Что лучше предпринимать для обеспечения личной информационной безопасности

Обновлено: 18.05.2024

Массовый и быстрый переход в режим самоизоляции вынудил организации оперативно предоставить сотрудникам удаленный доступ к информационным системам и взаимодействовать с ними в режиме веб-конференций гораздо чаще, чем раньше. Обнаружилось, что организационные и технические меры информационной безопасности отстают по времени. В разделе собран обобщенный анализ возникающих угроз, приведены рекомендации, как их нейтрализовать.

Основные сценарии удаленной работы требуют доступа пользователя, работающего из дома, к ресурсам корпоративной сети, облака, видеоконференциям. В каждом случае необходимо конкретное программное обеспечение для удаленной работы.

В ряде организаций давно налажена удаленная работа, действует политика информационной безопасности, сформированы регламенты обучения, предоставления сотрудникам технических, программных средств, позволяющих обеспечивать приемлемый уровень безопасности данных.

В условиях удаленного доступа к ресурсам организации возможно следующее типовое решение:

Типичными угрозами являются взлом и заражение сети. Они возможны, если имеют место следующие обстоятельства:

    ошибки настройки устройств доступа (компьютеров), в результате которых они оказываются незащищенными полностью или частично;

Любой удаленный доступ, на практике — это расширение периметра, так как в инфраструктуре компании появляются новые подключения извне. Личные станции, на которых работают пользователи и с которых обращаются к корпоративной системе, могут быть недостаточно защищены, могут быть заранее скомпрометированы, физически утеряны или целенаправленно украдены.

К типичным угрозам непосредственно на домашнем рабочем месте пользователя, можно отнести следующие:

    проникновение вирусов из дома в офисную сеть, сетевая или вирусная атака на системы в периметре, например атака вируса-шифровальщика.

Как информация организации становится доступна на конечных устройствах, так и наоборот, возможен удаленный доступ к личной информации с удаленных рабочих мест. Это может представлять личные риски для здоровья и качества жизни сотрудников и их близких.

Пользователь имеет полный физический доступ к устройству, установленному у него дома, может получить доступ к файловой системе устройства и скопировать туда/оттуда информацию. Также к устройству будет иметь доступ и его окружение (члены его семьи, например). В силу указанных рисков рекомендуется выдавать пользователям права на удаленный доступ вместе с оборудованием, которое предварительно настроено с соблюдением необходимых стандартов и практик безопасности. Установка обновлений, средств защиты, отсутствие у оператора административных прав, пломбы, препятствующие вскрытию, — это все хорошие практики для повышения безопасности.

Если выдача спецоборудования для доступа в периметр нецелесообразна или такой возможности просто нет, стоит применять средства доступа со встроенным контролем защищенности со стороны пользователя или требовать, чтобы пользователь обзавелся актуальными средствами защиты.

В связи с экстренным режимом перехода в режим изоляции будут оправданы дополнительные меры контроля активности пользователя:

    заблаговременное ограничение доступа к межсетевому экрану;

Регулятор — Федеральная служба по техническому и экспортному контролю, Центральный Банк, Национальный координационный центр по компьютерным инцидентам предлагают подходы, призванные обеспечить надежный режим удаленного пользования инфраструктурой и данными организаций.

Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры: письмо ФСТЭК России от 20.03.2020 № 240/84/389 // Федеральная служба по техническому и экспортному контролю.

Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19) // Банк России.

Центральный Банк рекомендует финансовым организациям обеспечить применение технологий виртуальных частных сетей, многофакторной аутентификации, терминального доступа (по возможности), а также мониторинг и контроль действий пользователей удаленного мобильного доступа.

ФСТЭК России рекомендует не допускать использование сотрудниками личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, компьютеров, телефонов). Кроме того, регулятор рекомендует определить перечень информационных ресурсов, к которым будет предоставляться удаленный доступ, назначить минимально необходимые права пользователям, исключить возможность эксплуатации удаленных рабочих мест посторонними лицами, обеспечить двухфакторную аутентификацию работников, а также организовать защищенный доступ к серверам с помощью VPN-клиентов в комбинации с антивирусной защитой.

В таблице 1 представлены в общих чертах представлены угрозы, связанные с переходом в режим удаленной работы, далее они будут рассмотрены более подробно.

