Основные требования к информационной безопасности

Содержание:

1. Что такое информационный инцидент?
   • Примеры инцидентов информационной безопасности
2. Классификация инцидентов ИБ
   • По типу нарушения
   • По источнику
   • По степени воздействия
   • По умыслу
3. Причины возникновения инцидентов ИБ
4. Этапы управления инцидентами информационной безопасности
   • ISO/IEC 27035:2023
   • NIST SP 800-61
   • ГОСТ Р ИСО/МЭК ТО 18044-2007
5. Как предотвратить информационные инциденты?
6. Резюме: профилактика важнее реагирования

Организации любой отрасли, коммерческие, государственные, располагают данными, которые, как минимум в теории, представляют интерес для злоумышленников. Современные ИБ-решения хорошо справляются с большинством угроз, но на 100% исключить риски невозможно. Поэтому компаниям важно иметь четкий сценарий реагирования на хакерские атаки, внутренние нарушения, инциденты ИБ иного типа. Разберемся в вопросе подробнее.

Определение инцидента информационной безопасности

Понятие инцидента информационной безопасности присутствует в нормативно-правовых актах, касающихся вопросов обеспечения информационной безопасности. Например, ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р 53114-2008, ГОСТ Р 59712-2022, Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ, Приказ ФСБ России от 19 июня 2019 г. №282 “Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации” Есть упоминания и в международных документах вроде ISO/IEC 27000, NIST SP 800-61.

Если взять обобщенную формулировку, получится следующее: Инцидент ИБ – это нежелательные события или их совокупность, которые способны привести к нарушению системы информационной безопасности. Сюда относят и состояние IT-инфраструктуры, представляющее угрозу стабильности работы аппаратных, программных средств, обеспечивающих защищенность данных.

Примеры инцидентов информационной безопасности

Существуют сотни примеров, когда несоблюдение требований информационной безопасности приводило к серьезным последствиям. Среди них целенаправленные атаки, утечки конфиденциальных данных, нарушение доступности сервисов и отказ в обслуживании. Часто основной причиной таких ситуаций становятся ошибки сотрудников.

В IV квартале 2024 года количество инцидентов увеличилось на 5% по сравнению с предыдущим кварталом и на 13% в сравнении с тем же периодом прошлого года. Вредоносное ПО остается самым эффективным инструментом: шифровальщики, софт для удаленного управления, шпионское ПО.

Популярные способы атаки:

1. В конце 2024 года была обнаружена масштабная фишинговая кампания по рассылке Email с документами Microsoft Word. Они были специального повреждены так, чтобы антивирусы не могли проверить содержимое. Но при открытии, после запуска процесса восстановления файла, происходило перенаправление жертвы на фишинговый сайт.
2. Программы-вымогатели в последнее время чаще представлены вариантом Akira, который проникает на компьютеры путем эксплуатации уязвимости CVE-2024-40766 или CVE-2024-40711. Из всего перечня успешных атак 42% пришлось именно на шифровальщиков.
3. Начало 2025 года связано с повышением активности ботнетов, атакующих IoT-устройства и сетевое оборудование, веб-серверы. Например, программа Ficora научилась взламывать D-Link, популярные как у организаций, так и у частных лиц.

Подобных ситуаций возникает масса. Например, на том же Вайлдберриз взламывали аккаунты продавцов, где умышленно занижали цены и сразу заказывали «акционные» товары. Тогда клиенты маркетплейса потеряли почти 20 000 000 рублей. И все из-за ошибок ИТ-специалистов.

В целом, возросло количество случаев, когда преступники используют искусственный интеллект и машинное обучение. Из-за этого атаки становятся все более сложными и целенаправленными. AI-управляемые вредоносные программы умеют адаптироваться в реальном времени, учатся обходить традиционные системы обнаружения.

Классификация инцидентов ИБ

Чтобы лучше понять природу инцидентов, обеспечить более эффективный ответ на них прибегают к классификации, позволяющей разделить массив вероятных случаев на отдельные категории. Это упрощает определение источника угрозы, оценку уровня воздействия на ИТ-инфраструктуру. Если системно подходить к задаче, многим удается минимизировать ущерб для организации.

