Построение культуры безопасности. Защита от внутренних угроз

Логотип компании
Построение культуры безопасности. Защита от внутренних угроз
С чего начать работу, как внедрить требования и отследить, чтобы сотрудники выполняли правила?

Данные любой организации могут стать целью злоумышленников: персональные данные сотрудников и клиентов, финансовые планы, секретные разработки. Для предотвращения репутационных рисков и финансовых потерь важно создать культуру безопасности в организации.

С чего начать работу, как внедрить требования и отследить, чтобы сотрудники выполняли правила? Рассказывает Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ системного интегратора «Бастион».

Культура безопасности: что такое и как ее построить

Под культурой безопасности мы понимаем совокупность убеждений и восприятий относительно информационной безопасности (ИБ) в компании, которые разделяют все сотрудники. Она является неотъемлемой частью организационной культуры и влияет на подход к построению системы защиты информации.

Культура безопасности едина для всех сотрудников, независимо от должности. 

По каким принципам строится эта культура: 

  1. Формирование четких целей и стандартов безопасности для всей компании. Зачем нам культура безопасности? Это международные стандарты или общепринятая российская практика? В некоторых случаях это может быть собственное представление об ИБ, основанное на best practices.
  2. Культуру безопасности поддерживает руководство. Выделяет бюджет, чтобы построить структуру и отладить процессы, приглашает ИБ-специалистов в штат, покупает лицензии на ПО. 
  3. Организация обучения сотрудников. Проведение вебинаров или обучающего курса основам ИБ для сотрудников.
  4. Введение механизма сбора обратной связи. Создание системы мотивации для сотрудников и совершенствование практик и процессов безопасности в компании.

Почему может быть сложно построить культуру безопасности

Любой глобальный корпоративный процесс требует времени, финансовых средств и усилий всех участников. Важно обозначить, какие сложности могут возникнуть при формировании культуры безопасности:

Отсутствие интереса у руководства. Это может стать серьезным препятствием для создания успешной культуры ИБ. В таком случае сотрудники также могут не придавать должного значения безопасности и даже саботировать принятие новых правил.

Отсутствие бюджета. Трудности с бюджетом могут привести к тому, что хорошие стратегии и политики останутся на бумаге из-за отсутствия средств на их реализацию.

Дефицит квалифицированных кадров. Важно, чтобы в компании были люди, которые могут эффективно обеспечивать ИБ: даже если у организации есть средства на покупку ПО и оборудования, без наличия квалифицированного специалиста это не принесет должного результата.

Как создать культуру безопасности?

Перед созданием культуры безопасности в компании важно понимать, что информация — это ценность. Одна из ключевых задач культуры безопасности — донести эту мысль до каждого сотрудника организации. Создание культуры безопасности включает в себя разработку нормативной документации и политик ИБ, пересчет активов компании, оценку рисков. Рассмотрим каждый пункт подробнее. 

Разрабатываем нормативную документацию

Разработка нормативной документации – первый и ключевой шаг для успешной реализации культуры безопасности в компании. Она состоит из политики ИБ, стандартов, регламентов и инструкций. 

Политика информационной безопасности – основной документ, который определяет общие цели, принципы и стратегию в области безопасности информации. Основные задачи политики ИБ – предусмотреть наибольшее число инцидентов и составить план, по которому их можно предотвращать.

Составляйте политику ИБ с учетом специфики организации, сферы деятельности и реальных рисков. В этом документе стоит уделить внимание ответственности каждого сотрудника, регламентам, по которым они будут получать доступ к информации и обрабатывать ее. К примеру: как и где должны храниться документы с доступами к аккаунтам клиентов, как необходимо вводить информацию о новых проектах, как сотрудники будут получать доступ к рабочим папкам и так далее. Один из ключевых пунктов – минимизировать последствия от возможного инцидента или как действовать в случае его возникновения. 

Стандарты и регламенты конкретизируют требования политики ИБ, определяют процедуры и правила, которые должны соблюдаться на практике. В инструкции можно добавить мануалы по работе конкретных инструментов, с помощью которых в компании обрабатывают и хранят конфиденциальные данные. Также в инструкции стоит добавить порядок действий, когда случилась утечка и надо быстро предпринимать конкретные действия.

Политики и процедуры по защите данных компании должны быть разработаны в соответствии с категорией данных, с которыми работает организация. Информация, защита которой регулируется на уровне федеральных законов, требует особого внимания и соответствующих мер безопасности.

Например, для защиты персональных данных необходимо разработать политики, положения и приказы, соблюдение которых обязательно для компании. Для защиты коммерческой тайны принят Федеральный закон № 98-ФЗ «О коммерческой тайне», который определяет основные принципы и требования к ее защите.

Важно учитывать, что способы защиты информации могут различаться даже для схожих данных в разных организациях. На стыке требований конкретных компаний и требований законодательства вырастают уникальные политики ИБ.

Читайте также
IT-World рассказывает, что нужно учесть собственнику бизнеса, чтобы его сайт был актуальным долгое время, ранжировался в поисковиках и привлекал клиентов. В этом материале собраны советы с точки зрения бизнеса, разработки и юзабилити. К чему подготовиться, как создать сайт с долгосрочной перспективой и возможностями для масштабирования без полной переделки?

Инвентаризация активов компании

Далее важно выделить защищаемые информационные активы организации, отвечая на вопросы:

  • Какую информацию мы планируем защитить?

