Обеспечение безопасности данных на предприятии представляет собой целый комплекс поэтапных мер по их защите. Определенное средство защиты направлено на отражение конкретной атаки на систему. Однако каждое средство имеет как сильные, так и слабые стороны. Только их комбинация позволит противостоять максимально обширному спектру угроз.

Защита информации включает в себя анализ и выбор политики безопасности, применение технических и программных средств защиты, а также разработку и внедрение организационных мер.

1. Политика информационной безопасности

Все сотрудники, включая временных, работающих по совместительству, а также поставщики, подрядчики и бизнес-партнеры, которые имеют доступ к данным компании, информируются о степени критичности данных и об обязательствах относительно их защиты. Политика информационной безопасности разрабатывается, публикуется и распространяется среди всех пользователей информационной системы организации.

Положение по защите конфиденциальной информации и соответствующие инструкции определяют правила и критерии присвоения информации определенной категории в соответствии с уровнем ее конфиденциальности. Данные документы предусматривают правила по маркировке конфиденциальных данных, обращению с ними, в частности хранению, использованию и передаче как внутри компании, так и третьей стороне. Внутренние нормативные документы регламентируют работу пользователей в корпоративной сети, правила выбора, использования и хранения паролей, работу в сети Интернет, определяют меры защиты от компьютерных вирусов и многое другое.

2. Построение защищенной сети

Зачастую малозначимые на первый взгляд каналы связи с внешней средой открывают злоумышленникам доступ к важным системам организации. Ключевой составляющей гарантии защищенной сети является межсетевой экран, управляющий входом в сеть и выходом из нее.

Межсетевой экран, также называемый сетевым экраном, брандмауэром или файрволлом – это комплекс аппаратных или программных средств, контролирующий и фильтрующий проходящий через него сетевой трафик. Он проводит анализ трафика, блокирует соединения, которые не удовлетворяют критериям безопасности, управляет авторизованным доступом к сети.

3. Защита данных

При передаче критичных данных через общедоступные сети во избежание их перехвата злоумышленниками защита обеспечивается за счет использования стойких криптографических алгоритмов и протоколов.

При использовании беспроводных сетей для обеспечения стойкого шифрования при аутентификации и передаче данных используются передовые практические методы. Обновляются устройства беспроводной связи, а вместо устройств, не поддерживающих более современные технологии шифрования, приобретается новое оборудование.

Однако следует помнить о том, что даже рекомендуемые экспертами в области безопасности протоколы шифрования не являются полным гарантом защиты и имеют определенные уязвимости, связанные, например, с устаревшей технологией шифрования.

4. Выявление и управление уязвимостями

Для предотвращения атак с использованием вредоносного ПО, бессознательно загруженного из интернета или попавшего при использовании съемных носителей информации, используется и регулярно обновляется антивирусное программное обеспечение. Прорабатывается процедура, в соответствии с которой обнаруживаются и исследуются появившиеся уязвимости системы, обновляются стандарты конфигурации и ее процессы. Создается список новых уязвимостей, который позволяет проследить за тенденциями в развитии вредоносных программ, поражающих операционные системы. Проводится регулярная проверка использования антивирусной защиты. В частности данные механизмы поддерживаются в актуальном и постоянно включенном состоянии, ведётся протоколирование событий, позволяющие контролировать вирусную активность и реакцию антивируса.

Изменения в конфигурации, а также все обновления безопасности перед внедрением тестируются. Проверяются входные данные с целью исключения XSS, инъекций, исполнения вредоносного файла и других угроз. Предусматривается проверка корректности разграничения доступа к данным и использование криптографического хранилища для конфиденциальной информации.

Программный код приложений исследуется на наличие потенциальных уязвимостей, используемых для реализации таких типов атак, как XSS, SQL-инъекций, CSRF и т.д. Приложения проверяются на наличие уязвимостей с применением ручных или автоматизированных инструментов оценки или иных методов анализа и сканирования на уровне приложений не реже одного раза в год и после внесений каких-либо изменений. Устанавливается межсетевой экран с целью предотвращения атак на уровне приложений путем фильтрации и блокировки проходящего через него трафика.

