ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

реклама
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
ПРЕДПРИЯТИЯ
ПОНЯТИЕ, АКТУАЛЬНОСТЬ, КОНЦЕПЦИЯ
Бюллетень подготовлен компанией
ISO-Consulting
Все предоставленные материалы являются объектом авторского права
ГОМЕЛЬ 2015
Оглавление
1.Понятие информационной безопасности .........................2
2.Актуальность .........................................................................................3
2.1. Основные понятия и определения ............................3
2.2. Немного статистики ........................................... 4
2.3. Причины, формирующие статистику .................... 6
2.4. От теории к делу .................................................................... 7
3. Концепция ...........................................................................................10
3.1. Основа – системный подход ........................................10
3.2. Преимущества от внедрения СМИБ ..................... 11
Вместо заключения .............................................................................12
1. Понятие информационной безопасности
Информационная безопасность – все аспекты, связанные с определением,
достижением и поддержанием конфиденциальности,
подотчётности,
аутентичности
и
достоверности
информации или средств её обработки.
целостности,
доступности,
Проще говоря, понятие информационной безопасности
можно выразить, как состояние, в котором информация и
информационные системы находятся в безопасности и все их
свойства соответствуют этому состоянию.
Для определения свойств информации при ее защите
обычно используют три основных:

Целостность – состояние информации означающее, что данные не были изменены
при выполнении какой-либо операции над ними, будь то передача, хранение или
отображение.