  • Какое оборудование потенциально могут взломать злоумышленники?

  • Каким данным необходимы дополнительные требования к безопасности?

Оцениваем риски

Оценка рисков позволяет увидеть потенциальные угрозы и уязвимости, которые могут повлиять на безопасность информации. После оценки строится модель управления рисками. Она включает:

  • Исключение риска, т.е. возможность убрать сам объект или угрозу (выключить сервер или отключить его от сети).
  • Принятие риска. Готовность к негативным последствиям от реализации риска;
  • Снижение риска;
  • Страхование, т.е. перекладывание ответственности за риск на страховую компанию.

Чтобы построить рабочую модель управления рисками, необходимо создать модели самих угроз и нарушителей. Так сотрудники поймут, что может пойти не так, и как от этого защититься. Самый простой пример – документ со скриншотами писем от злоумышленников под именем руководителя, которые пытаются получить доступ к конфиденциальной информации от ничего не подозревающего сотрудника. Это позволяет определить необходимые меры защиты и требования к ИБ, которые должны быть отражены в регламентах и инструкциях.

Культура безопасности направлена в том числе на защиту от внутренних угроз. Далее рассмотрим, что такое внутренние угрозы и чем они могут быть опасны.

Внутренние угрозы безопасности

Иногда злоумышленник прячется внутри самой организации. Инсайдерские действия в целях шпионажа или саботажа могут принимать различные формы и представлять угрозу для компании. Вот несколько примеров таких действий:

Похищение информации. Сотрудник, имеющий доступ к конфиденциальным данным компании, может скопировать или передать эту информацию третьим лицам в обмен на вознаграждение. Например, продажа технических ноу-хау или планов компании конкурентам может причинить серьезный финансовый и репутационный ущерб.

Уничтожение данных. Инсайдер может намеренно уничтожить данные компании. Например, удалить критически важные файлы или базы данных, остановить работу бизнес-процессов и привести к потере доходов.

Манипуляция данными. Сотрудник может изменять данные в системе компании, чтобы искажать финансовую отчетность или подделывать информацию о клиентах. Это может привести к юридическим проблемам, потере репутации и финансовым убыткам.

Несанкционированный доступ. Инсайдер может использовать свои привилегии доступа к системам компании для получения закрытой информации. Например, просматривать личные данные клиентов или конфиденциальные документы.

Социотехнические угрозы безопасности

Практика показывает, что большинство утечек случается из-за человеческого фактора или инсайдеров. Рассмотрим подробнее вид угроз, связанный с социотехническими атаками:

Утечка учетных данных. В результате фишинг-атаки злоумышленники получают доступ к логинам, паролям или другим учетным данным сотрудников компании, а через них – к системам и данным компании.

Инфицирование инфраструктур. В случае успешной атаки злоумышленники могут распространить вредоносное ПО – вирусы, трояны или шифровальщики. Одна часть данных и сервисов может быть заблокирована, другая – попасть к злоумышленникам. 

Непреднамеренные действия сотрудников могут также представлять серьезную угрозу для безопасности информации в компании. Некоторые примеры таких угроз: 

Утечка конфиденциальной информации. Сотрудник может случайно отправить конфиденциальные данные на неправильный адрес электронной почты или незаинтересованным лицам.

Инфицирование систем. Использование несанкционированных устройств, подключение флеш-накопителей или загрузка нежелательного программного обеспечения на рабочий компьютер может привести к инфицированию систем вредоносным ПО.

Нарушение правил безопасности. Неправильное обращение с данными, отключение безопасных настроек или неправильная конфигурация систем могут создать уязвимости и угрозу для безопасности информации.

Читайте также
Правила формирования промптов немного отличаются от одной нейросети к другой, в том числе в зависимости от их специализации, например на определенных типах контента, однако имеют множество общих черт. О них и поговорим сегодня, приблизившись на пару шагов к идеальному промпту

Что делать, пока культура безопасности не построена? Меры и рекомендации по защите

В случае, если в компании нет сформированной культуры безопасности, важно соблюдать базовые правила и меры для защиты информации:

1) Security Awareness. Важно на постоянной основе повышать осведомленность сотрудников по вопросам ИБ: проводить лекции, вебинары и тестирование на знание основ информационной безопасности.

2) Регулярно создавать резервные копии. Это защитит от случайного удаления информации, несогласованного изменения и от похищения.  

3) Внедрять системы DCAP и DLP для мониторинга потоков информации и управления периферийными устройствами.  В этом случае речь идет о защите от инсайдеров. Компания может использовать только зарегистрированные носители информации, ввести запрет использования каких-либо устройств или подключать только зашифрованные носители информации.

4) Внедрять матрицу доступа к защите информации. Это позволит сократить ущерб от вирусов, так как обычно он распространяется только в рамках инфраструктуры, к которой у пользователя есть доступ.   

Чтобы построить зрелую культуру безопасности в компании важно, чтобы каждый сотрудник осознавал свою ответственность за соблюдение мер ИБ. Обучение, мотивация сотрудников и осведомленность руководства играют ключевую роль в формировании такого понимания.

Финансовые потери, утрата доверия, репутационные риски – все это может нанести серьезный ущерб организации. Поэтому важно внедрять механизмы обратной связи, проверять кандидатов на должности, предусматривающие доступ к конфиденциальной информации, внимательно следить за действиями новых сотрудников. Все это – важные составляющие культуры безопасности компании. 

Опубликовано 11.05.2024

Похожие статьи