5. Контроль доступа

5.1 Ограничение доступа в соответствии со служебной необходимостью

Предусматривается ограничение доступа к вычислительным ресурсам и данным в соответствии с разработанной политикой и процедурами контроля доступа. Они базируются на «принципе необходимого знания» согласно должностным обязанностям сотрудников и на использовании управления доступом на основе ролей (RBAC) или управления доступом на основе атрибутов (ABAC).

Каждому лицу, обладающему правом доступа к информации компании, назначается уникальный идентификатор. Такой способ позволяет отслеживать все действия с критичными данными и системами и идентифицировать лиц их осуществляющих. Для защиты уникального ID пользователя от компрометации в сочетании с уникальными идентификаторами в качестве механизма аутентификации пользователей, как правило, применяется пароль или многофакторная аутентификация.

Многофакторная аутентификация используется многими компаниями с высокими требованиями к информационной безопасности, в частности финансовыми организациями. Она представляет собой дополнительный слой безопасности с применением аутентификационных признаков разных типов.

В случае использования средств удаленного доступа с высокой степенью риска может использоваться механизм двухфакторной аутентификации с применением соответствующих технологий, например, TACACS и RADIUS с ключами, VPN (SSL/TLS или IPsec) с индивидуальными сертификатами и т.д. Осуществляется контроль над изменением объектов идентификации, их добавлением и удалением, над выполнением процедур аутентификации и управления паролями учетных записей сотрудников и администраторов.

Устанавливается первоначальный пароль и предусматривается его незамедлительное изменение при первом входе пользователя. Перед сменой пароля пользователь проходит проверку подлинности удаленным способом, например, с помощью веб-приложения, по телефону, электронной почте и т.д.

Выполняются процедуры незамедлительного отзыва доступа пользователя при его увольнении во избежание незаконного использования старых или неактивных учетных записей. Для осуществления немедленной блокировки учетной записи пользователя организуется совместный с отделом кадров процесс по своевременному уведомлению об увольнении того или иного сотрудника.

Устанавливается контроль над удаленными учетными записями, используемыми поставщиками. Данные учетные записи, предусмотренные для удаленной поддержки и обслуживая системных компонентов, активизируются исключительно на время выполнения работ удаленным персоналом.

5.2 Ограничение физического доступа к данным

С целью отслеживания и ограничения физического доступа к любым помещениям, в которых расположены системы, хранящие, обрабатывающие или передающие конфиденциальные данные, используются средства контроля физического доступа. Они позволяют избежать проникновения посторонних лиц в здание, получения доступа к критичной информации, внедрения уязвимостей, нанесения вреда оборудованию или его кражи.

Предусматривается ограничение доступа к сетевым разъемам, беспроводным точкам доступа, шлюзам и портативным устройствам. С целью предотвращения подсоединения злоумышленниками к существующей сети и получения доступа к внутренним ресурсам с помощью сетевых разъемов, предусматривается их отключение в случае неиспользования и активация только при необходимости. Помимо этого, в местах, к которым допускаются посетители и поставщики, устанавливаются закрытые сети.

После длительного перерыва в работе беспроводных портативных устройств включается автоматическая блокировка и запрашивается пароль при их включении. Беспроводные точки доступа и шлюзы локализируются в защищенных местах хранения информации с использованием стойких криптографических алгоритмов.

На входе в офисные помещения, в вычислительные центры и дата-центры, в которых передаются и хранятся конфиденциальные данные, ведется журнал регистрации посетителей. Допуск к пропускной системе строго ограничен. Предусматривается контроль над процессом выдачи пропусков персоналу и посетителям, предоставления новых пропусков, отзыва пропуска уволенных сотрудников или посетительских пропусков на выходе. Носители информации, содержащие конфиденциальную информацию, подлежат классификации и соответствующей маркировке перед их выносом за пределы компании. Вынос носителя за пределы компании предварительно согласовывается с руководителем и регистрируется. Пересылка таких носителей осуществляется только доверенной службой доставки, дающей гарантию сохранности груза, и система отслеживания которой позволит проверить статус доставки.

