В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Часто основным источником повышенных рисков ИБ служит отсутствие процедур управления IT-ресурсами компании и обеспечения ИБ. Другими словами, риски ИБ растут в случае, когда безопасность и управление активами компании зависят исключительно от прихотей определенных сотрудников. К той же категории можно отнести ситуацию, когда процедуры определены, но не исполняются. Например, из-за избыточной сложности самих процедур.
В этой статье мы постараемся предложить анализ процессов ИБ в компании и тех угроз, которые могут возникнуть при отсутствии той или иной процедуры.
Приведенная диаграмма иллюстрирует типичный результат общего анализа защищенности, проведенного у одного из наших заказчиков. Для оценки уровня выполнения базовых процессов ИБ каждый из них был разбит на несколько подпроцессов.
Отсутствие процедур управления рисками грозит организации тем, что часть активов будет ошибочно расценена как некритичная (на деле эти активы могут содержать информацию, которую необходимо защитить). Отсутствие последующего системного анализа возможных угроз и определения адекватных мер защиты повышает возможность несанкционированного доступа. Как следствие, растет риск прямых финансовых потерь от остановки бизнес-процессов или косвенных потерь, вызванных утечкой информации.
Недостаток внимания к процедурам управления инцидентами не позволяет говорить о должном уровне информационной безопасности в компании. Во-первых, процесс мониторинга и анализа событий ИБ позволяет оперативно реагировать на действия злоумышленника, чтобы вовремя обезопасить себя от их последствий. Во-вторых, планы реагирования на инциденты и восстановления информационных систем снижают риски финансовых потерь от нарушения непрерывности бизнес-процессов компании. Наконец, в-третьих, статистика по выявленным инцидентам позволяет эффективно дорабатывать уже принятые меры по обеспечению безопасности.
Порой компании сбрасывают со счетов необходимость установки обновлений ОС и ПО, а также важность процедур управления изменениями. Важность установки обновлений кроется в следующем: чем старше используемое ПО, тем больше уязвимостей для него найдено. В качестве примера можно вспомнить распространенные уязвимости MS06-040 и MS08-067 в Microsoft Windows (выявленные в 2006 и 2008 г. соответственно), позволяющие злоумышленнику получить удаленный доступ к ПК. Встретить автоматизированные системы, где защита от данных уязвимостей не реализована, можно и по сей день, хотя прошло уже несколько лет. Говоря об управлении изменениями, важно помнить том, что отсутствие предварительного тестирования, процедур отката, актуальной документации на системы повышает риск сбоев, а также возможный ущерб от их возникновения.
Хорошей практикой считается организация демилитаризованной зоны (DMZ), своеобразной "подушки безопасности" между сетями общего доступа и сегментами с критичными данными. Отсутствие DMZ в корпоративной сети организации повышает вероятность несанкционированного доступа к внутренним ресурсам извне.
Для обеспечения непрерывности бизнес-процессов компании и конфиденциальности данных недостаточно организовать защиту только лишь периметра корпоративной сети - нельзя забывать, что источником угроз может являться не только внешний нарушитель, но и любой из сотрудников компании.
Приведенный в данной статье перечень угроз не претендует на полноту, но отражает наиболее распространенные из них. При этом анализ бизнеса и его потребностей позволяет ранжировать их по степени критичности и выделять приоритетные направления по снижению рисков ИБ. Результатом такого анализа должен стать системный подход к вопросам информационной безопасности организации. Такой подход и является залогом дальнейшего развития бизнеса и его успешности.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2012