По типу нарушения

Первоочередной задачей является выявление того, в чем именно заключается инцидент ИБ. От этой информации можно будет отталкиваться в дальнейших действиях.

Выделяют несколько основных типов нарушений:

1. Несанкционированный доступ. Фиксируется независимо от остального, например, утечки или порчи информации. Сам факт уже представляет угрозу компании.
2. Несанкционированная модификация данных. Виновниками становятся злоумышленники, которые проникли в систему извне, или сотрудники, их знакомые, родственники.
3. Блокировка доступа. Типовым примером являются вирусы-шифровальщики, вымогающие за расшифровку деньги.

В третью категорию можно отнести и атаки типа отказ в обслуживании (DoS) и распределённый отказ в обслуживании (DDoS), способные привести к временной или длительной недоступности облачных серверов и корпоративных ресурсов.

По источнику

На практике встречается два источника угроз для ИТ-инфраструктуры – внешние и внутренние. К первой категории относят всех, кто не имеет прямого доступа к информационной системе: хакеров, бывших сотрудников, любых других посторонних, кому не предоставлялись логины-пароли, коды и прочие идентификаторы.

Типичные внешние угрозы:

1. Рекламное и шпионское ПО.
2. Вирусы вроде троянов или червей.
3. Криминальные структуры.

К последним можно отнести потенциальных преступников, недобросовестных партнеров, персонал поставщиков услуг, работающий на договоре аутсорсинга. Отчасти сюда включены представители надзорных органов, силовых структур, если они действуют не в рамках закона, без постановления суда и пр. Здесь нужно оценивать дополнительные факторы вроде умысла.

Под внутренними угрозами понимают персонал, их контакты, кто мог получить доступ к данным и логинам-паролям. Например, бывшие партнеры, до недавнего времени работавшие в общей базе, но по ошибке сотрудников не отключенные от нее. Влияет на безопасность как набор действий, так и бездействие ответственных лиц.

По степени воздействия

Категоризация инцидентов информационной безопасности по степени воздействия определяет приоритетность и срочность мероприятий по устранению последствий и предупреждению повторных инцидентов.

Выделяют три уровня воздействия:

1. Низкий — не оказывает значительного влияния на работу информационных систем и бизнес-процессы организации.
2. Средний — временно снижает производительность или доступность информационных ресурсов.
3. Высокий — приводит к существенному ущербу, вплоть до полного отказа информационных систем или длительной недоступности сервисов.

В зависимости от характера и динамики развития угрозы уровни могут меняться. Например, обнаружение вируса может изначально расцениваться как инцидент низкого уровня, однако при активации вредоносного ПО степень воздействия может повыситься до среднего или высокого уровня.

По умыслу

По критерию умысла инциденты информационной безопасности подразделяются на два типа:

1. Умышленные — инциденты, вызванные сознательными действиями сотрудников или третьих лиц, направленными на нарушение конфиденциальности, целостности или доступности информации. Например, умышленная передача коммерческой тайны или интеллектуальной собственности третьим лицам.
2. Непреднамеренные — инциденты, причиной которых стали ошибки, небрежность или недостаточная квалификация персонала, без намерения нанести ущерб организации.

Приведем примеры:

1. Сотрудник при увольнении скопировал клиентскую базу, проектную документацию и пр.
2. Менеджер отдела закупок договорился с поставщиком о завышении цен за «откат».
3. Операционист банка пересылает через знакомого заявки на кредит конкурентам.
4. Секретарь суда предоставил удаленный доступ к компьютеру постороннему.

Непреднамеренные инциденты происходят из-за ошибок. Например, перепутали Email, поставили на компьютер несогласованное с администратором ПО. Итоги возникновения ситуации достаточно непредсказуемы и требуют отдельного рассмотрения.

