Индикаторы информационной безопасности предприятия - VISTAGRUP.RU

Индикаторы информационной безопасности предприятия

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Как защитить информацию внутри компании: на бумаге или в электронных документах

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Читайте также  Помещение консьержа нормы проектирования

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.

Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

  • О переговорах — п. 4 ст. 434.1 ГК
  • О НИОКР — ст. 771 ГК
  • О договоре подряда — ст. 727 ГК
  • О корпоративном договоре — п. 4 ст. 67.2 ГК

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Конфиденциальная информация: как защитить корпоративные данные

С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Документы материальные и представленные в электронном виде.

Технические средства носителей информации и их обработки.

Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.

Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Запросы из государственных органов.

Проведение переговоров с потенциальными контрагентами.

Посещения территории предприятия.

Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Доступ к компьютерной сети.

Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

Оптимизировать защищаемые информационные потоки.

Определить формы представляемой информации.

Установить виды угроз защищаемой информации и варианты их реализации.

Установить, кому может быть интересна защищаемая информация.

Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

Удаленный доступ к информации.

Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

Настройка программного оборудования (особенно после обновления).

Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

Разграничение доступа к информации.

Дробление информации на части.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

Читайте также  Класс чистоты а и б медицинских помещений

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
  • Владельцам бизнеса;
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

Информационная банковская безопасность и ее необходимость

  • Статьи
    • Банкротство физлиц
    • Банкротство юрлиц
    • Законодательство в области банковской сферы
    • Автокредиты
    • Банковская деятельность
      • Что будет с банковским сектором в ближайшие 5 лет?
      • Банки для людей с ограниченными возможностями
      • Хоум Кредит Банк — планы и перспективы
      • Зима. Экономия банкиров.
      • Создание почтового банка
      • ЦБ беспощаден к «малышам»
      • Направления Банка России
      • Банк Москвы — результаты и перспективы
      • Падение интереса к банковской профессии
      • Перспективные увольнения банка «Возрорждение»
      • Сбербанком проводится процедура капитальной отсрочки
      • Проблемы банков — дело самих банков
      • ЦБ была обнаружена «дыра» в балансе двух организаций
      • ЦБ было дано объяснение по поводу «долгого отзыва» лицензии у банка Связной
      • ЦБ отозвал лицензии у Связного Банка, Нота-Банка, Ипозембанка и банка «Балтика»
      • Как санкции меняют российский банковский бизнес
      • Банки готовы к добровольной сдаче лицензии ЦБ
      • Неликвидная ликвидность
      • Товарищи! Революция, о необходимости которой все время говорил Банк России, совершилась.
      • Экономические новости
      • Экономические новости: ноябрь 2015
      • Каким образом начисляются кредитные проценты?
      • Самые выгодные ставки по вкладам в крупнейших банковских организациях теперь составляют 12,75% годовых в рублях
      • Кто такой кредитный брокер
      • Благонадежность и репутация в бизнесе
      • Как сегодня работают банки
      • Что такое платежеспособность
      • В чем прибыль банков?
      • Конкуренция среди банков
      • Виды инвестиций
      • Виды денег
      • Все о расчетно-кассовом обслуживании
      • Золотовалютные запасы государств
      • Паевые инвестиционные фонды
      • Потребительская корзина
      • Признаки подлинности российских банкнот
      • Покупательная способность населения
      • Экономическая стагнация
      • Почему в Европе низкие процентные ставки?
      • Как банк обрабатывает претензии
      • Бабушки с молотками выбегают
      • Как пользоваться банкоматом
      • Кредитоматы и банкоматы будущего
      • Кто такие банкиры?
      • Самые известные и влиятельные банкиры в истории
      • Профессия — банкир.
      • Как появились деньги и банкиры
      • Банковские гарантии
      • С 1 июня 2015 банковская гарантия стала НЕЗАВИСИМОЙ. Обзор поправок к ФЗ №42-ФЗ
      • Россиянами в первом квартале было потрачено больше заработанного
      • Хоум Кредит Банком сокращена треть сотрудников и введена курьерская кредитная доставка
      • Ситуация финансового рынка стала более предсказуемой
      • Кому и куда жаловаться на банк. Часть I
      • Кому и куда жаловаться на банк. Часть II
      • Что будет с ключевой ставкой по экспертным прогнозам
      • Все о банковской тайне
      • Как проверяют заемщика
      • Информационная банковская безопасность и ее необходимость
      • Цессия как финансовое явление
    • Валюта
    • Виды кредитов
    • Вклады
    • Кредитные должники
    • Залоговое имущество
    • Интернет-банкинг
    • Ипотечные кредиты
    • Кредитные карты
    • Коллекторы
    • Кредитная история
    • Микрозаймы и микрокредиты
    • Мошенничество в сфере кредитования
    • Платежные системы
    • Судебные приставы
    • Страхование
    • Судебная система
    • Антиколлекторы
    • Общие вопросы кредитования
  • Видео
  • В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.

    Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.

    Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.

    Меры, помогающие обеспечить защиту банковской информации

    В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

    То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

    Меры по защите данных такого типа должны осуществляться последовательно:

  • Сперва оценивается и разрабатывается конфиденциальная информация;
  • Оборудуется объект для осуществления защиты.
  • Контролируется эффективность принятых мер.

    Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

    Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

    При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

    Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

  • Контролируется обмен данных, они строго регламентированы.
  • Банковские сотрудники проходят подготовку и соблюдают все требования безопасности
  • Каналы и сервера подвергаются строгому учету
  • Анализируется эффективность.

    В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, — также своевременно уничтожаются остаточные сведения.

    Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

    Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

    Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

    Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

    Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

    Принципы информационной безопасности банка

    Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.

    Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.

    Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.

    Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:

  • Проблемы своевременно устанавливаются и обнаруживаются
  • Можно спрогнозировать развитие
  • Предпринятые меры должны быть актуальными и эффективными.

    Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.

    Угрозы информационной безопасности банка

    Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.

    Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.

    При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.

    Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.

    Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.

    Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.

    Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.

    В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).

    Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.

    Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.

    Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.

    Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

    Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.

    Способы оценки информационной безопасности организации Текст научной статьи по специальности « Экономика и бизнес»

    Аннотация научной статьи по экономике и бизнесу, автор научной работы — Зефиров С. Л., Алексеев В. М.

    Анализируются способы оценки информационной безопасности организации

    Похожие темы научных работ по экономике и бизнесу , автор научной работы — Зефиров С. Л., Алексеев В. М.

    Information security evaluation methods of an organization are analysed.

    Текст научной работы на тему «Способы оценки информационной безопасности организации»

    Способы оценки информационной безопасности организации

    Зефиров С.Л., Алексеев В.М.

    Анализируются способы оценки информационной безопасности организации.

    Ключевые слова: информационная безопасность, оценка.

    Information security evaluation methods of an organization are analysed.

    Key words: information security; evaluation.

    Информационная сфера в настоящее время стала важнейшим фактором для деятельности и бизнеса государственных и негосударственных организаций. Увеличение ценности и значимости информационных активов, глубокое проникновение информационной сферы в деятельность и бизнес организаций приводит к возрастанию значения обеспечения информационной безопасности (ИБ) организаций.

    Информационная сфера представляет собой совокупность информации, информационной инфраструктуры и субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации.

    Проблема ИБ состоит в том, чтобы организация могла использовать информационную сферу на всех этапах своего жизненного цикла для достижения целей бизнеса в условиях существующих угроз. Для решения проблемы необходимо создать систему обеспечения ИБ (СОИБ) организации, обеспечивающую доступность, целостность и конфиденциальность активов информационной сферы. СОИБ представляет собой составную часть информационной сферы организации, предназначенную для обеспечения ИБ активов, включает защитные меры (ЗМ) и процессы управления ИБ.