Доступность

Конфиденциальность – свойство информации при котором доступ к ней ограничен
–
состояние
информации
(ресурсов
автоматизированной
информационной системы), при котором субъекты, имеющие права доступа, могут
реализовывать их беспрепятственно. К правам доступа относятся: право на чтение,
изменение, копирование, уничтожение информации, а также права на изменение,
использование.
заданным кругом субъектов и невозможен для других субъектов вне круга ограничений без
согласия ее владельца.
Именно эти три свойства зачастую подвергаются атакам при нарушении безопасности. Атаки
на целостность подразумевают полное или частичное разрушение информации, уничтожение
пактов данных, с целью создания ситуации, когда использование информации становится
невозможным. Например, уничтожаются или повреждаются вирусами отдельные сетевые пакеты
или фрагменты баз данных, файлов, после чего содержимое трафика, базы данных или файла
невозможно использовать по назначению. Атаки на предотвращение доступа к информации
могут выражаться как DoS-атаки (Deny od Service) направленные на создание ситуации, когда
доступ к информации или ресурсам ее содержащим невозможен в связи с недоступностью или
перегрузкой ресурсов. Атаки направленные на лишение информации конфиденциальности
зачастую связаны с хищением объектов авторских прав, технологий, получения информации
ограниченного распространения или коммерческой тайны.
Существуют и другие свойства информации: подотчетность, аутентичность и достоверность,
но при совершении компьютерных преступлений они гораздо реже подвергаются атакам, хотя с
точки зрения информационной безопасности не менее критичны.
Действия, направленные на защиту свойств информации и являются обеспечением
информационной безопасности.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
2
2. Актуальность
2.1. Основные понятия и определения
Вредоносное ПО – (на жаргоне некоторых специалистов «вирус», англ. malware, malicious
software — «злонамеренное программное обеспечение») — любое программное обеспечение,
предназначенное для получения несанкционированного доступа к вычислительным ресурсам
самой ЭВМ или к информации, хранимой на ЭВМ, с целью
несанкционированного использования ресурсов ЭВМ или
причинения вреда (нанесения ущерба) владельцу
информации, и/или владельцу ЭВМ, и/или владельцу сети
ЭВМ, путем копирования, искажения, удаления или подмены
информации.
Спам – рассылка коммерческой и иной рекламы или
подобных коммерческих видов сообщений лицам, не
выражавшим желания их получать.
Фишинг – вид интернет-мошенничества, целью которого является получение доступа к
конфиденциальным данным пользователей — логинам и паролям. Это достигается путём
проведения массовых рассылок электронных писем от имени популярных брендов, а также
личных сообщений внутри различных сервисов, например, от имени банков или внутри
социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от
настоящего, либо на сайт с перенаправлением.
DoS-атака – хакерская атака на вычислительную систему (обычно совершенная хакерами)
с целью довести её до отказа, то есть создание таких условий, при которых легальные
пользователи системы не могут получить доступ к предоставляемым системным ресурсам
(серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к
овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую
информацию — например, версию, часть программного кода и т. д.).
Количество вредоносного ПО (вирусов, троянов, шпионских программ и т.п.) растет в
равной степени совершенствуются и другие технологии, такие как спам, фишинг, социальная
инженерия. Переходя к цифрам можно отметить, что ежедневно эксперты различных
независимых лабораторий обрабатывают в среднем более 300 тысяч образцов вредоносного ПО.
По данным опроса «Лаборатории Касперского» лишь 4% респондентов назвали сходную цифру,
в то время как 91% ее занизили.
Приведенная статистика говорит о том, что большинство пользователей информационных
технологий, довольно плохо представляют масштабы реальных угроз, а значит и так же халатно
относятся к защите от них и анализу уязвимостей. На сегодняшний день, область преступлений в
сфере информационных технологий становятся рынком, где злоумышленники (хакеры) или даже
целые группы и организации хакеров предлагают свои услуги по «устранению» конкурентов,
добыче информации ограниченного распространения и коммерческой тайны.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
3
2.2. Немного статистики
Инциденты информационной безопасности
Вредоносное ПО
Спам
Фишинговые атаки
Корпоративный шпионаж
Сетевые вторжения
Отказ в обслуживании (DoS, DDoS)
Кража мобильных устройств
Кража крупного оборудования
Таргетированные (целевые) атаки
Преступное вредительство
Ничего из вышеперечисленного
77%
74%
28%
26%
23%
18%
17%
11%
10%
5%
2%
Компании любого размера в любой стране мира регулярно сталкиваются с инцидентами
информационной безопасности. В России этот показатель ежегодно увеличивается и, более того,
приближается к 100%: большинство компаний столкнулись хотя бы с одним инцидентом
информационной безопасности, вызванным внешними или внутренними факторами.
Самой значимой среди внешних угроз (77%) по-прежнему является вредоносное ПО. Лишь
на 3% отстают нежелательные электронные письма (74%), а ведь именно в спаме часто содержатся