Проводится регулярная инвентаризация носителей информации, содержащих конфиденциальные данные, осуществляется строгий контроль их хранения и управления доступом к ним. В виду того, что факт потери или похищения носителей может быть не установлен в течение длительного времени, журналы инвентаризации всегда поддерживаются в актуальном состоянии.

6. Мониторинг

Процесс мониторинга включает в себя систему контроля допуска к компонентам системы, включая допуск с административными полномочиями. Все события с компонентами системы, выполняемые сотрудниками компании, фиксируются в журнале протоколирования событий, который впоследствии может послужить основой анализа при расследовании инцидентов.

Устанавливается строгий контроль над ведением журналов протоколирования событий, их защитой от изменений. Доступ к ним предоставляется в соответствии с должностными обязанностями. Резервные копии журналов протоколирования событий хранятся на централизованном сервере или отдельном носителе.

Регулярно просматриваются программные или аппаратные системы, автоматизирующие просмотр событий в компьютерной системе или сети и анализирующие их с точки зрения безопасности, серверы, осуществляющие аутентификацию, авторизацию и учет. Кроме того, применяются средства сбора и анализа журналов регистрации событий, а также средства оповещения.

7. Тестирование сети

Выполняется регулярное тестирование систем, процессов и программного обеспечения на наличие уязвимостей с целью поддержания их защищенности на должном уровне.

Регулярно проверяются беспроводные точки доступа с использованием различных методов. Проводится сканирование беспроводной сети, физическое обследование системных компонентов и сетевой инфраструктуры, внедряется автоматизированный контроль (например, IDS/IPS, NAC) и т.д.

Процесс тестирования сети также включает в себя проведение внешнего и внутреннего сканирования сети на наличие уязвимостей в установленные сроки, а также после внесения изменений, таких как установка новых системных компонентов и их обновление, изменение политик межсетевых экранов, топологии сети и т.д. После устранения обнаруженных уязвимостей проводится повторное сканирование.

Выявленные в ходе сканирования уязвимости используются при проведении внешнего и внутреннего теста на проникновение на сетевом уровне и на уровне приложений. Данный неавтоматизированный тест проводится в установленные сроки и в случае внесений изменений или обновления инфраструктуры и приложений.

Контролировать сетевой трафик, оповещать персонал о попытках проникновения и предотвращать их позволяют системы обнаружения вторжений, а также системы предотвращения вторжений. Данные инструменты в режиме реального времени сравнивают входящий трафик с имеющимися сигнатурами опасных объектов. Они поддерживаются и обновляются в соответствии с рекомендациями производителя для обеспечения оптимальной защиты.

8. Разведка угроз и анализ рисков

Немаловажным фактором обнаружения основных уязвимостей системы безопасности, а также определения векторов возможной атаки злоумышленников является разведка угроз и анализ рисков. Данный процесс включает в себя исследование последних информационных инцидентов, анализ способов проникновения, определение мотивов злоумышленников и др. Он позволяет обнаружить слабые места периметра безопасности и выявить неавторизированные действия на начальной стадии.

На финальном этапе разведки угроз продумывается четкий алгоритм действий на случай возникновения рисковой ситуации. План реагирования на инциденты включает в себя роли и обязанности персонала, схемы оповещения, процедуры реагирования в случае компрометации и процедуры восстановления. Таким образом, своевременное обнаружение угрозы безопасности достигается построением многочисленных своего рода защитных барьеров, способных не только концентрировать ресурсы для укрепления защиты в уязвимых местах, но и на раннем этапе отразить угрозу. Суммируя вышесказанное, задача любой организации, независимо от сферы деятельности и размера, заключается в выстраивании комплексной многослойной информационной защиты, позволяющей отразить атаку любой сложности.

Комментарии