Причины возникновения инцидентов ИБ

В дополнение выделим три причины, из-за которых часто возникают инциденты в информационных системах (независимо от отношения к той или иной категории):

1. Человеческий фактор — ошибки, невнимательность или недостаточная квалификация сотрудников. Например, случайная публикация программистом закрытого кода в открытом репозитории.
2. Технические уязвимости — дефекты или слабые места в программном обеспечении, операционных системах и аппаратном оборудовании.
3. Преднамеренные действия — целенаправленные атаки злоумышленников, включая взломы систем, распространение вредоносного ПО и фишинговые рассылки.

Например, программист случайно опубликовал в общедоступном репозитории код, который фирма планировала использовать в коммерческом проекте.

Этапы управления инцидентами информационной безопасности

Независимо от категории, все инциденты информационной безопасности рекомендуется отрабатывать по единой, заранее разработанной схеме. Такой подход позволяет ускорить реагирование и эффективнее восстановить нормальное функционирование систем.

Выделяют следующие основные этапы реагирования на инциденты ИБ:

1. Подготовка — оценка и проверка текущих мер защиты, разработка и актуализация планов реагирования на инциденты.
2. Выявление и анализ — оперативная идентификация угрозы, оценка её текущего и потенциального воздействия.
3. Реагирование — меры по локализации и нейтрализации инцидента, минимизации ущерба и восстановлению работы систем.
4. Расследование — детальный разбор инцидента, выявление его причин и факторов развития для предупреждения повторных случаев.

Важно понимать, что перечисленные шаги опциональны. В реальных условиях они повторяются и перекрываются в зависимости от развития ситуации.

Чтобы систематизировать процесс разбирательства, рекомендуется отталкиваться от профильных стандартов, в том числе международных.

ISO/IEC 27035:2023

Пошаговое исполнение процедур помогает максимально быстро решать возникающие проблемы и ликвидировать последствия. Ключевыми моментами являются документирование всех событий с обязательной фиксацией времени инцидентов (таймлайн), ведение детализированных отчётов о предпринятых мерах реагирования, а также назначение ответственных лиц на каждом этапе обработки инцидента ИБ.

Стандартом ISO/IEC 27035:2023 предусмотрены шаги:

1. Планирование и подготовка. Рекомендуется заранее подготовить политику управления инцидентами с чётким распределением ролей, инструкциями для сотрудников и регулярными учениями по реагированию на инциденты.
2. Идентификация и регистрация инцидента. Подразумевает налаженный мониторинг инфраструктуры, выявление и регистрацию подозрительной активности, а также своевременное создание документированного отчета с точными временными метками событий.
3. Оценка и принятие решения. На этом этапе необходимо определить тип, категорию и степень критичности инцидента для выбора адекватного плана реагирования.
4. Ответное реагирование. Реализация выбранного плана: локализация и устранение инцидента, восстановление систем до штатного состояния. Важна чёткая фиксация действий и ответственных лиц на всех этапах.
5. Извлечение уроков. Анализ причин инцидентов, выявление уязвимостей, формулировка рекомендаций по усилению мер защиты, улучшение политики безопасности, обновление ПО и оборудования, дополнительное обучение персонала.

Подробнее с нормами эффективного управления можно ознакомиться в тексте стандарта. Документ содержит актуальные сведения по формированию политики, использованию средств управления информационными системами.

NIST SP 800-61

Руководство по обработке инцидентов компьютерной безопасности включает схожий список этапов для создания и эксплуатации службы реагирования на инциденты ИБ.

Подробнее:

1. Подготовка. Включает назначение ролей обученным сотрудникам, разработка инструкций и процедур, которые будут направлять процесс реагирования.
2. Обнаружение и анализ. Подразумевает применение инструментов контроля безопасности, сбора данных для тщательного анализа, выявление первопричин возникновения.
3. Сдерживание, уничтожение и восстановление. Предполагает принятие мер по ограничению последствий инцидента и удаление угроз, восстановление систем до рабочего состояния.
4. Работа после инцидента. Создание подробного отчета с хронологией событий и действий, предпринятых персоналом, с извлечением выводов.