    С целью поддержки адекватности СОИБ и её совершенствования надо знать состояние защищённости активов в информационной сфере организации, для чего требуется проводить оценку ИБ. Оценка ИБ заключается в выработке оценочного суждения на основе измерения и оценивания элементов (факторов) объекта оценки, связанных с ИБ. Оценочное суждение в зависимости от цели и способа оценки может быть сформировано относительно полноты и правильности процессов обеспечения ИБ, адекватности используемых защитных мер или величины рисков ИБ.

    Важнейшим назначением оценки ИБ является создание информационной потребности для совершенствования ИБ. При этом могут решаться и другие цели проведения оценки ИБ, например:

    — определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;

    — выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;

    — определение зрелости различных процессов обеспечения ИБ.

    Результаты оценки ИБ организации могут также использоваться для сравнения уровня ИБ организаций с одинаковым бизнесом (деятельностью) и сопоставимым масштабом.

    В зависимости от способа формирования критерия для оценки ИБ можно разделить способы оценки ИБ организации [Ошибка! Закладка не определена.] на оценку по эталону, оценку на основе анализа и оценивания рисков ИБ и оценку по экономическим показателям.

    Рассмотрим способы и возможности оценки ИБ по экономическим показателям и по эталону, оставив оценку на основе анализа и оценивания рисков ИБ для отдельного анализа.

    Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ, т.е. предоставляется обоснование стоимости системы обеспечения ИБ для организации. При проведении оценки в качестве критериев эффективности СОИБ используются, например [2], показатели ТСО (Total Cost Of Ownership — совокупная стоимость владения).

    Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.

    Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.

    Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.

    Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.

    Оценка ИБ по эталону в зависимости от установленных в эталоне требований может быть системно-ориентированной и процессно-

    ориентированной. Системно-ориентированная оценка ИБ сводится к сравнению реализованных требований ИБ с помощью защитных мер, применяемых в организации для обеспечения ИБ, с эталонной моделью требований ИБ к областям обеспечения ИБ. Суть процессно-ориентированной оценки ИБ заключается в сравнении процессов управления (менеджмента) ИБ организации с эталонной моделью процессов управления ИБ.

    Основные этапы оценки ИБ по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств (доказательств) оценки и измерение элементов (факторов) объекта оценки, связанных с ИБ, формирование оценки ИБ.

    В качестве эталона может быть принята модель «нулевого риска», описывающая оцениваемый объект совокупностью эталонных требований по ИБ (системно-ориентированная оценка) или совокупностью эталонных процессов обеспечения ИБ (процессно-ориентированная оценка), в качестве которых используются:

    — требования законодательства Российской Федерации в области ИБ;

    — отраслевые требования по обеспечению ИБ;

    — требования нормативных, методических и организационнораспорядительных документов по обеспечению ИБ;

    — принятые в организации лучшие практики по обеспечению ИБ;

    — требования национальных и международных стандартов в области ИБ.

    Модель оценки ИБ основывается на совокупности показателей, которые

    используются для сбора объективных данных для определения степени достижения атрибутов реализованных и используемых процессов управления ИБ (процессно-ориентированная оценка) или ЗМ (системно-ориентированная оценка) значений атрибутов эталонной модели процессов или требований к ЗМ. Атрибут представляет собой свойство или характеристику оцениваемого объекта, которые могут быть определены количественно или качественно ручными или автоматическими средствами. Для идентификации объектов измерения выделяются атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие целям оценки ИБ. Показатели позволяют оценить степень реализации процессов управления ИБ или ЗМ объекта оценки.

    При системно-ориентированной оценке ИБ эталон должен содержать совокупность эталонных требований ИБ, сформированных для областей обеспечения ИБ: антивирусная защита, криптографическая защита, защита, связанная с персоналом, обеспечение ИБ при использовании ресурсов Интернет, обеспечение ИБ при управлении доступом и другие. Таким образом, эталон может быть представлен, как совокупность эталонных требований в областях обеспечения ИБ:

    тэ = (t 3 t 3 t 3 t 3 >

    Ji Vi 5 li2 V> 5

    где T3 — совокупность эталонных требований в i — ой области обеспечения ИБ,

    n — количество областей обеспечения ИБ,

    ttj3 — эталонные требования ИБ в i — ой области обеспечения ИБ,

    у — количество требований ИБ в i — ой области обеспечения ИБ.

