F.A.Q. по ИБ или Все, что Вы хотели знать об информационной безопасности

Что такое информационная безопасность и при чем здесь активы организации?

Информационная безопасность – это состояние защищенности активов, выраженное в поддержании их свойств (конфиденциальности, целостности и доступности).

Актив – это информация или что-то, представляющее ценность для организации. Таким образом, защита активов и поддержание состояния информационной безопасности позволяет организации достигать своих целей (внутренних или внешних: связанных с взаимодействиями с клиентами и контрагентами, или направленных на работу сотрудников и внутренних подразделений), а нарушения информационной безопасности активов могут приводить к подрыву жизнедеятельности организации и негативным последствиям (финансовы потерям, человеческим жертвам, подрыву безопасности государства, нарушению работы пользователей и т.д.).

К активам организации может относиться защищаемая информация, включая:

• базы данных;
• персональные данные сотрудников и контрагентов;
• финансовые документы;
• исходные коды разрабатываемых программных продуктов;
• коммерческая тайна и ноу-хау.

Так что же нужно защищать или конфиденциальность, целостность, доступность (КЦД) как ключевые свойства информационной безопасности?

Традиционно информационная безопасность понимается как совокупность трех свойств соответствующего актива: конфиденциальности, целостности и доступности (часто их сокращают до КЦД, или CIA в английской интерпретации). Давайте рассмотрим их определения.

Конфиденциальность (Confidentiality) – это состояние защищенности информации от несанкционированного доступа, а также от утечек, когда информация становится известна неопределенному кругу лиц.

Целостность (Integrity) – это сохранение информации в ее изначальном виде и защите от несанкционированных изменений: как внесения ошибочных данных, так и умышленного искажения.

Доступность (Availability) – сохранение доступности информации для тех, у кого есть право на ее просмотр и использование, в то время, когда это необходимо.

В последнее время к ним добавляют ещё два свойства:

Аутентификация (Authentication) - удостоверение подлинности субъекта взаимодействия или электронного сообщения.

Неотрекаемость (Nonrepudiation) - невозможность отказа от совершенных действий, например, подписания банковской транзакции.

Подробнее об этом можно прочитать в CISSP Common Body of Knowledge (фреймворк, организующий знания в области информационной безопасности в виде 8 доменов).

Таким образом, обеспечивая свойства информационной безопасности для защищаемых активов, организации реализуют ИБ на практике.

А от чего происходит защита, и что такое угрозы и риски информационной безопасности?

Представляя собой ценность, активы подвержены угрозам. Угрозы заключаются в нарушении свойств ИБ и связаны с соответствующими рисками (то есть с величиной негативных последствий реализации угрозы, с учетом вероятности и ущерба). Акторами угроз могут быть как злоумышленники, действующие целенаправленно, так и непреднамеренные действия сотрудников и контрагентов, а также технические сбои, стихийные бедствия и иные внешние обстоятельства.

Визуально связь угроз, рисков и активов можно представить следующим образом (Адаптировано на основе рисунка 2 ГОСТ Р ИСО/МЭК 15408-1-2012):

И получается, что активы, представляющие ценность для деятельности организации, подвержены угрозам, которые, в свою очередь, формируют риски. А риски информационной безопасности требуют анализа и последующей обработки, что включает в себя реализацию защитных мер (организационных и технических), призванных уменьшить «масштаб бедствия» путем:

• либо уменьшения вероятности реализации угрозы (например, с помощью внедрения WAF уменьшаются шансы злоумышленника на успешную SQL-инъекцию в базу данных веб-приложения);
• либо снижения величины последствий (например, путем реализации «горячего резервирования» вычислительных мощностей и баз данных даже при выводе из строя каких-то хостов, другие должны подхватить нагрузку незаметно для конечного пользователя);
• либо переноса соответствующего риска на третью сторону (например, за счет страхования киберинцидентов и выплаты сопутствующих реализации угроз компенсаций силами страховых компаний).

