Построение культуры безопасности. Защита от внутренних угроз.
С чего начать работу, как внедрить требования и отследить, чтобы сотрудники выполняли правила?
Данные любой организации могут стать целью злоумышленников: персональные данные сотрудников и клиентов, финансовые планы, секретные разработки. Для предотвращения репутационных рисков и финансовых потерь важно создать культуру безопасности в организации.
С чего начать работу, как внедрить требования и отследить, чтобы сотрудники выполняли правила? Рассказывает Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ системного интегратора «Бастион».
Культура безопасности: что такое и как ее построить
Под культурой безопасности мы понимаем совокупность убеждений и восприятий относительно информационной безопасности (ИБ) в компании, которые разделяют все сотрудники. Она является неотъемлемой частью организационной культуры и влияет на подход к построению системы защиты информации.
Культура безопасности едина для всех сотрудников, независимо от должности.
По каким принципам строится эта культура:
- Формирование четких целей и стандартов безопасности для всей компании. Зачем нам культура безопасности? Это международные стандарты или общепринятая российская практика? В некоторых случаях это может быть собственное представление об ИБ, основанное на best practices.
- Культуру безопасности поддерживает руководство. Выделяет бюджет, чтобы построить структуру и отладить процессы, приглашает ИБ-специалистов в штат, покупает лицензии на ПО.
- Организация обучения сотрудников. Проведение вебинаров или обучающего курса основам ИБ для сотрудников.
- Введение механизма сбора обратной связи. Создание системы мотивации для сотрудников и совершенствование практик и процессов безопасности в компании.
Почему может быть сложно построить культуру безопасности
Любой глобальный корпоративный процесс требует времени, финансовых средств и усилий всех участников. Важно обозначить, какие сложности могут возникнуть при формировании культуры безопасности:
Отсутствие интереса у руководства. Это может стать серьезным препятствием для создания успешной культуры ИБ. В таком случае сотрудники также могут не придавать должного значения безопасности и даже саботировать принятие новых правил.
Отсутствие бюджета. Трудности с бюджетом могут привести к тому, что хорошие стратегии и политики останутся на бумаге из-за отсутствия средств на их реализацию.
Дефицит квалифицированных кадров. Важно, чтобы в компании были люди, которые могут эффективно обеспечивать ИБ: даже если у организации есть средства на покупку ПО и оборудования, без наличия квалифицированного специалиста это не принесет должного результата.
Как создать культуру безопасности?
Перед созданием культуры безопасности в компании важно понимать, что информация — это ценность. Одна из ключевых задач культуры безопасности — донести эту мысль до каждого сотрудника организации. Создание культуры безопасности включает в себя разработку нормативной документации и политик ИБ, пересчет активов компании, оценку рисков. Рассмотрим каждый пункт подробнее.
Разрабатываем нормативную документацию
Разработка нормативной документации – первый и ключевой шаг для успешной реализации культуры безопасности в компании. Она состоит из политики ИБ, стандартов, регламентов и инструкций.
Политика информационной безопасности – основной документ, который определяет общие цели, принципы и стратегию в области безопасности информации. Основные задачи политики ИБ – предусмотреть наибольшее число инцидентов и составить план, по которому их можно предотвращать.
Составляйте политику ИБ с учетом специфики организации, сферы деятельности и реальных рисков. В этом документе стоит уделить внимание ответственности каждого сотрудника, регламентам, по которым они будут получать доступ к информации и обрабатывать ее. К примеру: как и где должны храниться документы с доступами к аккаунтам клиентов, как необходимо вводить информацию о новых проектах, как сотрудники будут получать доступ к рабочим папкам и так далее. Один из ключевых пунктов – минимизировать последствия от возможного инцидента или как действовать в случае его возникновения.
Стандарты и регламенты конкретизируют требования политики ИБ, определяют процедуры и правила, которые должны соблюдаться на практике. В инструкции можно добавить мануалы по работе конкретных инструментов, с помощью которых в компании обрабатывают и хранят конфиденциальные данные. Также в инструкции стоит добавить порядок действий, когда случилась утечка и надо быстро предпринимать конкретные действия.
Политики и процедуры по защите данных компании должны быть разработаны в соответствии с категорией данных, с которыми работает организация. Информация, защита которой регулируется на уровне федеральных законов, требует особого внимания и соответствующих мер безопасности.
Например, для защиты персональных данных необходимо разработать политики, положения и приказы, соблюдение которых обязательно для компании. Для защиты коммерческой тайны принят Федеральный закон № 98-ФЗ «О коммерческой тайне», который определяет основные принципы и требования к ее защите.
Важно учитывать, что способы защиты информации могут различаться даже для схожих данных в разных организациях. На стыке требований конкретных компаний и требований законодательства вырастают уникальные политики ИБ.
Инвентаризация активов компании
Далее важно выделить защищаемые информационные активы организации, отвечая на вопросы:
- Какую информацию мы планируем защитить?
- Какое оборудование потенциально могут взломать злоумышленники?
- Каким данным необходимы дополнительные требования к безопасности?
Оцениваем риски
Оценка рисков позволяет увидеть потенциальные угрозы и уязвимости, которые могут повлиять на безопасность информации. После оценки строится модель управления рисками. Она включает:
- Исключение риска, т.е. возможность убрать сам объект или угрозу (выключить сервер или отключить его от сети).
- Принятие риска. Готовность к негативным последствиям от реализации риска;
- Снижение риска;
- Страхование, т.е. перекладывание ответственности за риск на страховую компанию.
Чтобы построить рабочую модель управления рисками, необходимо создать модели самих угроз и нарушителей. Так сотрудники поймут, что может пойти не так, и как от этого защититься. Самый простой пример – документ со скриншотами писем от злоумышленников под именем руководителя, которые пытаются получить доступ к конфиденциальной информации от ничего не подозревающего сотрудника. Это позволяет определить необходимые меры защиты и требования к ИБ, которые должны быть отражены в регламентах и инструкциях.
Культура безопасности направлена в том числе на защиту от внутренних угроз. Далее рассмотрим, что такое внутренние угрозы и чем они могут быть опасны.
Внутренние угрозы безопасности
Иногда злоумышленник прячется внутри самой организации. Инсайдерские действия в целях шпионажа или саботажа могут принимать различные формы и представлять угрозу для компании. Вот несколько примеров таких действий:
Похищение информации. Сотрудник, имеющий доступ к конфиденциальным данным компании, может скопировать или передать эту информацию третьим лицам в обмен на вознаграждение. Например, продажа технических ноу-хау или планов компании конкурентам может причинить серьезный финансовый и репутационный ущерб.
Уничтожение данных. Инсайдер может намеренно уничтожить данные компании. Например, удалить критически важные файлы или базы данных, остановить работу бизнес-процессов и привести к потере доходов.
Манипуляция данными. Сотрудник может изменять данные в системе компании, чтобы искажать финансовую отчетность или подделывать информацию о клиентах. Это может привести к юридическим проблемам, потере репутации и финансовым убыткам.
Несанкционированный доступ. Инсайдер может использовать свои привилегии доступа к системам компании для получения закрытой информации. Например, просматривать личные данные клиентов или конфиденциальные документы.
Социотехнические угрозы безопасности
Практика показывает, что большинство утечек случается из-за человеческого фактора или инсайдеров. Рассмотрим подробнее вид угроз, связанный с социотехническими атаками:
Утечка учетных данных. В результате фишинг-атаки злоумышленники получают доступ к логинам, паролям или другим учетным данным сотрудников компании, а через них – к системам и данным компании.
Инфицирование инфраструктур. В случае успешной атаки злоумышленники могут распространить вредоносное ПО – вирусы, трояны или шифровальщики. Одна часть данных и сервисов может быть заблокирована, другая – попасть к злоумышленникам.
Непреднамеренные действия сотрудников могут также представлять серьезную угрозу для безопасности информации в компании. Некоторые примеры таких угроз:
Утечка конфиденциальной информации. Сотрудник может случайно отправить конфиденциальные данные на неправильный адрес электронной почты или незаинтересованным лицам.
Инфицирование систем. Использование несанкционированных устройств, подключение флеш-накопителей или загрузка нежелательного программного обеспечения на рабочий компьютер может привести к инфицированию систем вредоносным ПО.
Нарушение правил безопасности. Неправильное обращение с данными, отключение безопасных настроек или неправильная конфигурация систем могут создать уязвимости и угрозу для безопасности информации.
Что делать, пока культура безопасности не построена? Меры и рекомендации по защите
В случае, если в компании нет сформированной культуры безопасности, важно соблюдать базовые правила и меры для защиты информации:
1) Security Awareness. Важно на постоянной основе повышать осведомленность сотрудников по вопросам ИБ: проводить лекции, вебинары и тестирование на знание основ информационной безопасности.
2) Регулярно создавать резервные копии. Это защитит от случайного удаления информации, несогласованного изменения и от похищения.
3) Внедрять системы DCAP и DLP для мониторинга потоков информации и управления периферийными устройствами. В этом случае речь идет о защите от инсайдеров. Компания может использовать только зарегистрированные носители информации, ввести запрет использования каких-либо устройств или подключать только зашифрованные носители информации.
4) Внедрять матрицу доступа к защите информации. Это позволит сократить ущерб от вирусов, так как обычно он распространяется только в рамках инфраструктуры, к которой у пользователя есть доступ.
Чтобы построить зрелую культуру безопасности в компании важно, чтобы каждый сотрудник осознавал свою ответственность за соблюдение мер ИБ. Обучение, мотивация сотрудников и осведомленность руководства играют ключевую роль в формировании такого понимания.
Финансовые потери, утрата доверия, репутационные риски – все это может нанести серьезный ущерб организации. Поэтому важно внедрять механизмы обратной связи, проверять кандидатов на должности, предусматривающие доступ к конфиденциальной информации, внимательно следить за действиями новых сотрудников. Все это – важные составляющие культуры безопасности компании.
Автор Дмитрий Калинин