Правила безопасности для информационной системы

Логотип компании
Правила безопасности для информационной системы
Когда речь заходит об информационной безопасности необходимо помнить о том, что важна каждая деталь, и нельзя делить правила ИБ на важные и не важные.

Информация – это оружие, благополучие и власть, поэтому сегодня как никогда важно уметь обеспечить ее сохранность и безопасность. Особенно, если дело касается конфиденциальных данных компании, её сотрудников и клиентов.

Когда речь заходит об информационной безопасности необходимо помнить о том, что важна каждая деталь, и нельзя делить правила ИБ на важные и не важные. Несомненно, все зависит от критичности ресурсов, которые требуется защищать, от используемых технологий и зрелости ИБ-процессов в компании. И только оценивая все факты в совокупности можно сказать, будут ли предпринимаемые меры эффективными или нет.

  • Важными группами мер кибербезопасности для любой информационной системы общепринято считать:

  • Разграничение прав доступа; как и любая система, внутренняя защита предприятия должна иметь иерархическую структуру. Младшие сотрудники не должны иметь доступ к важным финансовым и аналитическим данным. Требуется время и полная проверка сотрудника для открытия соответствующего уровня прав.

  • Защита от несанкционированного доступа, сюда можно включить и контроль целостности, и ошибки реализации кода приложения, и прочие методы, которыми могут воспользоваться злоумышленники для реализации атаки;

  • Ведение журналов событий и действий пользователя могут понадобиться для расследования атак киберпреступников, а в будущем помогут избежать подобных попыток;

  • Управление правами и полномочиями: контроль прав доступа позволит минимизировать возможные потери за счет сокращения рисков, связанных с нарушением порядка управления учетными записями;

  • Антивирусная защита: необходим целый комплекс антивирусных программ, чья функциональность базируется на одном либо нескольких идентичных антивирусных ядрах, созданных для защиты работы компьютерной системы предприятия от внедрения вирусов.

  • Управление инцидентами ИБ: менеджмент инцидентов ИБ относится к управлению аккаунтами, что связано с процессом сбора, обработки и анализа данных о работе организации, их сравнения с исходными и плановыми показателями, с целью своевременного выявления проблем, вскрытия резервов для более полного использования имеющегося потенциала.

Остальные группы правил усиливают данный набор и расширяют его для достижения более надежного результата. Стоит ли говорить, насколько важно уделять внимание системе защиты?

Хотим поделиться реальными случаями, когда пренебрежение основными правилами ИБ приводили к значительным финансовым потерям организации.

Случай первый

Компания с крупной филиальной сетью приняла решение перевести сотрудников всех филиалов на мобильные устройства в зале приема посетителей. Для этого были установлены точки Wi-Fi доступа, предназначенные для подключения этих устройств к корпоративной сети. При реализации такого решения не были оценены риски ИБ в части оценки активов и информационных систем. Реализация механизмов защиты мобильных устройств была организована централизовано с использованием MDM-решения, при этом процесс развертывание и настройка точек Wi-Fi доступа был отдан администраторам на места. В результате в некоторых филиалах начала поступать информация о списании бонусных баллов со счетов клиентов. Как выяснилось позже, администраторы в данных филиалах устанавливали Wi-Fi точки доступа и не меняли заводские настройки, сохраняя логин и пароль доступа по умолчанию. Более того, часть Wi-Fi точек доступа были размещены так, что подключиться к ним можно было из жилых квартир рядом стоящих домов. Говорить о сегментировании внутри сети и стойких ко взлому паролях также не приходилось. Как итог, злоумышленники получили доступ к приложению учета и списания бонусных баллов клиентов. В результате действий злоумышленников компания получила репутационный и значительный финансовый ущерб.

Случай второй

Компания решила внедрить для своих клиентов систему лояльности. Была закуплена и развернута специализированная система учета. Технически все было реализовано качественно, интеграция с существующими системами прошла хорошо, и систему запустили в бой. Но остался неизученным вопрос мошеннического поведения пользователей с использованием нового механизма поощрения. Это упущение допустили как маркетологи и юристы компании, так и те, кто реализовывал техническую часть данного проекта. За первый месяц работы этой системы компания понесла финансовый ущерб от действий мошенников в размере, достаточно ощутимом для ее бюджета. После этой ситуации руководством компании было принято решение о разработке и внедрении системы противодействия мошенничеству. В дальнейшем это помогло сохранить маркетинговые бюджеты компании и выявить нелояльные группы пользователей.

Из этого можно сделать вывод, что информационная безопасность в компании должна осуществляться комплексно, по нескольким направлениям, учитывая особенности и сферу деятельности, в которой компания работает. Грамотно и эффективно выстроенная защита информации позволяет компании заслужить авторитет в глазах клиентов, акционеров и конкурентов.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Еще совсем недавно от западных облачных сервисов зависело 30% крупных российских компаний. Их отключение, порой внезапное, должно было поставить рынок перед сложными вызовами. Но оказалось, что российские облака готовы предложить рынку вполне зрелые решения. Это и многое другое обсудили участники круглого стола IT-World «Импортозамещение в облаках».

Опубликовано 27.07.2020

Похожие статьи