Средства защиты информации и бизнеса

Применение средств защиты информации в бизнесе

Средства защиты информации и бизнеса

Эта статья ориентирована на руководителей коммерческих организаций и содержит некоторые приемы правовой защиты коммерческой информации.

Если защита правовая, то при чём здесь средства защиты?

Такой вопрос может задать внимательный читатель! Действительно, в современном высокотехнологичном обществе в правовых механизмах регулирования информационных процессов применяют технические средства для создания подходящих правовых условий и ситуаций по определённым правовым схемам.

В качестве примера можно привести введение на предприятии режима охраны коммерческой тайны.

Конфиденциальность коммерческой информации

Одними из ограниченных в доступе режимов обработки данных являются:

  • режим охраны коммерческой тайны;
  • режим защиты персональных данных (персональные данные сотрудников и клиентов);
  • режим охраны секретов производства (ноу-хау).

Мерами по защите вышеупомянутых режимов конфиденциальности являются:

  • правовые;
  • организационные;
  • технические.

Известны случаи, когда неправильно организованные меры документооборота приводили к оспариванию действия режима охраны коммерческой тайны. Например, при нанесении грифа «Коммерческая тайна» отмечались только документы на бумажных носителях и совершенно игнорировались электронные — это могло привести к судебному оспариванию введения режима конфиденциальности.

Фактом подобных нарушений могут пользоваться сотрудники, обвиняемые в разглашении сведений, составляющих коммерческую тайну, чтобы осуществить свою защиту. За нарушение коммерческой тайны нормами Уголовного кодекса РФ установлена уголовная ответственность и для того, чтобы «сбить статью», обвиняемые в разглашении тайны сотрудники могут подвергнуть судебному оспариванию правильность введения режима конфиденциальности.

Организационные меры по соблюдению режима конфиденциальности в компании предусматривают контроль многих процессов. Например, правильную организацию утилизации технических отходов коммерческой деятельности, содержащих конфиденциальные сведения, или контроль внутренней и внешней эксплуатации съемных носителей памяти, и многое другое.

Теоретически, злоумышленники могут получить сведения о wi-fi сети компании из перегоревших «умных лампочек», выкинутых в мусорный контейнер, или восстановить коммерческие документы в, найденных там же, перегоревших «флешках».

Для получения доказательств нарушения действия режима конфиденциальности можно провести информационно-технический аудит, в результате которого могут быть найдены технически незащищённые точки доступа к конфиденциальной информации и открытые каналы внешней связи.

Технические и организационные нарушения ввода режима охраны конфиденциальной информации могут быть усугублены наличием ошибок в правоустанавливающих документах. Юридические ошибки в подготовке пакета документов, неправильный ввод правоустанавливающих документов в документооборот, стратегические ошибки в политиках конфиденциальности и безопасности информации в компании — всё это факты, являющиеся основанием для оспаривания действия установленного режима конфиденциальности в организации.

Подобными ошибками могут воспользоваться сотрудники, конкуренты и контролирующие организации.

ОБРАЩАЙТЕСЬ К СПЕЦИАЛИСТАМ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ!

Читайте также  Назначение системы противодымной защиты

Применение технических средств защиты информации

Технические средства защиты должны применяться комплексно по принципу шахматных защит (одно контролирует другое). Весь комплекс программно-технических средств должен быть настроен специалистами в соответствии с чётко поставленными стратегическими задачами, которые тоже должны быть систематизированы и проверены на исключение диверсионных случаев.

Все элементы системы информационной безопасности компании должны находиться в оперативном управлении службы контроля. В центре управления или в ситуационном центре используются человеческие ресурсы, автоматические и искусственные интеллектуальные системы контроля.

На ключевых узлах программно-технической системы безопасности специалисты устанавливают операционные системы реального времени (ОСРВ), встраивают аппаратные системы защиты от несанкционированного доступа и воздействия, применяют интеллектуальные средства контроля целостности информации внешних и внутренних контуров.

Зачем соответствовать высокому технологическому уровню защиты данных?

Не такой уж простой вопрос, как может показаться вначале. При определении уровня защиты коммерческой информации компании определяется степень интереса конкурентов.

Для противодействия конкурентной разведке осуществляется защита коммерческой информации и определяются схемы оперативного реагирования в случае возникновения информационного инцидента в компании.

Для осуществления некоторых схем реагирования с возникновением серьёзных правовых последствий, требуется установить факт применения технически сложных средств несанкционированного доступа к информации.

Есть такое правило:

ЧЕМ СЛОЖНЕЕ ЗАЩИТА ИНФОРМАЦИИ, ТЕМ БОЛЬШЕ СЛЕДОВ ОСТАВИТ ЗЛОУМЫШЛЕННИК ПРИ ПОЛУЧЕНИИ ДОСТУПА К НЕЙ.

Также, существует утверждение, что чем сложнее защита, тем легче её взломать — это не всегда верно! При построении правильной технической системы защиты сложность больше полезна защищаемой стороне:

  • возможно создание ложных каналов доступа к дезинформации;
  • возможно более детальное изучение атакующих сил;
  • больший выбор применения вариантов блокировки технических средств злоумышленника;
  • и, самое главное, возможно возникновение более тяжёлых правовых последствий для правонарушителей.

В сложной информационной коммерческой диверсии легче определяются отягощающие обстоятельства в виде применения технически сложных устройств, предварительного сговора, совершения преступления группой лиц и другие.

Поэтому сложные системы защиты информации, применение повышенного класса безопасности может быть нужно не столько для сохранения конфиденциальности сведений, сколько для возникновения серьёзных правовых последствий для злоумышленников.

Привлечение к максимальной ответственности и взыскание максимальной компенсации материального ущерба с конкурента за получение несанкционированного доступа к коммерческой тайне компании является видом конкурентной защиты.

Крупные компании сообщают о своих результатах борьбы с информационными ворами в новостных разделах своих сайтов, чтобы факт информационного инцидента, вместо негативных последствий, повышал доверие к надёжности справившейся с атакой компании.

5 февраля 2019 года

автор: юрист Демешин Сергей Владимирович.

Источник: https://zen.yandex.ru/media/info_law_society/primenenie-sredstv-zascity-informacii-v-biznese-5c5890a605fd4400b1da7c43

Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB)

Средства защиты информации и бизнеса

Привет, Хабр! Представляю вашему вниманию перевод и адаптацию статьи «CIS-Controls Implementation Guide for Small- and Medium-Sized Enterprises (SMEs)».

Введение

Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями. Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.

Читайте также  Защита от бросков напряжения в сети

Подобные компании имеют многомиллионные бюджеты, выделяемые на информационную безопасность, и все же они не справляются с обычными атаками. Многие подобные атаки можно было предотвратить известными методами по защите информации, такими как регулярные обновления и практика использования безопасных конфигураций.

Что же тогда делать всем остальным? Как организациям с небольшим бюджетом и ограниченным штатом сотрудников реагировать на увеличивающееся число кибер-преступлений? Данный документ разработан для того, чтобы предоставить владельцам SMB инструменты для защиты своего бизнеса, основанные на CIS Controls. CIS Controls — это комплексный набор хорошо зарекомендовавших себя методов защиты информации, которые противодействуют наиболее распространенным угрозам и уязвимостям.

Данные методы защиты информации разработаны специалистами в предметной области. Среди угроз для SMB можно выделить:

Кража конфиденциальной информации – тип атаки, при которой внешние нарушители или неудовлетворенные работники крадут информацию, которая является важной для компании.

Дефейс сайта — тип атаки, при которой страница web-сайта заменяется другой страницей, чаще всего содержащей рекламу, угрозы или вызывающие предупреждения,.

Фишинг – тип атаки, при которой злоумышленник получает важную информацию (например, логины, пароли или данные кредитных карт) путем подделывания сообщений от доверенного источника (например, электронное письмо, составленное как легитимное, обманом заставляет получателя кликнуть по ссылке в письме, которая устанавливает вредоносное программное обеспечение на компьютер).

Программа-вымогатель — тип вредоносного программного обеспечения, блокирующего доступ к данным на компьютере, в результате чего преступники вымогают выкуп за то, чтобы разблокировать заблокированные данные.

Потеря данных из-за природных явлений или несчастных случаев.

Документ содержит небольшой набор мер по защите информации CIS Controls, специально подобранных для защиты SMB. Поскольку средства защиты информации постоянно меняются, вы можете связаться с нами на сайте и получить последнюю информацию.

Обзор

Безопасность тесно связана с управлением ИТ-инфраструктурой: хорошо управляемую сеть сложнее взломать, чем плохо управляемую.

Чтобы понять, насколько хорошо ваша организация обеспечивает защиту информации, задайте себе следующие вопросы:

  • Знаете ли вы, что ваши сотрудники подключают к своим компьютерам? Какие устройства подключены внутри локальной сети?
  • Знаете ли вы, какое программное обеспечение используется в ваших информационных системах?
  • Вы настраивали компьютеры с учетом требований по информационной безопасности?
  • Вы контролируете доступ сотрудников к конфиденциальной информации или тех, у кого есть повышенные права доступа в системах?
  • Ваши сотрудники хорошо понимают свою роль в защите вашей организации от угроз информационной безопасности?

Ниже перечислены различные бесплатные или недорогие инструменты, а также процедуры, которые помогут вам ответить на перечисленные вопросы и повысить уровень безопасности в организации. Перечисленные инструменты не является исчерпывающими, но они отражают широкий спектр доступных бесплатных или недорогих инструментов, которые любой SMB может использовать для повышения своего уровня информационной безопасности. В данных Рекомендациях предлагается использовать поэтапный подход к построению системы защиты информации:

  • Этап 1 позволяет понять, что находится в вашей сети, и определяет базовые требования по информационной безопасности;
  • Этап 2 уделяет основное внимание обеспечению базовых требований безопасности и обучению сотрудников вопросам информационной безопасности.
  • Этап 3 помогает вашей организации подготовиться к инцидентам по информационной безопасности.
Читайте также  Назначение и порядок использования медицинских средств защиты

На каждом этапе вам будут представлены вопросы, на которые необходимо ответить, а также действия и инструменты, которые помогут достичь ваших целей.

Этап 1. Знай свою инфраструктуру

В самом начале, чтобы продвинуться в вопросе информационной безопасности, необходимо разобраться с локальной сетью, подключенными устройствами, критически важными данными и программным обеспечением. Без четкого понимания того, что вам нужно защитить, вам будет трудно убедиться в том, что вы обеспечиваете приемлемый уровень информационной безопасности.

Ключевые вопросы, которые необходимо держать в голове:

  • Знаете ли вы, какую информацию необходимо защищать? Где в вашей сети хранится самая важная информация?
  • Знаете ли вы, какие устройства подключены к вашей сети?
  • Знаете ли вы, какое программное обеспечение установлено на компьютерах сотрудников?
  • Используют ли ваши системные администраторы и пользователи надежные пароли?
  • Знаете ли вы, какие онлайн-ресурсы используют ваши сотрудники (т. е. работают или сидят в социальных сетях)?

Какую информацию необходимо защищать. Где в вашей сети хранится самая важная информация

Вы можете потерять свой бизнес, если критически важные данные вашей компании будут потеряны, украдены или повреждены. Случайные события и природные катаклизмы также потенциально могут нанести непоправимый ущерб. Кроме того, потенциальные злоумышленники нацелены на данные, которые могут иметь ценность для них. Этими злоумышленниками могут быть как хакеры, так и сотрудники вашей компании, которые хотят украсть ваших клиентов, финансовую информацию или интеллектуальную собственность. Чтобы использовать ценную информацию, они должны получить к ней доступ, а доступ, как правило, они получают через локальную сеть организации. Чтобы защитить свой бизнес, вам нужно понимать ценность ваших данных и как их можно использовать. Также необходимо определить, какую информацию требуется защищать в рамках законодательства, например, платежная информация или персональные данные. Ниже представлены примеры данных, которые вам необходимо идентифицировать и инвентаризировать:

  • Кредитные карты, банковская и финансовая информация;
  • Персональные данные;
  • Базы данных клиентов, цены на закупку/поставку;
  • Коммерческие секреты компании, формулы, методологии, модели, интеллектуальная собственность.

Также представлены основные федеральные законы, которые определяют требования по защите информации (которые могут относиться к SMB) [от переводчика: документы вставлены с учетом Российского законодательства]:

  • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;

Источник: https://habr.com/ru/post/348892/