Принципы защиты информации в интересах организации

Information
[-]

Защита корпоративной информации – дело, безусловно, благое и даже, более того, совершенно необходимое в современных условиях ведения бизнеса. И, тем не менее, не стоит чрезмерно увлекаться безопасностью, потому что главное в бизнесе – это именно сам бизнес. Как сделать так, чтобы обеспечение информационной безопасности не стало проблемой для непрерывности бизнес-процессов? На этот вопрос и постарается ответить данная статья.

Определение приоритетов

Прежде чем говорить о каких-либо практических аспектах разработки мер обеспечения информационной безопасности, не мешающих непрерывности бизнеса, необходимо определиться с тем, что из этого для вашей организации является более весомым. Ведь именно исходя из выбранных приоритетов и должна строиться система безопасности организации.

В ряде случаев, безусловно, приоритетом является именно защита конфиденциальной информации, которая не должна попасть за пределы организации ни при каком раскладе. Какого рода информация должна охраняться подобным образом, зависит уже от специфики деятельности самой организации. Для компаний, вкладывающих деньги в инновационные решения, подобным образом имеет смысл защищать ещё не прошедшие патентную экспертизу технологии и изобретения; для большинства других компаний сюда входят данные по намечающимся крупным сделкам и прочие подобные вещи. Впрочем, доступ к подобной стратегически важной информации в норме имеет ограниченный круг лиц, включающий в себя, в основном, топ-менеджмент организации. Для всей остальной информации могут быть использованы менее строгие защитные меры, поскольку в данном случае приоритетом становится уже не недопущение утечек, а непрерывность бизнес-процессов. Таким образом, можно сформулировать первый принцип обеспечения защиты информации в интересах организации: степень защиты должна соответствовать степени критичности данной информации для дальнейшего существования и развития компании.

Каким образом можно определить степень важности конкретного вида информации? К сожалению, отработанных сценариев и процедур в настоящее время не существует, ведь для каждой организации существует своя специфика. Лучшие результаты, пожалуй, может дать достаточно простой мысленный эксперимент: попробуйте себе представить, что тот или иной документ оказался в руках у злоумышленников, или у конкурентов вашей компании, или был просто опубликован в интернете. Насколько серьезными будут последствия – настолько и важен этот документ (и, с большой долей вероятности, все подобные ему документы) для вашей компании. Если же никаких долгосрочных последствий подобного сценария развития событий вы себе представить не можете, то вряд ли имеет смысл тратить деньги на защиту этого документа.

Две стратегии борьбы с утечками информации

Говоря об информационной безопасности, в наши дни специалисты чаще всего имеют в виду борьбу с утечками информации. Хотя, безусловно, термин «информационная безопасность» куда более ёмкий, и включает в себя множество других аспектов, нельзя не признать, что именно борьба с утечками информации – самый трудоемкий из них. Средства защиты от утечек информации (DLP-системы), нередко в результате разнообразных сбоев или ложных срабатываний становятся причинами блокировки корпоративного трафика, что, по сути, равносильно блокировки работы всей организации. Именно поэтому необходимо учитывать специфику защищаемой информации и бизнес-процессов организации при выборе DLP-системы.

В настоящее время все существующие DLP-системы принято делить на два больших класса: на системы с активным контролем действий пользователя и системы с пассивным контролем. Другое название, которые также можно встретить – это блокирующие DLP-системы и неблокирующие. Последние два термина гораздо лучше отражают суть различий между этими двумя видами систем: первые обладают возможностью блокировать дальнейшее перемещение информации, которая показалась им подозрительной, вторые же этой возможности лишены.

Может показаться, что DLP-системы с пассивным контролем пользователей вовсе не соответствуют высокому званию DLP-систем, поскольку очевидно, что такая система не может в прямом смысле предотвратить утечку конкретного документа. Тем не менее, несмотря на отсутствие такой достаточно важной функциональности, неблокирующие DLP-системы также способствуют борьбе с утечками конфиденциальных данных, только несколько иным образом. Если системы с активным контролем нацелены именно на выявление и последующую блокировку в общем потоке данных всего того, что похоже на конфиденциальные данные, то системы с пассивным контролем предназначены в большей степени для выявления инсайдеров – сотрудников, целенаправленно организующих утечки корпоративной информации.

Очевидно, что каждый из этих классов DLP-систем имеет ряд своих преимуществ и недостатков. Главный недостаток систем с пассивным контролем – невозможность блокировки передаваемой информации – является одновременно и главным преимуществом, как только речь заходит о непрерывности бизнес-процессов. Если блокирующей DLP-системе под силу парализовать работу не только отдельных сотрудников, но и целых подразделений, а в особенно масштабных случаях и всей компании, то неблокирующая система по своей природе никогда не сможет сделать ничего подобного.

Еще одним важным моментом является простота внедрения и эксплуатации систем с пассивным контролем, которая, в конечном итоге, выливается в стоимость этих мероприятий. Системы с активным контролем действий пользователей при своем внедрении нередко требуют перестройки всей корпоративной сети и покупки дорогостоящего серверного оборудования, способного выдерживать нагрузки, предполагаемые эксплуатацией подобной системы. Системы с пассивным контролем, как правило, требует всего один дополнительный сервер, поскольку они работают на «зеркалируемом» трафике. Соответственно, и изменения в корпоративной локальной сети будут минимальными.

Безусловно, каждый из двух типов DLP-систем нужно применять именно там, где будут лучше всего проявляться их преимущества. Блокирующие DLP-системы лучше подходят для защиты тех самых критически важных для организации документов, о которых мы с вами говорили выше. Поскольку в данном случае риск блокировки работы вполне приемлем, то, фактически, здесь нет никакой альтернативы. Если же говорить о каких-то менее значимых бумагах (к примеру, списках клиентов, ведомостях на заработную плату и прочих подобных вещах), то здесь ситуация в корне отлична от описанной выше. Поскольку доступ к подобным документам имеет, как правило, большое количество персонала организации, то и применение здесь блокирующей DLP-системы чревато серьёзными проблемами в случае её срабатывания. В то же время, информация, доступная широкому кругу лиц, вряд ли может являться критически важной, а потому и дополнительные затраты, и дополнительные риски, связанные с применением блокирующих систем, вряд ли являются оправданными.

Таким образом, второй принцип защиты информации в интересах организации будет звучать следующим образом: для защиты критически важной информации должна применяться блокирующая DLP-система, в то время как для защиты остальных данных целесообразнее применить неблокирующую.

Стоит ли применять неблокирующие DLP-системы?

В связи со всем изложенным выше может возникнуть вполне закономерный вопрос: есть ли смысл в защите некритической для компании информации с помощью неблокирующей DLP-системы? Ведь если утечка данной информации не отразится серьёзным образом на благополучии организации в обозримом будущем, то, возможно нет смысла и в тратах на неблокирующую DLP-систему? К сожалению, подобная экономия, кажущаяся разумной и обоснованной, на самом деле таит в себе немалую угрозу для информационной безопасности организации.

Несмотря на то, что сама по себе единичная утечка сравнительно маловажного документа может и не оказать существенного влияния на деятельность организации, непрерывный поток таких утечек, особенно целенаправленных, может серьезным образом отразиться на бизнесе. К примеру, используя методы конкурентной разведки, благодаря мониторингу текущей отчетности сотрудников компании, другая компания, конкурирующая с ней, может узнать много всего интересного о планах руководства по развитию бизнеса и выхода на новые рынке. Применение неблокирующих DLP-систем, сравнительно дешевых в эксплуатации и внедрении, позволяет решить эту проблему, не ставя при этом под угрозу непрерывность бизнес-процессов.

Впрочем, нужно помнить, что помимо мониторинга утекающей из организации конфиденциальной информации, DLP-системы с пассивным контролем действий пользователя решают ещё ряд немаловажных задач, также имеющих отношение к информационной безопасности. Благодаря тому, что неблокирующие DLP-системы перехватывают весь трафик, идущий из организации во внешний мир, его анализ может показать очень важные тенденции. К примеру, можно отслеживать разнообразные кулуарные интриги, направленные, зачастую, против самых ценных сотрудников организации. Также можно отслеживать планы работников по увольнению из организации, которые становятся видны благодаря рассылке резюме, посещения сайтов с предложениями о работе и т.д. Поскольку утечка ценных кадров может оказаться даже важнее утечки информации, трудно переоценить важность DLP-системы с пассивным контролем пользователей, позволяющей бороться с подобными утечками.

Так что третий принцип можно сформулировать следующими словами: экономия на неблокирующей DLP-системе является неразумной и неоправданной.

Защищаться нужно не только от утечек

Поскольку выше речь шла в основном о борьбе с утечками информации, может сложиться впечатление, что никаких других информационных угроз для современных организаций и не существует. Что, впрочем, не соответствует действительности.

Что может повлиять на работу организации и, соответственно, на ход её бизнес-процессов больше, чем спонтанная утрата важных данных? Вероятно, каждый из читателей в своей жизни хоть раз сталкивался с неожиданной потерей важных для работы документов в совершенно неподходящий момент времени. Такая тема, как резервное копирование и рационально организованное хранение важных данных в рамках целой организации, безусловно, достойна отдельной статьи. Однако сейчас хотелось бы напомнить, что, к сожалению, этот вопрос зачастую не рассматривается как затрагивающий информационную безопасность организации, и потому финансирование приобретения систем резервного копирования и хранения данных нередко урезается в пользу приобретения других решений. Включение пункта о резервном копировании в единую корпоративную политику информационной безопасности позволит привлечь внимание сотрудников и руководителей организации к важности этой проблемы.

Безусловно, говоря о непрерывности работы организации необходимо помнить и о защите от внешних угроз: вирусов и другого вредоносного программного обеспечения и атак на корпоративную сеть. Зачастую организации недооценивают опасность вредоносного программного обеспечения, полагая, что максимум на что оно способно ‑ это составить какие-либо незначительные неудобства для работы отдельных сотрудников. К сожалению, реальность часто способно превзойти самые худшие ожидания. Вредоносное ПО способно привести к потере либо порче важной информации, к нарушению работы корпоративных серверов, а в случае «эпидемий» и к простоям целых отделов. Ситуация осложняется тем, что, в отличие от сбоя DLP-системы, которую можно в крайнем случае отключить, то действительно серьезную проблему, связанную с вирусами, редко можно решить в течение даже одного рабочего дня. Стоит иметь в виду, что даже сравнительно безобидные виды вредоносного ПО, не наносящие никакого ущерба данным и операционной системе, несут в себе угрозу бесперебойной работе организации. Дело в том, что «черви», циркулирующие в локальной сети, значительно увеличивают нагрузку на неё, и при неконтролируемом размножении могут даже стать препятствием для передачи действительно полезного трафика. Излишне говорить о том, что подобное развитие событий может отразиться на работе организации самым негативным образом.

Эти рассуждения помогают нам придти к четвертому принципу обеспечения информационной безопасности при непрерывности бизнеса: при борьбе с утечками информации не стоит упускать из вида другие угрозы.

Стоит оговориться, что, хотя этот принцип может показаться очевидным, на практике именно он вызывает наибольшие проблемы у специалистов, занимающихся обеспечением информационной безопасности организации. Вероятно, во многих случаях эта проблема объясняется повышенным интересом администрации компании именно к утечкам информации, средства борьбы с которыми позволяют также контролировать работу сотрудников. Тем не менее, долгом специалистов по информационной безопасности является борьба со всеми угрозами, а не только с теми, которым отдает приоритет руководство организации.

Разграничение прав доступа

Права доступа – это азы информационной безопасности. Тем не менее, совершенно разумные разграничения этих прав в нештатной ситуации способны привести к совершенно неожиданным и при этом достаточно неприятным для работы организации эффектам.

Нормальной ситуацией является доступ к наиболее важным информационным ресурсам только нескольких человек. При этом организация доступа обеспечивается в большинстве случаев методами парольной защиты документов, имеющими в своей основе различные криптографические алгоритмы. При этом в случае утери пароля для его восстановления может потребоваться собрать целую комиссию из нескольких ответственных сотрудников, имеющих доступ к соответствующей конфиденциальной информации. Безусловно, с точки зрения обеспечения информационной безопасности такой подход содержит в себе немало плюсов, однако в случае утери паролей в критические для бизнеса моменты строгое разграничение прав доступа будет играть уже не на руку самой организации.

Сложности с разграничением доступа могут возникать и при необходимости экстренного восстановления защищенной информации, которая оказалась утраченной в результате вирусной атаки или системного сбоя. В большинстве случаев специалист, занимающийся восстановлением важных корпоративных данных, не имеет прав на доступ к ним, в то время как защита с использование штатных средств операционной системы или аппаратного обеспечения может привести к затруднениям в процессе восстановления данных или даже к невозможности их восстановления.

Что же делать в таких случаях? Пожалуй, наиболее удачной идеей будет делегирование специалистам по информационной безопасности полномочий раскрытия паролей в чрезвычайных для компании ситуациях. При этом хранение паролей можно реализовать по принципу «черного ящика», то есть, сами специалисты службы информационной безопасности не будут иметь к ним доступа, предоставляя доступ другим только при возникновении соответствующих обстоятельств.

Таким образом, пятый принцип защиты информации в свете непрерывности бизнеса будет выглядеть следующим образом: система разграничения прав доступа должна предусматривать возможность экстренного восстановления идентификационных данных в критических ситуациях.

Резюме

Несмотря на то, что предложенные вашему вниманию принципы успешного обеспечения информационной безопасности организации с сохранением непрерывности бизнеса могут показаться очень простыми, на практике, к сожалению, ими руководствуется сравнительно небольшое количество организаций. Поскольку следование каждому из этих принципов влечет за собой необходимость дополнительных усилий со стороны специалистов по информационной безопасности, а также ряд дополнительных расходов, на которые в сложных экономических условиях отважится пойти, конечно же, далеко не каждая организация. Тем не менее, конкурентные преимущества организации, сумевшей воплотить на практике единство защиты информации и непрерывности бизнес-процессов, очевидно. Значит, стоит работать над тем, чтобы предложенные выше принципы стали реальностью и в вашей компании.


Infos zum Autor
[-]

Datum: 18.08.2015. Aufrufe: 835

zagluwka
advanced
Absenden
Zur Startseite
Beta