    В зависимости от целей оценки на основании эталона могут быть сформированы критерии оценки ИБ. В качестве критериев оценки должны быть приняты измеряемые элементы (факторы), характеризующие эталонные требования, т.е. атрибуты эталонных требований, и их значения. Поэтому для

    каждого эталонного требования tx3 необходимо определить эталонный набор

    t = Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

    Каждый вид атрибута описывается набором атрибутов, т.е., YM э = (уМ э >;

    YBX = (yBXi > и т.д.

    Для каждого атрибута процесса функция соответствия служит частным показателем функционирования:

    WM = РІУмі , Умі ) ; Wbx = p(y вхі , Увхі ) ; Wy = РІУуі , Ууі ) ; Wp = РІУрі , Урі );

    WBbX = р( у вьхі , Увьхі )

    Для оценивания функционирования (правильности реализации) любого процесса управления ИБ используется групповой (векторный) показатель функционирования, объединяющий частные показатели разных видов:

    YV \¥V M?¥V ВХ?¥ГУ?¥Г Р?¥Г ВЫХ\

    При формировании оценки соответствия процессов управления ИБ может использоваться усреднение или свёртка частных показателей, относящихся к одному процессу управления ИБ, формирование оценки на основе модели предпочтений и другое.

    Процессно-ориентированная оценка ИБ прозрачна и понятна, предоставляет полную информацию для совершенствования процессов управления ИБ. Но это возможно при условии существования доверенного процесса измерения и оценивания. Важным достоинством процессноориентированной оценки ИБ является возможность использования полученной информации для прогнозирования развития ИБ организации. К проблеме процессно-ориентированной оценки относится её трудоёмкость и иногда излишняя детальность.

    Процессно-ориентированная оценка ИБ в [3] рекомендуется, как основная для проверки системы управления ИБ. Однако при таком подходе не оценивается соответствие ЗМ установленным требованиям, т.к. правильно реализованная система управления ИБ должна поддерживать систему защиты (защитные меры) на уровне, необходимом для достижения целей ИБ организации. Но при недостаточном уровне реализации процессов управления ИБ существующие ЗМ могут не соответствовать ожидаемому уровню ИБ. Кроме того, владельцы активов, владельцы бизнеса часто заинтересованы в оценке СОИБ в целом.

    Поэтому целесообразным является способ оценки ИБ, сочетающий системно-ориентированную оценку ИБ и процессно-ориентированную оценку ИБ. Такой комбинированный подход реализован и применяется [4] в системе оценки соответствия ИБ организаций банковской системы РФ. Применение системно-ориентированной и процессно-ориентированной оценки ИБ при условии существования доверенного процесса измерения и оценивания позволяет:

    1) сформировать прозрачную и понятную оценку системы обеспечения ИБ организации в целом: оценку защитных мер и процессов управления ИБ;

    2) сформировать прогноз развития ИБ организации на основании полученной оценки процессов управления ИБ.

    Однако комбинированный подход при проведении оценки ИБ повышает трудоёмкость сбора свидетельств оценки ИБ и временные затраты.

    Список использованных источников

    1 Обеспечение информационной безопасности бизнеса/ В. В. Андрианов, С. Л. Зефиров, В. Б. Голованов, Н. А. Голдуев ; Под ред. А. П. Курило — М.: Издательство Альпина Паблишерз, 2011 — 373с.

    2 Gartner. The Price of Information Security. Strategic Analysis Report.

    3 ГОСТ Р ИСО/МЭК 27001:2005 Информационная технология -Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Требования.

    4 СТО БР ИББС-1.2-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: