Недавно ко мне обратились представители одного предприятия за консультацией по обеспечению сохранности данных и предотвращению их утечки. Поскольку это не совсем моя сфера деятельности, я порекомендовал найти профильную фирму и обратиться за помощью к ним. Но при этом все-таки попытался сформулировать и кратко изложить свои мысли о решении подобной задачи, чтобы заказчики знали, на что следует обращать внимание, когда речь идет о защите данных. Эти мысли и рекомендации приведены ниже.
Основные вопросы, на которые нужно ответить при планировании мер по защите информации:
- Что защищаем?
- От чего (от кого) защищаем?
- Каким образом защищаем?
- Что защищаем?
Поскольку речь идет о защите информации, то учитываем следующие моменты.
Информация может храниться и обрабатываться:
- в материальном виде (бумажные документы, фотографии, образцы продукции и т.п.);
- в электронном виде (данные на жестких дисках, в облаке, на флешках, в смартфонах и т.д.);
- в нематериальном виде (знания и навыки персонала).
Информация также может быть предметной (непосредственно данные, документы) и служебной (логины, пароли, протоколы действий и т.п.). Знание служебной информации позволяет получить доступ к предметным данным. Поэтому защищать нужно и то, и другое.
Если вкратце, то в первую очередь нужно определить конкретный перечень охраняемых объектов, их представление (бумажный документ, база данных, ключ к кабинету и т.п.), наличие копий.
- От чего или кого защищаем?
В отношении информации должна соблюдаться:
- доступность – данные должны быть доступны персоналу, допущенному к их использованию;
- конфиденциальность – данные не должны быть доступны посторонним людям;
- целостность – данные должны быть верными и актуальными.
Соответственно, необходимо обеспечивать доступность данных для работы, защищать их от утери или искажения, а также ограничивать доступ к ним посторонних лиц. Как ни странно, защита информации от копирования авторизованным персоналом не относится к классическим направлениям информационной безопасности.
Далее следует проанализировать все возможные сценарии нарушения целостности, доступности и конфиденциальности.
Например, целостность может быть нарушена случайно неверными действиями пользователя, преднамеренно (как авторизованным персоналом, так и другими людьми), вследствие программных или аппаратных сбоев и по другим причинам.
Информация может стать недоступной в результате отказа техники, программного сбоя, случайного или преднамеренного удаления (в том числе вирусами), кражи, порчи в результате стихийного бедствия или иных внешних воздействий.
Несанкционированный доступ к информации может быть получен:
- путем физического доступа к документам;
- путем удаленного доступа к компьютерным данным;
- при краже, подборе, подсматривании, взломе или других способах узнавания пароля;
- при отсутствии пароля или иных средств ограничения доступа;
- путем кражи носителей информации;
- путем передачи информации через лиц, имеющих к ней законный доступ;
- с помощью различных технических средств без непосредственного доступа к данным (наблюдение, фотосъемка, видеозапись, звукозапись, скриншоты, кейлогеры, прослушка линий связи, подключения к сетям передачи данных и т.п.);
- путем доступа к незащищенным копиям (архивы, черновики, устаревшие документы, пересылаемые документы, в том числе и по электронным каналам связи, и др.);
- с применением методов социальной инженерии;
- иными способами.
Другими словами, чтобы строить защиту, надо знать, от чего именно предстоит защищаться.
- Каким образом защищаем?
После получения ответов на первые два вопроса можно начинать планирование мероприятий по защите информации. Что следует при этом учитывать?
- Универсальных средств защиты нет. Например, антивирус не защитит ни от кражи диска, ни от его поломки, ни от пожара, ни от передачи паролей. Для каждого защищаемого объекта и каждой угрозы необходимо разрабатывать свой комплекс защитных мер.
- Стопроцентно надежных средств защиты нет. Тот же антивирус ловит не все вирусы, а уж тем более не восстанавливает информацию после их действий.
- Защита может быть только комплексной. Например, смысла в использовании паролей почти нет, если они записаны на бумажке у монитора, а доступ к компьютеру есть у всех работников. Более-менее надежная защита обеспечивается только при одновременном использовании подходящих технических, программных и административных мер. Например, придется четко регламентировать и разделить обязанности сотрудников, продумать методы ограничения и контроля доступа к рабочим местам, ввести дополнительные меры дисциплинарного воздействия и т.п.
- Для каждой угрозы производится оценка риска с учетом вероятности ее возникновения и потерь при ее реализации. Информация скорее будет повреждена или утеряна вследствие некорректных действий пользователя, отключения питания при отсутствии ИБП или просто из-за отказа диска, чем от падения метеорита. При этом повреждение одной информации может вызвать многодневный простой предприятия и убытки, а повреждение другой — пройти почти без последствий.
- При оценке важно учитывать наличие копий защищаемой информации. С одной стороны, регулярное создание резервных копий – это до сих пор самый надежный, а временами даже единственный способ быстрого и полного восстановления информации в случае утери. С другой стороны, наличие копий требует распространять методы защиты и на них тоже.
- Варианты мер по защите обязательно оцениваются на эффективность. Вряд ли есть смысл оборудовать защищенное помещение с доступом по отпечаткам пальцев для хранения командировочных удостоверений.
- В любом случае следует понимать, что экономического эффекта от разработки и внедрения мер защиты может и не быть. Это как страховка – выгоды нет, но в определенных случаях возможные потери компенсируются.
- Защита информации не должна нарушать или значительно усложнять работу предприятия. В противном случае предпринимаемые меры защиты будут попросту саботироваться. Работника никак не волнует сохранность данных работодателя, а штрафные санкции дисциплинируют не всех.
- Надо понимать, что любое повышение уровня защиты информации требует определенных материальных затрат и выполнения ряда административных действий. Если защищать действительно серьезно (например, как в банке), то для этого потребуется создание собственной службы информационной безопасности. Приобретение и внедрение любых аппаратных и/или программных систем без предварительного всестороннего анализа, без последующей разработки мер и без постоянной их поддержки и корректировки ничего не даст.
Резюме
Я бы рекомендовал начинать заботиться об информационной безопасности с реализации минимально необходимых мер по защите от утери компьютерных данных. Это наиболее просто и наименее затратно, а риски утери информации всегда велики (отказ оборудования, повреждение при отключении электропитания, вирусы, неумышленное повреждение и т.п.).
Меры по ограничению несанкционированного доступа к информации для большинства предприятий также не требуют сверхсложного подхода и больших затрат. Правда, если переусердствовать, то можно столкнуться с усложнением работы, снижением оперативности решения задач, сопротивлением персонала и нарушением функционирования предприятия в целом. На практике это закончится игнорированием или отменой установленных протоколов безопасности.
Что касается защиты от доступа извне в локальную сеть, то эта задача также не слишком сложна. К тому же для большинства предприятий риск утечки информации по вине собственного персонала намного выше, чем риск кражи данных хакерами. Так что помним про “неуловимого Джо”, но одновременно не забываем о брандмауэрах и антивирусах.
А вот работа по защите от утечки информации, наверное, наиболее сложная и ресурсоемкая часть обеспечения информационной безопасности. Так что для ее выполнения желательно найти и пригласить специалиста по информационной безопасности для консультации, а при наличии желания и средств – заказать аудит предприятия для выработки действенных мер по защите данных.
Еще раз напомню, что я не являюсь специалистом по информационной безопасности, и в этой статье излагаю свой субъективный взгляд на обеспечение безопасности данных в небольших организациях, не работающих с секретной информацией. Буду рад прочесть комментарии и замечания.