вирусы или ссылки на фишинговые сайты. Кстати, фишинговые атаки стали в этом году третьей
по значимости внешней угрозой – с ними столкнулись 28% опрошенных компаний.
Процент предприятий понесших убытки
Вредоносное ПО
46%
Корпоративный шпионаж
19%
Сетевые вторжения
14%
Фишинговые атаки
14%
Кража мобильных устройств
13%
Отказ в обслуживании (DoS, DDoS)
11%
Кража крупного оборудования
9%
Таргетированные (целевые) атаки
5%
Преступное вредительство
4%
Одним из основных последствий успешной кибератаки, вне зависимости от ее типа,
становится потеря атакованной организацией важной информации. Атаки с использованием
вредоносного ПО являются не только самыми распространенными, но и самыми опасными: они
приводили к утечке бизнес-информации в 46% случаев и в 14% случаев компании теряли
информацию из-за фишинговых атак.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
4
Вместе с тем, внешние угрозы – далеко не единственная проблема IT-безопасности, с которой
приходится иметь дело современным компаниям. Не меньший вред способны нанести бизнесу
угрозы внутренние.
Внутренние угрозы информационной безопасности
Уязвимости в ПО
48%
Случайные утечки по вине сотрудников
36%
Намеренные утечки через сотрудников
23%
Утечки из-за ненадлежащего обмена информацией
21%
Потеря мобильных устройств
20%
Мошенничество сотрудников не связанное с IT
19%
Нарушение безопасности на стороне поставщика
12%
Ничего из перечисленного
13%
Ключевыми рисками внутри компаний являются уязвимости в ПО (48%), незнание
сотрудниками правил IT-безопасности, приводящее к случайным утечкам данных (36%), а также
намеренное раскрытие конфиденциальной информации сотрудниками (23%).
Разумеется, все эти типы угроз приводили к потере компаниями секретной информации. В
среднем в результате внутренних инцидентов информационной безопасности лишились
конфиденциальных сведений около 24% организаций.
Процент предприятий потерявших какие-либо данные
Уязвимости в ПО
30%
Случайные утечки по вине сотрудников
27%
Намеренные утечки через сотрудников
20%
Утечки из-за ненадлежащего обмена информацией
16%
Потеря мобильных устройств
15%
Мошенничество сотрудников не связанное с IT
12%
Нарушение безопасности на стороне поставщика
12%
Самыми опасными инцидентами в плане кражи любого типа данных являются уязвимости в
ПО и случайные утечки информации – от них пострадали 30% и 27% компаний соответственно.
Однако намеренные действия сотрудников приводят к более серьезным последствиям: по этой
причине произошло 20% случаев утечек данных, и в 9% случаев инсайдеры похитили критически
важную для бизнеса информацию. Для инцидентов, вызванных другими причинами, показатель
потери критически важных данных гораздо ниже – от 3% до 7%.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
5
2.3. Причины, формирующие статистику
Рассмотрим факторы из которых исходит статистика, приведенная выше, в частности
причины с которыми связано возникновение тех или иных инцидентов в сфере
информационной безопасности.
Причины возникновения инцидентов:
Очевидно, что помимо объективных факторов к возникновению инцидентов в области
информационной безопасности в немалой степени причастны нарушения со стороны, как ITслужб, так и персонала компаний, доля составляет 40%.
Важно понимать, что на устранение последствий различных инцидентов может
потребоваться значительное время – недели и даже месяцы.
Время необходимое для устранения уязвимостей:
По данным исследования Positive Technologies 57% систем, исследованных в 2013 году,
содержали критические ошибки, связанные с использованием устаревших версий ПО,
при этом средний возраст наиболее устаревших неустановленных обновлений составляет 32
месяца. А своеобразный антирекорд – найденная уязвимость 9-летней давности. В ходе опроса
многие участники отмечали сложность своевременного реагирования на инциденты из-за
отсутствия грамотной политики управления уязвимостями.
Подводя итог необходимо отметить, что преступный рынок в сфере информационной
безопасности развивается быстрее, чем область защиты информации на предприятиях.
Основными аспектами, приводящими к такой ситуации, является нехватка
квалифицированных и опытных специалистов по защите информации, а также немалую
роль играет непонимание руководством компаний важности обеспечения
информационной безопасности.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
6
2.4. От теории к делу
Рассмотрим реальные ситуации, возникающие непосредственно у нас в стране, чтобы
перейти от цифр к непосредственным фактам.
По официальным данным только за 2014 год сотрудники Следственного комитета
зафиксировали более 50 преступлений, когда с помощью вирусных программ хакеры
взламывали базу данных бухучета"1С: Бухгалтерия" на белорусских предприятиях. После
они их шифровали, а потом и вынуждали фирмы платить деньги за восстановление
документации. Жертвами преступников стали частные и государственные предприятия. Как
поясняют правоохранители, обычно за такими действиями стоит отдельный программист,
который сначала создает вредоносную программу, а потом продает ее разные версии другим
заинтересованным.
Приведем примеры наиболее ярких компьютерных преступлений в Беларуси, информацию
о которых не трудно найти в сети.

