В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Понятие "корпоративная информационная система" (КИС) содержится в ст. 2 Федерального закона от 06.04.2011 г. № 63-ФЗ "Об электронной подписи". Под КИС понимается информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц. При этом круг лиц, участвующих в информационном обмене, могут составлять не только структурные подразделения организации – оператора КИС, но и ее контрагенты. Главное лишь то, что состав и количество участников строго определены.
Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (ст. 2 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации").
Под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (ст. 2 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Поэтому рассматривать вопрос защиты информации в КИС необходимо с определения того, какая информация подлежит защите.
Действующее законодательство подразделяет информацию на два вида: общедоступная и информация ограниченного доступа (ч. 2 ст. 5 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Информацию ограниченного доступа можно разделить на две большие группы – это государственная тайна и сведения конфиденциального характера.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 2 Закона РФ от 21.07.1993 г. № 5485-1 "О государственной тайне"). Исходя из практики автора, можно сказать, что с указанной группой информации, как правило, меньше всего проблем (в сравнении с другими видами тайн). Перечень указанной информации конкретен. Порядок обработки строго регламентирован. Перед началом обработки сведений, составляющих государственную тайну, организация должна получить соответствующую лицензию. Санкции за нарушение порядка обработки жесткие. Кроме того, количество субъектов, имеющих подобную информацию, невелико.
К сведениям конфиденциального характера относится порядка 50 видов тайн, наиболее распространенными из них являются коммерческая тайна и личная (семейная) тайна, разновидностью которой являются персональные данные.
Персональные данные в КИС есть практически всегда. В частности, любая организация, у которой есть хотя бы один работник или паспортные данные хотя бы одного клиента, будет являться оператором персональных данных в понимании Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных". То есть если в корпоративной CRM-системе обрабатываются данные о клиентах (например, ФИО и адрес доставки) или эти данные находятся в файле MS Excel на рабочей станции, можно с уверенностью говорить о том, что в КИС обрабатываются персональные данные и, следовательно, организация обязана выполнять требования по их защите. На практике же руководители большинства организаций этого не понимают и считают, что персональные данные у них не обрабатываются, в связи с чем мер по защите информации до наступления какого-либо инцидента не предпринимают.
Помимо персональных данных, практически в любой КИС есть информация, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам, разглашения или неконтролируемой передачи которой организация стремится избежать (коммерческая тайна). На практике распространенной является такая ситуация, когда перечень этой информации содержится исключительно в сознании руководителя или собственника организации.
Поэтому нередко персонал неумышленно передает (пересылает участнику информационного обмена, которому она не предназначена) хранящуюся в КИС информацию или разглашает ее (выкладывает в открытый доступ). При этом в отсутствие утвержденного перечня информации, составляющей коммерческую тайну, привлечь сотрудника к дисциплинарной ответственности за совершение указанных действий невозможно.
С учетом изложенного актуальным становится вопрос принятия в организации комплекса мер защиты информации, обрабатываемой в корпоративной информационной системе.
Выделяют три основные группы мер:
1. Организационные (организационно-юридические). Подготовка организационно-распорядительной документации по вопросам защиты информации: инструкции, регламенты, приказы, методические указания. Цель – упорядочивание бизнес-процессов и соответствие требованиям внутреннего и внешнего регулирования (так называемый "комплаенс", "бумажная безопасность"). Данный вид мер можно назвать основным, так как:
Отсюда получивший распространение в среде специалистов по безопасности термин "бумажная безопасность".
2. Технические меры. Техническая защита информации включает в себя четыре группы мер:
3. Морально-этические меры предназначены для недопущения или хотя бы минимизации разглашения информации ограниченного доступа пользователями КИС.
По различным исследованиям, количество утечек информации от сотрудников составляет от 80 до 95%, при этом подавляющее большинство – порядка 90% утечек – не связаны с умышленными действиями.
Морально-этические меры неразрывно связаны с кадровой безопасностью и предусматривают прием на работу квалифицированного персонала, контрольные мероприятия, детальные должностные инструкции, обучение персонала, строгий контроль доступа, обеспечение безопасности при увольнении сотрудников. По мнению автора, ключевым является обучение персонала правилам информационной безопасности, которое должно проводиться с определенной периодичностью. Так, в частности, автор ежегодно готовит приказ, предусматривающий ежеквартальное обучение сотрудников организации, в которой он работает.
Кроме того, для предотвращения утечек информации от персонала по каналам связи (электронная почта, мессенджеры, социальные сети) существует целый класс систем защиты информации, называемый "DLP-системы" (Data Loss (Leak) Protection (Prevention), в целом именуемые как "системы предотвращения утечек". Данные системы в настоящее время являются одним из популярных решений по контролю за персоналом, используемым руководителями как служб информационной, так и экономической безопасности. Большинство существующих на рынке систем данного класса позволяет обеспечить не только мониторинг и блокировку электронных каналов коммуникации, но и мониторинг активности пользователей, позволяющий выявлять сотрудников, нерационально использующих рабочее время: опаздывают на работу и уходят раньше, "сидят" в социальных сетях, играют в компьютерные игры, работают на себя.
Еще одним трендом в вопросе кадровой безопасности, появившимся буквально несколько месяцев назад, являются системы мониторинга и выявления отклоняющегося от нормы поведения пользователей – User and Entity Behavior Analytics (UEBA). Данные системы предназначены для анализа поведения пользователей и выявления на его основе актуальных угроз кадровой и информационной безопасности.
Таким образом, в подавляющем большинстве корпоративных информационных систем обрабатываются персональные данные и коммерческая тайна, а соответственно, все они требуют защиты. Практически всегда, особенно в коммерческом секторе, вопросы защиты информации вступают в конфликт с удобством работы сотрудников и финансированием указанных мероприятий. В работе автором рассмотрен минимальный набор мер, направленных на защиту информации в любой КИС. Данный перечень мер не требует уникальных познаний и доступен для практического применения практически любым специалистом в области информационных технологий. Кроме того, большинство из предложенных мер не требует значительных финансовых затрат.
Мы в нашей области являемся достаточно консервативными. Мы очень сильно зависим от авторитетов, от подходов, от продуктов и от терминов и определений, которые не меняются годами. Периметр информационной безопасности – это как раз тот термин, который, к сожалению, так устарел, что его использовать уже практически невозможно. Более того, мы даже до конца не знаем, что же такое периметр информационной безопасности. Кто-то воспринимает периметр как точку соединения с Интернетом, как бы забавно это ни звучало в контексте геометрии, в которой периметр – это все-таки замкнутая линия. Кто-то воспринимает периметр как линию, которая очерчивает корпоративную или ведомственную сеть. Кто-то воспринимает периметр как набор устройств, которые имеют выход в Интернет.
Но каждое из этих определений очевидно имеет свои плюсы и свои минусы, и все они разные. Как воспринимать ситуацию даже с таким, казалось бы, простым вариантом, как сегмент промышленной сети, возможно, даже физически изолированной от внешнего мира, если туда пришел представитель подрядной организации с ноутбуком, который подключен через 3G-модем к Интернету? Появляется ли у нас здесь периметр или не появляется? А если мы посмотрим на ситуацию, когда сотрудник с мобильным устройством подключается к внешнему облаку, в котором хранятся конфиденциальные данные компании, или работает приложение, обрабатывающее эти данные? Здесь есть периметр или нет? А если сотрудник со своего личного устройства подключился к чужой инфраструктуре облачного провайдера, в которой и хранится информация компании? Где периметр в такой ситуации?
Ну допустим, у нас мобильные устройства принадлежат компании, а облака принадлежат провайдеру. При этом максимум, что мы можем знать, – это свой кусок того облака, в котором мы располагаем наши сервера, наши приложения, наши данные. Но кто к ним имеет доступ извне, со стороны облачного провайдера, со стороны других его клиентов? В такой ситуации вообще невозможно очертить периметр. А это означает, что как бы мы ни хотели, но мы вынуждены изменять свои подходы к тому, что мы привыкли называть защитой периметра. Например, в некоторых компаниях руководство придерживается правила, что сотрудник компании может работать в любой момент времени из любой точки мира с любого устройства. В такой концепции, разумеется, не может быть периметра в общеупотребимом смысле, и это заставляет совсем по-другому защищать, нет, не периметр, а подключение к Интернету! А вы готовы к новой реальности?
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2017