает наличие в штате тестировщиков на проникновение (пентест), которые постоянно ищут новые уязвимости на публичных ресурсах компании, а также проверяют и тестируют предрелизные версии продукта на проникновение. Так вы можете обеспечивать безопасность вашего основного онлайн-ресурса еще на этапе разработки, снижая риски наличия критичных уязвимостей при его обновлении на новую версию.

Что касается основных технических средств для обеспечения должного уровня информационной безопасности, вам необходимо определить самостоятельно их набор, так как он зависит непосредственно от организации и направления, которое вы выбрали после изучения ее основных процессов и активов. Но я предлагаю рассмотреть самые основные и часто встречаемые и них:

1. Антивирус. Безусловно, важная часть в любой инфраструктуре, без которой наверняка не обходится ни одна организация. Но, что более важно, следует грамотно настроить политику работы антивируса, а также систему оповещений, чтобы всегда быть в курсе вероятных угроз.
2. Средства контроля доступа к ресурсам. Сотрудники компании должны иметь доступ только к тем ресурсам, которые необходимы им для выполнения своих служебных обязанностей. В противном случае мы имеем повышенный риск вероятной ошибки в малознакомой системе либо же намеренной утечки информации.
3. Файрвол. Также незаменимый инструмент защиты от внешних угроз. Стоит отметить настройки и проанализировать его работу на предмет наличия уязвимостей.
4. Анти-DDoS. Решение необходимо, так как практически все компании так или иначе размещают свои данные на сайтах, приложениях и т.д.
5. Файрвол веб-приложений (WAF). Необходим для компаний, активно продвигающих свои услуги через онлайн-сервисы. Позволяет закрыть большую часть внешних уязвимостей и существенно снизить риски взлома и повысить отказоустойчивость сервиса. Рекомендуется, если у компании нет своего штата разработчиков или ресурсов для введения процесса безопасной разработки, о котором я упоминал выше.
6. Система контроля действий сотрудников (DLP). Система внутреннего контроля за действиями сотрудников компании на автоматизированных рабочих местах. Повышает вероятность предотвращения ошибок/нарушений пользователей, администраторов, руководителей во время работы. Главный инструмент расследований внутренних инцидентов в области информационной безопасности.

5 советов из практики

В заключение хотелось бы дать несколько советов всем работникам сферы информационной безопасности относительно поведения с коллегами во время выполнения ваших рабочих обязанностей.

1. Вас не должны бояться! Это важный фактор, которые многие упускают при работе с коллегами. Правильно выстроенная политика общения с другими сотрудниками поможет вам оставаться в курсе событий в коллективе, заранее предотвращая вероятные нарушения и инциденты безопасности.
2. Грамотно распределяйте обязанности между сотрудниками. Следите за нагрузкой. Если ваш отдел перегружен, это никому не будет на руку. В конечном итоге это приводит к накоплению проблем безопасности, с которыми вы не смогли справиться своевременно, что повышает риск возникновения новых уязвимостей до устранения уже выявленных. Из-за подобной ситуации снижается общий уровень защищенности компании, а также возрастает недовольство среди сотрудников отдела.
3. Доходчиво информируйте руководство. Правильно подобранные слова по отношению к начальству иногда могут сделать гораздо больше, чем целый отдел аналитиков. Старайтесь поднимать вероятные проблемы на совещаниях с руководством заблаговременно, а не в критические моменты. Но самое главное, никогда не скрывайте проблемы и трудности от руководства, так как в результате это приведет только к отрицательным последствиям для всего отдела или компании в целом.
4. Проводите контрольные мероприятия. Дважды в год стоит уделять внимание проверке на отказоустойчивость сервисов, а также проведению восстановления систем из бекапов. Это поможет убедиться в правильности работы процессов восстановления после прерывания в случае возникновения подобного инцидента.
5. Регулярно совершенствуйте свои навыки. Наш мир постоянно развивается, а вместе с ним – и область цифровой преступности. Появляются новые методы обхода информационной защиты, а также разрабатываются новые меры противодействия этим методам. Если год назад вы были уверены в том, что ваша компания полностью защищена, то это уже не так. Проходите повышение квалификации, ходите на конференции, посещайте вебинары и следите за изменениями в законодательстве в области информационной безопасности. Ну и, конечно же, читайте научные статьи и делитесь с коллегами своим бесценным опытом.