Более подробные и детальные описания подходов к управлению рисками даны в ISO 310001 и NIST Risk Management Framework.

Кому нужна информационная безопасность в организации?

Если вы дочитали до этих строк, то вероятно – Вам! И шире – организации в целом. Но что такое «организация в целом»? Это прежде всего её система управления, представленная в виде совокупности руководства организации (топ-менеджмент, совет директоров и т.д.), акционеров или владельцев (для государственных и некоммерческих организаций в их роли выступают органы представляющие интересы людей, для пользы которым функционирует организация), и отдельных специальных ролей или подразделений, включая службу ИБ.

Для достижения поставленных целей организация, в лице своей системы управления, наряду с экономическими, кадровыми, производственными и другими вопросами должна принимать во внимание вопросы информационной безопасности и включать ее аспекты в свою модель управления: от стратегического планирования до повседневной операционной деятельности. Подробнее про подходы к управлению ИБ на основе ситуационных моделей вы можете прочитать в соответствующем материале.

Главными драйверами здесь являются:

• потребности клиентов и контрагентов, включая сохранение деловой репутации и конкурентноспособности;
• требования регуляторов и штрафные санкции, включая возможность ведения деятельности на территории той или иной страны.

Сегодня можно часто услышать об «утечках», «сливах баз данных», «шифровальщиках», «приостановке работы из-за DDoS» и других атаках на организации. Подобные проблемы чреваты серьезными последствиями для любой организации, но если организация уделяет должное внимание ИБ, то злоумышленнику придется постараться, чтобы успешно реализовать ту или иную угрозу, пройти сквозь внедренные меры защиты и как-то нарушить информационную безопасность активов компании.

В условиях, когда практически в любой организации, от детского сада и кофейни, до сети автозаправок и государственных служб, активно используется автоматизация и ИТ, обеспечение ИБ соответствующих активов становится одной из жизненно важных задач. Выстраивая комплексные системы защиты и гармонизируя ИБ с системой управления организацией в целом, мы можем целенаправленно управлять рисками реализации угроз, и затруднять успешные действия злоумышленника, что может выражаться в:

• предотвращении успешных атак и реализованных инцидентов;
• обеспечении непрерывности и отказоустойчивого функционирования организации;
• детектировании произошедших инцидентов и своевременного реагирования на них;
• возможности восстановления после инцидентов и продолжения работы.

Таким образом, информационная безопасность позволяет организации минимизировать риски (или, как их называет популяризуемый Positive Technologies фреймворк «результативной кибербезопасности» - недопустимые события), и оставаться «на плаву», несмотря на внешние обстоятельства, препятствующие достижению поставленных целей.

Как можно обеспечить информационную безопасность и при чем здесь система защиты информации?

Информационная безопасность обеспечивается за счет внедрения системы защиты информации.

Иногда, как в семействе ГОСТ Р 57580, отдельно выделяется система управления ИБ как совокупность непосредственно управленческих практик, обеспечивающих по заветам Деминга: планирование, реализацию, контроль/обучение и совершенствование/внедрение, и система защиты как совокупности конкретных организационно-технических мер, закрывающих организацию от конкретных угроз (подробнее этот вопрос рассмотрен в Какие есть способы обеспечения информационной безопасности или меры защиты?).

Лучшей практикой здесь является опора на нормативно-правовые акты (далее – НПА) и отечественные и международные стандарты. Основанные на опыте предшествующих поколений и многочисленных исследованиях и статистике в области ИБ они позволяют системно подойти к вопросу развития ИБ в организации, и зачастую предлагают различные способы измерения уровня зрелости ИБ и приоритезации задач, требований, процессов и направлений.

К наиболее распространенным в России НПА и стандартам, регулирующим информационную безопасность, можно отнести:

• 152-ФЗ «О персональных данных»;
• 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• комплекс стандартов ГОСТ Р ИСО/МЭК 15408;
• семейство стандартов ГОСТ Р 57580 (поддерживается Банком России и соответствующими положениями о защите информации);
• семейство стандартов ISO 27x (последние актуальные редакции ISO/IEC 27001 и 27002 датированы 2022 годом);
• PCI DSS (последняя актуальная версия 4.0.1 выпущена в 2024 году);
• иные стандарты и практики, включая семейство NIST, CIS, OWASP и SWIFT CSCF.

Кто, что и как угрожает информации и при чем здесь БДУ ФСТЭК и MITRE ATT&CK?

Угрозы информационной безопасности – это совокупность событий и действий, приводящих к нарушению безопасности информации (подробнее см. ответ на вопрос Так что же нужно защищать или конфиденциальность, целостность, доступность (КЦД) как ключевые свойства информационной безопасности?). Угрозы можно разделить по отношению к информационным системам какой-либо организации на внешние и внутренние.

К внешним угрозам относятся те угрозы, которые могут воздействовать на организацию из-за её пределов (через общедоступные сети и интернет), без легитимного доступа к системе, например:

• эксплуатация злоумышленниками имеющихся в системе уязвимостей и ошибок конфигурации. В случае успеха подобные атаки могут приводить к «захвату» системы и полному контролю над ней со стороны злоумышленника;
• заражение системы вредоносным программным обеспечением, которое может или уничтожить имеющуюся информацию или зашифровать ее (сделать недоступной). Злоумышленник в случае шифрования данных может потребовать выкуп в обмен на расшифровку. Заразить систему вредоносным ПО может и сотрудник компании, это будет уже внутренняя угроза;
• DDoS-атаки могут полностью остановить работу компании или учреждения, тогда как для многих компаний даже краткосрочная остановка бизнес-процессов может оказаться критичной. На восстановление атакованной системы может потребоваться большое количество ресурсов и времени;
• социальная инженерия – действия злоумышленников, направленные на сотрудников компании, работающих с ценной информацией. Это может быть обман или злоупотребление доверием, цель которых – получение доступа к конфиденциальной информации, вывод оборудования из строя или запуск вредоносного ПО;
• потеря данных по причине внешних обстоятельств, например, стихийных бедствий, вследствие которых повреждаются носители информации.

Источником внутренних угроз обычно являются сотрудники организации или иные субъекты с легитимным доступом к соответствующим активам (например, сторонние разработчики или подрядные организации осуществляющие ИТ-аутсорсинг). Нарушение безопасности информации может произойти по неосторожности, по ошибке или в результате сбоя в работе автоматизированной системе. Например, если сотрудник ошибется и отправит документы, содержащие конфиденциальную информацию, по неверному адресу или удалит документы, для которых не созданы резервные копии. Кроме того, у сотрудника может быть корыстный мотив, такой как месть или получение выгоды – тогда возможно объединение внешних и внутренних угроз, когда инсайдер с легитимным доступом к активам помогает внешним злоумышленником в «взломе организации». Так, организованная группа может наладить продажу баз данных организации конкурентам. Или подорвать работу объекта критической информационной инфраструктуры (КИИ), нанеся ущерб безопасности государства или причинив социально-экономический ущерб в масштабах страны, как говорилось выше.

Когда определены активы компании и потенциальные угрозы, можно оценить риски от реализации той или иной угрозы (более подробно о рисках и их оценке см. в ответе на вопрос А от чего происходит защита, и что такое угрозы и риски информационной безопасности?).

Подробные классификации угроз, злоумышленников и сценариев атак можно найти в БДУ ФСТЭК и в матрице MITRE ATT&CK.

Какие есть способы обеспечения информационной безопасности или меры защиты?

По аналогии с ответом на вопрос Как можно обеспечить информационную безопасность и при чем здесь система защиты информации? в качестве первоисточника идей и мер защиты следует воспользоваться нормативами, среди которых выделяется ISO/IEC 27002:2022.

С ними связанны специализированные источники требований, например ISO/IEC 27017:2015, посвященный специфическим требованиям к безопасности облачных технологий; или ISO/IEC 27031:2011, затрагивающий вопросы непрерывности бизнеса и отказоустойчивости – в этом смысле не стоит ограничиваться только ISO/IEC 27002:2022 - 27-я серия представляет собой семейство стандартов.

Дополнительным преимуществом использования данного стандарта является наличие его сопоставления с другими стандартами и нормативами: от NIST cybersecurity framework и PCI DSS, до отечественных ГОСТ Р 57580 и требований приказов ФСТЭК России № 17 и № 21.

Помимо прочего, как мы рассказывали в статье про ситуационную модель управления ИБ и соответствующий подход, возможно применение автоматизированных решений класса sGRC, в которых существует функционал, позволяющий после инвентаризации активов и выявления актуальных угроз, посмотреть на рекомендуемые меры защиты и сопутствующие сценарии реализации.

Таким образом, после инвентаризации активов и выполнения процедур по управлению рисками ответственные за ИБ организации могут приступить к выбору мер защиты информации.

Традиционно, меры защиты делятся на организационные (требующие реализации соответствующих процессов и процедур, но не требующих технических решений, например – реализация сопровождения гостей на контролируемой территории ответственными) и технические (требующие не только наличия процесса и процедуры, но и соответствующего технического решения, например – антивируса, срабатывающего при детектировании вредоносной активности и блокирующего соответствующие системные вызовы).

Важно понимать, что недостаточно лишь однажды внедрить меры по защите и считать, что дело сделано. Обеспечение информационной безопасности – это не однократное действие, а непрерывный процесс, и именно поэтому так важно осознание ситуационного подхода к управлению ИБ.

Возможно ли самостоятельно внедрить ИБ в компании?

Обеспечение информационной безопасности – это непрерывный процесс, требующий экспертных компетенций, ресурсной поддержки и интеграции в операционные и стратегические цели организации (в систему управления организации в целом). Выстроить соответствующие процессы без профильных специалистов – утопия. Поэтому даже небольшим организациям, начиная с определенного масштаба, стоит начать задумываться о минимальном наборе защитных мер и выстраивании соответствующих процессов. Понять, актуальна ли ИБ для вас или она может подождать, можно самостоятельно или с привлечением профильных специалистов (здесь полная аналогия с медициной, со всей проблематикой медицинских услуг). Ответственные за ИБ могут быть как наняты в штат, так и находиться на аутсорсинге. Могут существовать и гибридные модели, когда в маленькой организации есть собственный сотрудник ответственный за ИБ, усиленный внешней экспертизой, предоставляющей отдельные сервисы (например, SOC или методологическую поддержку в части 152-ФЗ и организации обработки персональных данных). В этих условиях «хорошее решение» — это решение, основанное на анализе уникального контекста и потребностей конкретной организации, её ресурсов и ограничений, сложившейся модели управления и актуальных угроз и рисков ИБ.

Чем мы можем помочь

Мы предоставляем комплексные услуги в сфере информационной безопасности, от методологии и комплаенса (оценки соответствия и аудиты, моделирование угроз и разработка внутренних нормативных документов, анализ правоприменительной практики и судебная экспертиза и т.д.), до инженерно-технических работ (тестирование на проникновение, анализ защищенности, безопасная разработка и т.д.), и готовы подключаться как к отдельным проектным задачам, так и поддерживать процессы ИБ в режиме «подписки» в роли аутсорсеров или виртуального CISO.

Помимо услуг (аудита и консалтинга) наша компания занимается работами по поставке и внедрению средств защиты, выстраиванию организационно-технических мер защиты своими руками, проектированию, внедрению и поддержке эксплуатации комплексных систем защиты. Подробнее про наше портфолио, кейсы и направления работ можно прочитать здесь. В случае заинтересованности в наших работах и услугах свяжитесь с нами по указанным на сайте контактам, или напишете на почту: inbox@radcop.online. Мы будем рады обсудить ваши потребности и найти взаимовыгодные сценарии сотрудничества.