Подробная информация по каждому шагу содержится в официальном международном документе. Его применение обосновано при взаимодействии с зарубежными филиалами и пр.

ГОСТ Р ИСО/МЭК ТО 18044-2007

В российском секторе IT чаще применяют национальные стандарты Российской Федерации. Подход обусловлен требованиями законодательства по обеспечению защищенности критически важной инфраструктуры.

Предлагается схема работы:

1. Планирование и подготовка. Включает документирование политики обработки сообщений о событиях и инцидентах ИБ, проработка структуры управления, подбор персонала.
2. Использование. Организация обнаружения событий, относящихся к одной из категорий инцидентов ИБ, реагирование с применением ранее подготовленных инструментов.
3. Анализ. Подробный аудит произошедшего с извлечением выводов, включая приобщение к решению экспертов, расширение сферы ответственности сотрудников.
4. Улучшения. Внедрение рекомендаций, полученных на предыдущем этапе, с обновлением программного, аппаратного обеспечения, переобучением персонала.

Подробнее с рекомендациями можно ознакомиться в полном тексте стандарта. Документ включает 50 страниц пояснений по каждому из указанных выше шагов, образцы заполнения отчетов, примеры оценки инцидентов информационной безопасности.

Как предотвратить информационные инциденты?

Избежать большей части угроз можно при соблюдении довольно простых правил. Например, для обслуживания ИТ-систем рекомендуется привлекать только тех специалистов, кто имеет доступ к защищаемой информации.

Дополнительные рекомендации:

1. Регулярно обновляйте программное обеспечение. Скачивайте обновленные релизы только с официальных сайтов разработчиков.
2. Используйте многофакторную аутентификацию. Оперативно удаляйте учетные данные тех сотрудников, кто отстранен от должности, уволен и пр.
3. Проводите аудиты, тестирования на проникновение. Здесь помогут сторонние специалисты, обладающие профильными навыками.
4. Проводите обучение персонала. Систематическое прохождение курсов, тестов существенно повышает уровень квалификации сотрудников.

Среди эффективных превентивных мер обеспечения информационной безопасности важно выделить комплексный подход к созданию ИБ-систем, с использованием сетевых, инфраструктурных средств защиты информации, средств защиты данных и пользовательских устройств и так далее. Важно настраивать права, полномочия для каждого в отдельности, исходя из должностных обязанностей и отслеживать действия пользователей и события в ИБ-системе. Мониторинг и реагирование на инциденты ИБ рекомендуется проводить с помощью центра мониторинга и реагирования на инциденты (SOC), используя специализированные средства защиты информации и управления событиями (SIEM, SOAR, IRP).

Важным аспектом ИБ является разработка и применение оперативно-распорядительной документации, политик ИБ и контроль за их соблюдением.

Нельзя забывать и про физическую безопасность и создание контролируемой зоны. Например, системы видеонаблюдения, системы контроля и управления доступом (СКУД), охранная сигнализация, защищенные зоны хранения информации (сейфы, серверные помещения). Некоторые компании применяют политику BYOD (Bring Your Own Device), регулируя использование личных ноутбуков и смартфонов сотрудников для работы, чтобы минимизировать риски информационной безопасности.

Резюме: профилактика важнее реагирования

Подведем итоги. Инциденты информационной безопасности являются неотъемлемой частью современной цифровой среды. Однако своевременное внедрение комплексных мер защиты позволяет предотвратить большинство угроз либо существенно минимизировать их последствия. Грамотно выстроенный процесс управления инцидентами снижает вероятность повторения подобных ситуаций благодаря глубокому анализу причин и своевременному применению эффективных превентивных мер.

Хотите глубже разобраться в защите от киберугроз?

Повышайте квалификацию с нашими профессиональными курсами по информационной безопасности. Научитесь предотвращать инциденты и выстраивать надежную защиту.

Станьте экспертом в области информационной безопасности!

Безопасность информационных технологий в течение нескольких десятков последних лет является одной из наиболее важных сфер не только в профессиональной деятельности бизнеса и государственных структур, но и в случае с обычными пользователями. С непрерывающимся ростом объёмов данных и их значимости, усиление защиты информационных систем становится приоритетным направлением работы компаний разных отраслей деятельности.