Рабочее место пользователя;Заражение вирусом или другим ПСНВ;Высокий;Защита антивирусом Корпоративные данные;Кража;Высокий;Использование DLP (data leak protection, предотвращение утечек данных) Корпоративные данные;Перехват;Средний;Использование шифрования Инфраструктура компании (серверы);Заражение вирусом и другим вредоносным ПО;Средний;Контроль трафика пользователей.
Авторизованный доступ для пользователей программ.
Работа через терминальный доступ. Шлюз доступа и инфраструктура;НСД;Высокий;Аутентификация с использованием двух факторов и более Пользователь (как объект атаки);Компрометация через социальную инженерию;Средний;Информирование, обучение, проведение разъяснительной работы.
Использование средств для защиты на уровне почты и открываемых файлов

Стандартным архитектурным решением для организации удаленного доступа является организация одного или нескольких узлов удаленного доступа с использованием сертифицированных средств защиты: криптографической защиты сетевых потоков (VPN), межсетевого экрана, средства систем обнаружения вторжений (IDS, intrusion detection system, система обнаружения вторжений). На внешние станции, которым дается право на удаленный доступ, как правило, также устанавливаются средства защиты: антивирусные средства, средства контроля возможных вторжений. Имеет смысл принять меры по контролю известных уязвимостей, выстроить процессы обеспечения информационной безопасности, в данном случае объектами пристального внимания должны стать жизненный цикл учетных записей, паролей, ключей доступа к VPN, обновление программного обеспечения, проверка на уязвимости.

Сотрудники службы безопасности выполняют необходимые организационные меры по управлению и учету подобных доступов, проверку работы и необходимых настроек на средствах защиты, устанавливают и контролируют порядок действий при тех или иных инцидентах, угрожающих безопасности. В системе есть привилегированные исполнители (администраторы, разработчики), которые участвуют в управлении конфигурацией. Как правило, для слежения за их действиями применяются специальные средства контроля. Для охраны информации применяются дополнительные средства предотвращения утечек (DLP), расположенные как в инфраструктуре, так и на рабочих станциях сотрудников, в том числе работающих удаленно. Реализация мероприятий в полном соответствии с требованиями регулятора требует затрат, тем более если к системе подключено много пользователей извне.

Существует несколько вариантов аппаратных и программных решений. Это может быть доступ через web-access, через удаленный рабочий стол, защита протоколов удаленного доступа.

Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.

В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.

Дмитрий Кузьмин

дмитрий кузьмин

Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать

Кто такой специалист по ИБ сейчас

Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.

Но есть и более узкие специальности уже внутри сферы:

Есть ещё один вариант деления специалистов:

  • Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
  • Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.

Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

Чем занимаются специалисты по информационной безопасности

Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.

Вот типичные задачи специалиста по ИБ:

  • Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
  • Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
  • Составить программу внедрения защиты. Решить, что исправлять сначала — например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
  • Разобраться с продуктом — найти уязвимости в коде, составить техническое задание на устранение.
  • Провести оценку системы защиты — провести согласованные атаки на сетевые ресурсы.
  • Проанализировать мониторинг — узнать, кто интересовался системой, какими способами, как часто.
  • Внедрить защиту для особо слабых узлов.

Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.

Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.

Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.

Как стать специалистом по ИБ

Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.

Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.

Нужен ли технический бэкграунд

Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

Нужен ли английский язык

На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

Что нужно знать для старта работы

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

  • Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
  • Только сети — если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
  • Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

Стек навыков

Вот примерный список того, что нужно знать и уметь для старта:

  • Настроить сетевой стек.
  • Провести аудит системы, проанализировать, какое место уязвимое.
  • Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
  • Настроить систему мониторинга и систему предупреждения о проблемах.
  • Учитывать человеческий фактор в построении защиты.

Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).

Стандарт ISO 27001:2013 на системы управления информационной безопасностью устроен так же, как все современные стандарты на системы менеджмента. И в нем так же предусмотрено требование выявлять и оценивать риски, как и в любом другом стандарте ISO.

Оценка рисков для системы информационной безопасности — процесс непрерывный, требующий рассмотрение внутреннего и внешнего контекста. Сейчас контекст стремительно меняется: сотрудники вынуждены работать из дома. Соответственно, изменились и риски. Рассмотрим подробнее, как стандарт ISO 27001 помогает ими управлять.

ISO 270001 и риски информационной безопасности при переходе на удаленную работу

Что входит в область управления стандарта

Стандарт ISO 27001 предназначен для обеспечения конфиденциальности, целостности и доступности информации компании (трех принципов управления информацией), а также направлен на соблюдение требований законодательства. Меры, предусмотренные стандартом, призваны защитить ваши данные от киберпреступлений, от неправомерного использования, кражи и других угроз.

Стандарт ISO 27001 охватывает эти три компонента.

Информационные активы компании

В выявлении рисков, которые могут повлиять на конфиденциальность, целостность и доступность информации, поможет список информационных активов. По оценкам специалистов, которые проводят аудиты систем управления информационной безопасностью, в среднем учитывается лишь 30-50% активов. Актив — это все, что может представлять ценность для организации и поэтому требует защиты. Для идентификации активов, нужно иметь в виду, что информационная система состоит не только из аппаратного и программного обеспечения. Например люди, работающие в компании, рассматриваются в стандарте как актив. Виды активов в рамках системы управления информационной безопасностью:

  • инфраструктура (IT/оборудование)
  • люди
  • организация
  • процессы
  • информация
  • приложения, программы

Что угрожает активам?

