Почнемо з того, що забезпечення інформаційної безпеки (або комп’ютерна безпека) – це система, а не 1-2 дії, що проводяться кілька разів на рік. Вона включає як підготовчі, профілактичні, так і способи швидкого реагування на можливу/дійсну загрозу.
Розглянемо заходи щодо забезпечення інформаційної безпеки для бізнесу, починаючи з базових.
Сюди входить:
блокування входу для сторонніх осіб на територію компанії або до підрозділів, що працюють з критично важливою інформацією (перепустки, електронні карти доступу, тощо);
розмежування доступу до закритих масивів даних, вибудовування ієрархічної схеми відкриття файлів з “червоної зони”;
заборона входу до локальної мережі/інфосистеми з приватних пристроїв (ноутбуки, телефони, планшети);
впровадження складних паролів чи біометрії для аутентифікації користувачів;
заборона на використання автономних носіїв (флешки, карти пам’яті, тощо), блокування портів для їх зчитування на робочих станціях;
оснащення приміщень відеоспостереженням для візуальної ідентифікації людини;
пригнічення та протидія використанню “наведень”, стороннього електромагнітного випромінювання;
підвищення захищеності офіційних та “заглушення” небажаних каналів зв’язку;
встановлення систем оповіщення та пожежогасіння, опрацювання плану дій щодо збереження інформації у разі стихійного лиха або форс мажору;
створення відділу з кібербезпеки або звернення до фахівців з метою отримання рекомендацій/формування схеми забезпечення інформаційної безпеки для конкретного бізнесу.
Існує ще ряд заходів та способів, які підбираються залежно від профілю організації.
Внутрішні документи підприємства мають чітко регламентувати, що входить у поняття “комерційна таємниця” і на нерозголошенні яких даних організація наполягає. У договорах мають бути зазначені всі наслідки розголошення чинними та колишніми співробітниками. Найчастіше, розуміння наслідків змусить персонал серйозніше ставитися до відомостей, які входять до секретів фірми.
Без регламентованого забезпечення інформаційна безпека компанії миттєво перетвориться на фікцію, оскільки всі ваші секрети будуть обговорюватися скрізь та з усіма.
Для приватного сектору тут криється ще одна складність: якщо поняття державної таємниці, промислового шпигунства відображено в законодавстві і тягне за собою кримінальну або адміністративну відповідальність, то за розповідь зацікавленим особам про нюанси вашого бізнесу, передачу свого пароля і т.д. притягнути співробітника не вдасться, якщо він не був повідомлений про заборону передачі інформації і немає його підпису на відповідній угоді.
Іноді їх поділяють на захисні засоби від зовнішніх та внутрішніх загроз. Це не зовсім вірно, оскільки рідкісна атака хакера буває успішною, якщо немає “агента” всередині.
Тому розділимо їх трохи інакше.
Воно може бути вибірковим (дискреційним), мандатним або рольовим. У першому випадку використовується матриця доступу, яка на основі списків дозволяє/забороняє відкрити ту чи іншу програму.
Рольовий варіант передбачає розмежування відомостей для користувачів за фактом їхнього службового становища: менеджер і продавець, по суті, бачать різні бази.
Мандатне розмежування на підставі “мітки”. У чистому вигляді застосовується виключно спецслужбами, а цивільні суб’єкти, зазвичай, поєднують його з іншими способами.
Тому так важливі засоби авторизації у вигляді паролів, відбитків пальців або сітківки.
Обов’язковою умовою успішного забезпечення систем безпекою від витоку інформації є збереження та аудит усіх логів щодо проведення будь-яких дій у корпоративній інфосистемі.
Для захисту від несанкціонованого підключення використовуються протоколи IDS/IPS, а щоб не втратити конфіденційність, встановлюється DLP.
Інформаційна безпека комп’ютера від кіберзагроз ґрунтується на використанні антивірусів, аналізаторів протоколів, засобів захисту від фішингу. Оскільки всі “шкідники” просочуються з глобальної мережі, то краще оснастити підсистему міжмережевим екраном.
Що стосується передачі/отримання даних електронною поштою, то для їх збереження застосовується шифрування. Підтвердити їхню автентичність можна за допомогою цифрового підпису.
Насамперед, варто подбати про резервні джерела живлення Інформаційної Системи. Це можуть бути як автономні генератори, так і додаткові електролінії.
Щоб не втратити дані використовується:
регулярне резервне копіювання;
вибирається кластер з найвищою стійкістю до відмови;
деякі організації мають право користуватися Резервним центром обробки даних (РЦОД).
Підходів до вирішення задачі існує всього два:
комплексний;
фрагментарний.
Безумовно, комплекс заходів ефективніший і надійніший. Але у власників бізнесу, особливо малого, він може викликати труднощі організаційного та фінансового плану. Тому вихід із ситуації бачиться у таких варіантах:
захист від окремих загроз: встановлення антивірусного програмного забезпечення, криптошифрування, міжмережевого екрану;
введення всіх захисних методів, але на обмеженому просторі.
Але необхідно розуміти, що цей підхід залишає занадто багато “дірок”. При зміні кута атаки ви стаєте повністю безпорадними. А при виході важливого файлу із захищеного відділу навіть у локальну мережу він моментально втрачає всю конфіденційність.