Эффективная защита данных обеспечивает не только сохранность информации, но и поддерживает доверие пользователей, укрепляет репутацию компаний и способствует стабильности цифровой экономики.

Основы безопасности информационных технологий

Безопасность информационных технологий — это комплекс мер, направленных на защиту информационных систем от несанкционированного доступа, изменения, разрушения или раскрытия данных. Работа в этом направлении предполагает использование аппаратных, программных и организационно-правовых мер. Основные из них:

• Аутентификация и авторизация. Первичные механизмы защиты. Аутентификация подтверждает подлинность пользователя, в то время как авторизация определяет его права доступа к ресурсам. Системы управления идентификацией и доступом (IAM) необходимы для управления идентификаторами пользователей и их доступом к информационным ресурсам.
• Шифрование. Критически важный элемент ИТ-безопасности. Оно обеспечивает конфиденциальность данных путём преобразования информации в нечитаемый формат, который может быть расшифрован только уполномоченными лицами. Шифрование применяется как для хранения данных (шифрование данных на устройств хранения информации), так и для их передачи (SSL/TLS протоколы).
• Обеспечение целостности данных. Здесь разговор идёт о механизмах, предотвращающих несанкционированное изменение данных. Контрольные суммы и хэширование обеспечивают подтверждение того, что данные не были изменены в процессе хранения или передачи.
• Сетевая безопасность. Это направление фокусируется на защите данных, передаваемых через сетевые подключения. Межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), песочницы и другие устройства помогают обнаруживать и блокировать аномальную активность и вредоносный трафик.
• Управление уязвимостями. Неотъемлемая часть процесса защиты информационных технологий. Регулярное сканирование на наличие уязвимостей, обновление программного обеспечения и патч-менеджмент способствуют снижению риска эксплуатации известных уязвимостей в системах.
• Обучение и осведомлённость персонала. Необходимы для обеспечения ИТ-безопасности. Проведение регулярных тренингов по цифровой гигиене и информационной безопасности повышает уровень защищённости компании от внутренних и внешних угроз.

Это лишь часть механизмов и способов защиты информации, но для построения надежной системы обеспечения ИБ необходимо проанализировать актуальные угрозы, возможных нарушителей и применять комплексный подход, основанный на отраслевых особенностях и лучших практиках.

Угрозы и риски в современном IT-ландшафте

Современный IT-ландшафт переполнен угрозами и рисками, которые могут подорвать безопасность корпоративных и частных данных. Некоторые из наиболее значимых угроз:

• Фишинг и социальная инженерия. Фишинговые атаки продолжают быть одним из самых распространённых способов получения конфиденциальной информации. Злоумышленники используют обманчивые электронные письма и веб-сайты для кражи учётных данных и личной информации. Социальная инженерия дополнительно усиливает эту угрозу, манипулируя людьми для выполнения действий, которые могут привести к утечке данных.
• Вредоносное программное обеспечение: вирусы, трояны, черви, шпионское ПО, программы-вымогатели и так далее. Вредоносное ПО остаётся серьёзной угрозой для любой информационной системы. Программы-вымогатели, которые блокируют доступ к системе или данным до выплаты выкупа, особенно опасны для бизнес-операций.
• Атаки на цепочку поставок. Компрометация поставщиков программного обеспечения или оборудования может привести к заражению систем вредоносным кодом на начальном этапе распространения. Это делает такие атаки особенно трудными для обнаружения и нейтрализации.
• Утечки данных. Нарушения защиты данных могут происходить из-за технических ошибок, ошибок пользователя или умышленных атак. Утечки могут привести к значительным финансовым потерям и ущербу для репутации.
• Атаки с отказом в обслуживании (DDoS). DDoS-атаки, осуществляемые путём перегрузки целевых систем большим количеством запросов, могут временно или постоянно вывести из строя важные онлайн-сервисы.
• Низкая киберграмотность или человеческий фактор. Слабые пароли, отсутствие двухфакторной аутентификации, устаревшее ПО — всё это факторы, увеличивающие риски безопасности.
• Целевые атаки (APT). Обычно осуществляются хорошо финансируемыми киберпреступными группами, целью которых является длительное незаметное присутствие в сети для кражи данных или разведывательной деятельности.

Защита персональных данных

Защита персональных данных – основополагающий элемент современной информационной безопасности. С введением регуляторных стандартов, например, как Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ в России, Общий регламент защиты данных (GDPR) в Европейском Союзе и подобных нормативно-правовых актах в других странах, компании сталкиваются с необходимостью строгого соблюдения правил в области обработки, хранения и передачи личных данных в соотвествии с требованиями законодательства.

Для обеспечения соответствия требованиям защиты персональных данных (ПДн) в России необходимо:

1. Назначить ответственного за обработку персональных данных с необходимыми полномочиями и знаниями.
2. Разработать и актуализовать политики конфиденциальности и другие внутренние документы (инструкции, правила, приказы, согласия, акты, положения, формы, журналы и пр.) регулирующих обработку, хранение и уничтожение ПДн.
3. Исключить из договоров требований о предоставлении биометрических данных и другие неправомерные или завышенные требования.
4. Уведомить Роскомнадзор о обработке ПДн и всех изменениях в обработке ПДн, включая трансграничную передачу.
5. Разработать процедур работы с ПДн на всех этапах их жизненного цикла.
6. Оценить потенциальный вред от утечки данных.
7. Разработень модель угроз и нарушителя, реализовать технические и организационные меры защиты, проводить регулярные проверки систем безопасности.
8. Обучить сотрудников правилам работы с ПДн и кибергигиене, разработать план реагирования на инциденты.
9. Проводить регулярный аудит и самопроверки для проверки соответствия НПА по ПДн.

Сразу стоит отметить, что это лишь базовые рекомендации по обеспечению безопасности персональных данных. Полный комплекс мер защиты ПДн шире и требует индивидуального подхода.

Физическая безопасность в IT-сфере

Физическая безопасность остаётся важным компонентом общей стратегии обеспечения информационной безопасности. Качественное её обеспечение не только предотвращает непосредственный доступ к физическим устройствам, но и защищает инфраструктуру от угроз, которые могут нарушить работу или доступность систем.

Основой физической безопасности является защита объектов, где расположены серверы и другое IT-оборудование. Это предполагает установку надёжных замков, систем контроля доступа, таких как карты доступа или биометрические системы, системы видеонаблюдения и пр. Важно, чтобы доступ к критически важным объектам был строго регламентирован и постоянно отслеживался.

IT-оборудование чувствительно к физическим воздействиям, например, к перепадам температур, влажности, воде и пыли. Использование кондиционирования воздуха, специализированных шкафов и защита от пыли помогают поддерживать оборудование в оптимальном рабочем состоянии. Также критически важно обеспечивать защиту от пожаров с помощью автоматических систем пожаротушения, которые не повреждают электронику.

Расположение серверных и технических помещений должно учитывать риски стихийных бедствий, таких как землетрясения, наводнения или ураганы. Физическая безопасность также предполагает управление доступом к портативным устройствам, таким как ноутбуки, планшеты и смартфоны. Необходимо разработать политики, регулирующие использование портативных устройств в организации и за её пределами, обеспечивая их шифрование и установку программ для удалённого стирания данных в случае утери или кражи.

Важным моментом обеспечения физической безопасности является и наличие стратегии резервного копирования. Резервные копии данных должны храниться в защищённом месте, которое физически отделено от основного места хранения данных. Это помогает обеспечить доступность информации в случае любого рода аварий или катастроф, гарантируя непрерывность бизнеса и минимизацию потерь.

Поэтому укрепление физической безопасности — важная часть комплексной стратегии обеспечения информационной безопасности, которая требует тщательного планирования и реализации соответствующих мер по предотвращению доступа несанкционированных лиц к критически важным активам и оборудованию.