Угроза может нанести вред этим активам, например, нарушить информационные процессы и системы и, следовательно, причинить ущерб организации в целом. Угрозы могут быть естественного или человеческого происхождения и могут быть случайными или преднамеренными. Все случайные и преднамеренные источники угрозы должны быть идентифицированы. Угроза может возникнуть внутри или снаружи организации. Примеры угроз: кража, поломки, неправильное использование. Например, угрозы, связанные с использованием ноутбука:

  • Кража
  • Пролив воды
  • Попадание частиц пищи во внутренние части ноутбука
  • Падение
  • Утеря
  • Риск оставить в самолете
  • Скачки электричества

Кроме того, следует учитывать уязвимости системы управления данными. Так, для компании в целом уязвимостью могут являться пробелы в политике управления данными. А применительно к устройству — ноутбуку — уязвимости следующие: предмет представляет интерес для воров; принадлежность предмета определенному лицу, например, генеральному директору. Некоторые угрозы могут затрагивать более одного актива. В таких случаях они могут оказывать различное влияние в зависимости от того, какие активы затронуты.

Оценка рисков с точки зрения возможных последствий.

Должны быть разработаны критерии оценки риска для информационной безопасности организации с учетом следующих моментов:

  • стратегическая ценность деловой информации;
  • критичность задействованных информационных активов;
  • эксплуатационная и коммерческая важность доступности, конфиденциальности и целостности информации;
  • ожидания и восприятие заинтересованных сторон;
  • репутационные потери в связи инцидентами.

Оценку рисков следует проводить с учетом вероятности наступления риска и степени влияния возможных негативных последствий. Например, можно составить таблицу с параметрами: низкий, средний, высокий. Шкалу для оценки рисков каждая компания выбирает сама, исходя из потребностей. Более подробно об оценке рисков можно прочитать в нашей статье Риск-ориентированное мышление в стандартах ISO.

Пример оценки рисков в ISO 27001

Особенности удаленной работы

Для удаленной работы существует три сценария:

  • Люди работают из дома или из места, которое не является их домом или организацией (например, кафе, гостиницы, самолеты и т. д.)
  • Люди используют стационарные или мобильные устройства (например, ПК, ноутбуки, планшеты, смартфоны и т. д.)
  • Люди используют публичные или частные сети связи (например, интернет и экстранет).

Знание этих сценариев имеет решающее значение для выявления наиболее вероятных ситуаций, которые могут поставить вашу информацию под угрозу. В связи с переходом многих сотрудников на удаленную работу на первый план выходят угрозы, связанные с:

  • хранением и управлением данных в облачных хранилищах;
  • утечкой и кражей данных;
  • несанкционированным доступом к информационным системам;
  • устаревшими устройствами веб-защиты;
  • устаревшими механизмами удаленного доступа.

Необходимо рассматривать риски с точки зрения появления новых сценариев и проводить переоценку рисков в связи с увеличением вероятности событий.

Так, если в компании отсутствует электронный документооборот или применяется от случая к случаю, могут возникнуть риски не получить своевременно доступ к информации, например, к договорам с клиентами, операционным планам и записям, которые хранятся в виде бумажных документов в офисе.

Массовый переход на системы для онлайн-конференций выявили их уязвимости — а именно отсутствие должной защиты конфиденциальных данных, что может представлять угрозу для организаций. Конфиденциальность также подвержена новым рискам: ведь данные, с которыми работают сотрудники в домашних условиях, с большей вероятностью могут быть раскрыты посторонним лицам.

Может нарушиться и целостность информации — она может быть повреждена и изменена из-за незнания сотрудниками новых инструментов, с которыми им пришлось работать вне офиса.

Если к переходу на удаленную работу организация не обеспечила достаточный ресурс для обеспечения средств хранения информации (серверов, облачной среды), а также не внедрила меры по защите хранящейся информации, не провела обучение сотрудников, могут возникнуть риски для:

  • целостности информации (она может быть по ошибке изменена)
  • конфиденциальности (такая система не обеспечивает защиту от несанкционированного доступа)
  • доступности (сотрудники не могут получить доступ к нужным документам удаленно).

Таким образом, изменение контекста и процессов компании при переходе на удаленную работу требует пересмотра рисков, связанных с информационной безопасностью.

Понравилась эта статья? Интересуют стандарты ISO и системы менеджмента? Подпишитесь на нашу рассылку и регулярно получайте полезную информацию об изменениях в стандартах, разъяснения от аудиторов SGS и примеры лучших практик.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 94 000 сотрудников.

Читайте также: