Ризики інформаційної безпеки. Забезпечення інформаційної безпеки. Аудит інформаційної безпеки

Віктор Кузьмін
1 minute

На даний момент ризики інформаційної безпеки становлять велику загрозу для нормальної діяльності багатьох підприємств і установ. У наше століття інформаційних технологій добути які-небудь дані практично не становить праці. З одного боку, це, звичайно, несе багато позитивних моментів, але для обличчя і бренду багатьох фірм стає проблемою.

Захист інформації на підприємствах стає зараз чи не першочерговим завданням. Фахівці вважають, що, тільки виробляючи певну усвідомлену послідовність дій, можна досягти цієї мети. В даному випадку можливо керуватися лише достовірними фактами та використовувати сучасні аналітичні методи. Певну лепту вносить розвиненість інтуїції і досвід фахівця, відповідального за даний підрозділ на підприємстві.

Цей матеріал розповість про управління ризиками інформаційної безпеки господарюючого суб’єкта.

Які існують види можливих загроз в інформаційній середовищі?

Видів загроз може бути безліч. Аналіз ризиків інформаційної безпеки підприємства починається з розгляду всіх можливих потенційних загроз. Це необхідно для того, щоб визначитися зі способами перевірки у разі виникнення даних непередбачених ситуацій, а також сформувати відповідну систему захисту. Ризики інформаційної безпеки поділяються на певні категорії в залежності від різних класифікаційних ознак. Вони бувають наступних типів:

  • фізичні джерела;
  • недоцільне користування комп’ютерною мережею та Всесвітньою павутиною;
  • витік із закритих джерел;
  • витік технічними шляхами;
  • несанкціоноване вторгнення;
  • атака інформаційних активів;
  • порушення цілісності модифікації даних;
  • надзвичайні ситуації;
  • правові порушення.

Що входить в поняття “фізичні загрози інформаційної безпеки”?

Види ризиків інформаційної безпеки визначаються залежно від джерел їх виникнення, способи реалізації незаконного вторгнення і цілі. Найбільш простими технічно, але вимагають все ж професійного виконання, є фізичні загрози. Вони являють собою несанкціонований доступ до закритих джерел. Тобто цей процес за фактом є звичайною крадіжкою. Інформацію можна дістати особисто, своїми руками, просто вторгшись на територію установи, кабінети, архіви для отримання доступу до технічного обладнання, документації та інших носіїв інформації.

Крадіжка може полягати навіть не в самих даних, а в місці їх зберігання, тобто безпосередньо самого комп’ютерного обладнання. Для того щоб порушити нормальну діяльність організації, зловмисники можуть просто забезпечити збій у роботі носіїв інформації або технічного обладнання.

Метою фізичного вторгнення може також є отримання доступу до системи, від якої і залежить захист інформації. Зловмисник може змінити опції мережі, що відповідає за інформаційну безпеку з метою подальшого полегшення впровадження незаконних методів.

Можливість фізичної загрози можуть забезпечувати і члени різних угруповань, які мають доступ до закритої інформації, яка не має гласності. Їх метою є цінна документація. Таких осіб називають інсайдерами.

На цей же об’єкт може бути спрямована діяльність зовнішніх зловмисників.

Як самі працівники підприємства можуть стати причиною виникнення загроз?

Ризики інформаційної безпеки часто виникають з-за недоцільного використання співробітниками мережі Інтернет та внутрішньої комп’ютерної системи. Зловмисники чудово грають на недосвідченість, неуважність і неосвіченість деяких людей щодо інформаційної безпеки. Для того щоб виключити цей варіант викрадення конфіденційних даних, керівництво багатьох організацій проводить спеціальну політику серед свого колективу. Її метою є навчання людей правилам поведінки і користування мережами. Це є досить поширеною практикою, так як і загрози виникають таким чином досить поширені. У програми отримання навичок інформаційної безпеки працівниками підприємства входять наступні моменти:

  • подолання неефективного використання коштів аудиту;
  • зменшення ступеня користування людьми спеціальних засобів для обробки даних;
  • зниження застосування ресурсів та активів;
  • привчання до отримання доступу до мережевих засобів тільки встановленими методами;
  • виділення зон впливу і позначення території відповідальності.

Коли кожен співробітник розуміє, що від відповідального виконання покладених на нього завдань залежить доля установи, то він намагається дотримуватися всіх правил. Перед людьми необхідно ставити конкретні завдання і обгрунтовувати отримані результати.

Яким чином порушуються умови конфіденційності?

Ризики і загрози інформаційній безпеці багато в чому пов’язані з незаконним отриманням інформації, яка не повинна бути доступна стороннім особам. Першим і найбільш поширеним каналом витоку є всілякі способи зв’язку і спілкування. У той час, коли, здавалося б, особисте листування доступна лише двом сторонам, її перехоплюють зацікавлені особи. Хоча розумні люди розуміють, що передавати що-небудь надзвичайно важливе і секретне необхідно іншими шляхами.

Так як зараз багато інформації зберігається на переносних носіях, то зловмисники активно освоюють і перехоплення інформації через даний вид техніки. Дуже популярним є прослуховування каналів зв’язку, тільки тепер всі зусилля технічних геніїв спрямовані на злам захисних бар’єрів смартфонів.

Конфіденційна інформація може бути ненавмисно розкрито співробітниками організації. Вони можуть не безпосередньо видати всі “явки і паролі”, а лише навести зловмисника на вірний шлях. Наприклад, люди, самі того не відаючи, повідомляють відомості про місце зберігання важливої документації.

Не завжди вразливими є лише підлеглі. Видати конфіденційну інформацію в ході партнерських взаємовідносин можуть і підрядники.

Як порушується інформаційна безпека технічними способами впливу?

Забезпечення інформаційної безпеки в чому обумовлено застосуванням надійних технічних засобів захисту. Якщо система забезпечення працездатна і ефективна хоча б у самому обладнанні, то це вже половина успіху.

В основному витік інформації таким чином забезпечується з допомогою управління різними сигналами. До таких методів відноситься створення спеціалізованих джерел радіовипромінювання або сигналів. Останні можуть бути електричними, акустичними або вібраційними.

Досить часто застосовуються оптичні прилади, які дозволяють зчитувати інформацію з дисплеїв і моніторів.

Різноманітність пристосувань обумовлює широке коло методів впровадження і видобутку інформації зловмисниками. Крім перерахованих вище способів існують ще телевізійна, фотографічна і візуальна розвідка.

Унаслідок таких широких можливостей аудит інформаційної безпеки в першу чергу включає в себе перевірку та аналіз роботи технічних засобів по захисту конфіденційних даних.

Що вважається несанкціонованим доступом до інформації підприємства?

Управління ризиками інформаційної безпеки неможливо без запобігання загроз несанкціонованого доступу.

Одним з найбільш яскравих представників даного способу злому чужої системи безпеки є присвоєння ідентифікатора користувача. Такий метод носить назву «Маскарад». Несанкціонований доступ в цьому випадку полягає в застосуванні аутентифікаційних даних. Тобто мета порушника – добути пароль або будь-який інший ідентифікатор.

Зловмисники можуть впливати зсередини самого об’єкта або з зовнішнього боку. Одержувати необхідні відомості вони можуть з таких джерел, як журнал аудиту чи аудиту.

Часто порушник намагається застосувати політику впровадження і використовувати на перший погляд цілком легальні методи.

Несанкціонований доступ застосовується щодо наступних джерел інформації:

  • веб-сайт і зовнішні хости;
  • бездротова мережа підприємства;
  • резервні копії даних.

Способів і методів несанкціонованого доступу незліченна безліч. Зловмисники шукають прорахунки і прогалини в конфігурації та архітектури програмного забезпечення. Вони отримують дані шляхом модифікації. Для нейтралізації і усипляння пильності порушники запускають шкідливі програми і логічні бомби.

Що являють собою юридичні загрози інформаційної безпеки компанії?

Менеджмент ризиків інформаційної безпеки працює за різними напрямками, адже його головна мета – це забезпечення комплексної і цілісної захисту підприємства від стороннього вторгнення.

Не менш важливим, ніж технічний напрямок, є юридична. Таким чином, який, здавалося б, навпаки, повинен відстоювати інтереси, виходить добути дуже корисні відомості.

Порушення щодо юридичної сторони можуть стосуватися прав власності, авторських і патентних прав. До цієї категорії належить і нелегальне використання програмного забезпечення, у тому числі імпорт і експорт. Порушити юридичні приписи можна лише, не дотримуючись умови контракту чи законодавчої бази в цілому.

Як встановити цілі інформаційної безпеки?

Забезпечення інформаційної безпеки починається власне з встановлення області протекції. Необхідно чітко визначити, що потрібно захищати і від кого. Для цього визначається портрет потенційного злочинця, а також можливі способи злому і впровадження. Для того щоб встановити цілі, в першу чергу потрібно переговорити з керівництвом. Воно підкаже пріоритетні напрямки захисту.

З цього моменту починається аудит інформаційної безпеки. Він дозволяє визначити, в якому співвідношенні необхідно застосовувати технологічні прийоми і методи бізнесу. Результатом даного процесу є кінцевий перелік заходів, який і закріплює собою цілі, що стоять перед підрозділом із забезпечення захисту від несанкціонованого вторгнення. Процедура аудиту спрямована на виявлення критичних моментів і слабких місць системи, які заважають нормальній діяльності та розвитку підприємства.

Після встановлення цілей виробляється та механізм їх реалізації. Формуються інструменти контролю і мінімізації ризиків.

Яку роль в аналізі ризиків грають активи?

Ризики інформаційної безпеки організації безпосередньо впливають на активи підприємства. Адже мета зловмисників полягає в отриманні цінної інформації. Її втрата або розголошення неодмінно веде до збитків. Збитки, завдані несанкціонованим вторгненням, може надавати пряме вплив, а може лише опосередкований. Тобто неправомірні дії щодо організації можуть призвести до повної втрати контролю над бізнесом.

Оцінюється розмір шкоди згідно з наявними в розпорядженні організації активів. Схильними є всі ресурси, які будь-яким чином сприяють реалізації цілей керівництва. Під активами підприємства розуміються всі матеріальні та нематеріальні цінності, що приносять і допомагають приносити дохід.

Активи бувають декількох типів:

  • матеріальні;
  • людські;
  • інформаційні;
  • фінансові;
  • процеси;
  • бренд і авторитет.

Останній тип активу страждає від несанкціонованого вторгнення найбільше. Це пов’язано з тим, що будь-які реальні ризики інформаційної безпеки впливають на імідж. Проблеми з даною сферою автоматично знижують повагу і довіру до такого підприємства, так як ніхто не хоче, щоб його конфіденційна інформація стала надбанням громадськості. Кожна поважаюча себе організація дбає про захист власних інформаційних ресурсів.

На те, в якому обсязі і які активи будуть страждати, впливають різні фактори. Вони поділяються на зовнішні і внутрішні. Їх комплексний вплив, як правило, стосується одночасно декількох груп цінних ресурсів.

На активах побудований весь бізнес підприємства. Вони присутні в будь-якому обсязі в діяльності будь-якої установи. Просто для одних більш важливим є одні групи, і менше – інші. В залежності від того, на який вид активів вдалося вплинути зловмисникам, залежить результат, тобто заподіяну шкоду.

Оцінка ризиків інформаційної безпеки дозволяє чітко ідентифікувати основні активи, і якщо зачеплені були саме вони, то це загрожує непоправними втратами для підприємства. Увагу цим групам цінних ресурсів повинно приділяти саме керівництво, оскільки їх безпека перебуває у сфері інтересів власників.

Пріоритетний напрямок для підрозділу з інформаційної безпеки займають допоміжні активи. За їх захист відповідає спеціальний людина. Ризики щодо них не є критичними і зачіпають лише систему управління.

Які фактори інформаційної безпеки?

Розрахунок ризиків інформаційної безпеки включає в себе побудову спеціалізованої моделі. Вона являє собою вузли, які з’єднані один з одним функціональними зв’язками. Вузли – це і є ті самі активи. В моделі використовується наступні цінні ресурси:

  • люди;
  • стратегія;
  • технології;
  • процеси.

Ребра, які пов’язують їх, є тими самими факторами ризику. Для того щоб визначити можливі загрози, краще всього звернутися безпосередньо до того відділу або спеціаліста, який займається роботою з цими активами. Будь-який потенційний фактор ризику може бути передумовою до утворення проблеми. У моделі виділені основні загрози, які можуть виникнути.

Щодо колективу проблема полягає в низькому освітньому рівні, нестачі кадрів, відсутності моменту мотивування.

До ризиків процесів відносяться мінливість зовнішнього середовища, слабка автоматизація виробництва, нечіткий розподіл обов’язків.

Технології можуть страждати від несучасної програмного забезпечення, відсутності контролю над користувачами. Також причиною можуть бути проблеми з гетерогенним інформаційно-технологічним ландшафтом.

Плюсом такої моделі є те, що порогові значення ризиків інформаційної безпеки не є чітко встановленими, так як проблема розглядається під різним кутом.

Що таке аудит інформаційної безпеки?

Важливою процедурою в сфері інформаційної безпеки підприємства є аудит. Він являє собою перевірку поточного стану системи захисту від несанкціонованих вторгнень. У процесі аудиту визначається ступінь відповідності встановленим вимогам. Його проведення є обов’язковим для деяких типів закладів, для інших він носить рекомендаційний характер. Експертиза проводиться щодо документації бухгалтерського і податкового відділів, технічних засобів і фінансово-господарської частини.

Аудит необхідний для того, щоб зрозуміти рівень захищеності, а у разі його невідповідності проведення оптимизирования до нормального. Ця процедура також дозволяє оцінити доцільність фінансових вкладень в інформаційну безпеку. В кінцевому підсумку експерт дасть рекомендації про норми фінансових витрат для одержання максимальної ефективності. Аудит дозволяє регулювати засоби контролю.

Експертиза щодо інформаційної безпеки ділиться на кілька етапів:

  • Установка цілей і способів їх досягнення.
  • Аналіз інформації, необхідної для винесення вердикту.
  • Обробка зібраних даних.
  • Експертний висновок і рекомендації.

    • В кінцевому підсумку спеціаліст видасть своє рішення. Рекомендації комісії спрямовані найчастіше на зміну конфігурації технічних засобів, а також серверів. Часто проблемному підприємству пропонують вибрати інший метод забезпечення безпеки. Можливо, для додаткового посилення експертами буде призначений комплекс захисних заходів.

    Робота після отримання результатів аудиту спрямована на інформування колективу про проблеми. Якщо це необхідно, то варто провести додатковий інструктаж з метою підвищення освіченості працівників щодо захисту інформаційних ресурсів підприємства.