В 2010 году ученик одиннадцатого класса средней школы г. Смолевичи ради развлечения
взломал ряд ПК пользователей, а также информационные системы нескольких
предприятий, среди которых СМУ ОАО «Промтехмонтаж» г. Солигорск, быховский
УКП «Бытуслуги», РУП «Гомельское ПО «Кристалл». Школьник уничтожил архивы
сетевых дисков подразделений, образ операционной системы компьютера сисадмина,
базы данных специализированных программ. На восстановление информации у
работников предприятия ушли недели, убытки от шалости школьника оцениваются
сотнями миллионов рублей.

В мае 2012 года двое жителей Витебска получили несанкционированный доступ к базам
данных РУП «Белтелеком». Злоумышленники изменили пароли и коды доступа
пользователей информационной системы, после чего некоторое время контролировали
их личные счета.

В апреле 2014 года житель Слуцка, работавший системным администратором, имел
доступ к редактированию данных в интернет-магазине, электронным базам данных
предприятия. За нарушение трудового контракта был уволен.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
7
В качестве мести он взломал систему защиты и удалил около 140 тысяч файлов, что
привело к потере части прибыли коммерческого предприятия и большим временным
затратам на восстановление информации.

В июле 2014 года неизвестный хакер взломал сервер электронной почты и получил
доступ к электронным ящикам частной фирмы, написал ее работникам ряд писем от
имени зарубежных деловых партнеров. В своем сообщении он уверял, что банковский
счет, куда нужно перечислять деньги, изменился. Работники фирмы поверили ему и
исправно переводили деньги злоумышленнику. Так ему удалось получить 7000 евро и
6000 долларов США.

Также в 2014 году имел место довольно известный инцидент, хакер взломал сайт
производителя белорусского печенья «Слодыч» и менял названия в графе «Наша
продукция»: вместо печенья «Сдобного» появлялись то «говняшка», то «обсирашка», то
прочие не менее остроумные названия. Инцидент продолжался более недели и обошел
весь белорусский твиттер и социальные сети. Компании был нанесен серьезный
рейтинговый ущерб.

В сентябре 2014 года неизвестными через Интернет были атакованы номера из баз
сотовых операторов. Многие абоненты получили сообщения в которых предлагалось
пройти по определенной ссылке и скачать фотографию. Во многих случаях смс
приходили от людей, чьи имена записаны в телефонной книге. Вместе с фото на
мобильник загружалась вредоносная программа, которая начинала самостоятельно
отправлять сообщения с зараженного телефона. Пострадавшие заявляют об ущербе на
сотни тысяч рублей.

В апреле 2015 года была предпринята очередная, но весьма массированная атака хакреов
на информационную систему РУП «Белтелеком». Долгое время отсуствовала связь с
сайтами, расположенными в ЦОД РУП «Белтелеком». По некоторым данным были
выведены из строя системы хранения данных.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
8

В мае 2015 года сайт Центрального избирательного комитета Беларуси взломали
неизвестные и разместили фотографии с силуэтами людей с оружием на фоне флага
Курдистана.

Также в 2015 году подверглись DoS-атакам многие белорусские сайты, в рейтинге самых
крупных DDOS-атак Беларуси занимает известный портал Tut.by, второе место с уровнем
мощности трафика 8-12 Гбит/с принадлежит атаке на портал Onliner.by DDOS-атаке
предшествовал анонимный звонок с угрозой, но без объяснения причин и целей.
Подвергался атакам и сайт Президента Республики Беларусь, сайты ряда других
организаций в общей сложности более двух десятков.
Приведенные выше примеры ярко иллюстрируют, что в Беларуси, как и за рубежом, сфера
преступлений различна, целенаправленным атакам подвергаются ресурсы организаций в
широком диапазоне. При этом, стоит отметить, что определенная часть преступлений
совершается не с какой-либо конкретной целью, а как акт вандализма или с целью развлечения,
последствия подобного рода действий крайне разрушительны, так как злоумышленник
испытывает, на сколько серьезный ущерб он может нанести.
Различным организациям наносится не только экономический ущерб, связанный с выходом
из строя оборудования, потерями информации, непосредственными финансовыми потерями, но
и репутационный. Предприятие, на котором возникает инцидент, связанный с
информационной безопасностью теряет имидж и, более того, теряет доверие партнеров
и клиентов, так как становится совершенно очевидно, что возникший тот или иной
инцидент является упущением в первую очередь со стороны руководства. Именно поэтому
в современных реалиях информационная безопасность становится крайне актуальным фактором
при ведении бизнеса.
На сегодняшний день, в Республике активно продвигаются со стороны законодательства и
СМИ принципы защиты информации, сделан ряд шагов для упорядочивания сферы
информационных технологий.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
9
3. Концепция
3.1. Основа – системный подход
Решение проблемных вопросов в любых областях требует системного подхода. Системный
подход подразумевает деление деятельности на составляющие – процессы, в рамках которых на
отдельных этапах происходит цикличное функционирование системы.
В качестве концепции функционирования системы наибольшее
распространение получил цикл Шухарта-Деминга (модель PDCA):

Action
Plan
Check
Do
Планирование (Plan) – установление целей и процессов, необходимых для
достижения целей, планирование работ по достижению
целей, планирование выделения и распределения
необходимых ресурсов.


Реализация (Do) – выполнение запланированных работ и мероприятий.
Проверка (Check) – сбор информации и контроль результата на основе
ключевых показателей эффективности, получившегося в
ходе выполнения процесса, выявление и анализ
отклонений, установление причин отклонений.

Действие (Action) – принятие мер по устранению причин отклонений от
запланированного результата, изменения в планировании
и распределении ресурсов.
Для внедрения системного подхода в области защиты информации в Республике Беларусь
принят ряд нормативных правовых актов, а также технических нормативных правовых актов,
однако в центре общего построения системы находится стандарт СТБ ISO 27001.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
10
СТБ ISO/IEC 27001 «Информационные технологии. Методы обеспечения
безопасности.
Системы
менеджмента
информационной
безопасности.
Требования» – республиканский стандарт по информационной безопасности, разработанный
совместно Международной организацией по стандартизации и Международной
электротехнической комиссией. Стандарт является переводом ISO/IEC 27001 содержит
требования в области информационной безопасности для создания, развития и поддержания
Системы менеджмента информационной безопасности (СМИБ).
СТБ ISO/IEC 27001 согласован с ISO 9001 и может использоваться для создания
интегрированной системы менеджмента, которая будет удовлетворять требованиям этих
стандартов.
Положения стандарта описывают такие аспекты, как:

Политика безопасности

Организационные методы обеспечения информационной безопасности

Управление ресурсами

Пользователи информационной системы

Физическая безопасность

Управление коммуникациями и процессами

Контроль доступа

Приобретение, разработка и сопровождение информационных систем

Управление инцидентами информационной безопасности

Управление непрерывностью ведения безнеса

Соответствие требованиям
3.2. Преимущества от внедрения СМИБ
Прежде всего, это "неформальные" преимущества: после проведения аудита,
информационная система компании становится "прозрачнее" для менеджмента. Определяется
степень зрелости информационной системы, выявляются основные угрозы безопасности для
бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня
защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и
управления, как информационными потоками, так и инвестициями в IT и безопасность.
В результате на основании полученных данных для предприятия разрабатывается
комплексный план по созданию системы менеджмента информационной безопасности или
внесения изменений в существующую, как для повышения реального уровня защищенности,
оптимизации расходов, так и для непосредственного соответствия стандарту.
Внедрение ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и
клиентам, что в компании налажено эффективное управление информационной безопасностью.
В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя
способность управлять информационными рисками, при этом также увеличивается
капитализация компании.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
11
Вместо заключения
Хочется отметить, что преимущества системного подхода всегда очевидны. Постановка целей
и планирование позволяют определить приоритетные направления, а значит и расходование
ресурсов и затраты параллельно оптимизируются. На этапе выполнения обычно выясняется ряд
аспектов, которые требуют внимания в дальнейшем, собственно на этапах проверки и
корректировки.
Регулярные внутренние аудиты позволяют оценить эффективность принятых мер и
реализованных ранее запланированных целей. Верификация собственных достижений в любой
области деятельности и в любой компании является полезным инструментом.
Помимо финансовых преимуществ от оптимизации расходов и минимизации потерь,
связанных с инцидентами в области информационной безопасности, СМИБ является «защитой»
как для работников компании, так и в первую очередь для ее руководства. Делегированная и
распределенная ответственность, закрепленная в документированных процедурах, позволяет в
случае возникновения инцидентов четко разграничить и определить лиц, допустивших те или
иные нарушения, а также привлечь их к ответственности.
Для руководителя СМИБ является не только надежным инструментом по управлению
информационными технологиями компании, но и своего рода щитом, ограждающим от ряда
проблемных факторов, возникающих на законодательном уровне.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ – ISO-CONSULTING
12
Скачать