В свете последних событий важно задаться вопросом: насколько необходимо обеспечивать защиту данных для различных предприятий? Согласно аналитическим данным экспертов, за последние годы количество кибератак выросло от 4 до 20 раз, варьируясь в зависимости от отрасли и типа атак. Однако следует отметить, что никто не застрахован от подобной угрозы. Поэтому, безусловно, все предприятия должны придавать большое значение защите информации.

Конечно, безопасность данных на предприятии — это в первую очередь забота владельца. Именно команда владельца в лице руководителей и менеджеров предприятия привлекается для обеспечения безопасности.

Регуляторами в сфере информационной безопасности разработано значительное количество нормативных документов, включая требования по защите значимых объектов критической информационной инфраструктуры (187-ФЗ), персональных данных (152-ФЗ), государственных информационных систем (149-ФЗ) и другие. Бытует мнение, что требования вышеуказанных документов относятся только к (около)государственным предприятиям, что, конечно, далеко от реальности, поскольку ответственность за защиту не зависит от формы собственности или доли владения государством.

Когда же лучше беспокоиться о защите информации на предприятии? Ответ очень простой — чем раньше, тем лучше. Причем независимо от того, в какой стадии развития находится организация. Это может быть текущая деятельность без каких-либо изменений с точки зрения структуры. Или период внедрения новых ИT-сервисов на предприятии, таких как системы формирования отчетности, системы документооборота и другие различные проявления цифровизации.

При внедрении новых для предприятия цифровых сервисов часто возникает ситуация, когда на предприятии возникает конфликт между ИT-специалистами, которые обеспечивают внедрение новых сервисов, и лицами, ответственными за безопасность на этом же предприятии, которые стремятся защищать имеющуюся инфраструктуру и активы компании и неохотно позволяют вносить изменения в текущие процессы. В данном случае практика показала, что внешние специалисты могут обеспечить диалог между противоборствующими сторонами и выработку оптимальных решений, соответствующих требованиям по безопасности информации и осуществляющих необходимый новый функционал.

При проектировании и реализации механизмов защиты информации на предприятии рекомендуем применять отлично зарекомендовавшую себя стратегию — выработать систему, при которой меры информационной безопасности перестанут быть решением частных вопросов, а станут неотъемлемым элементом жизни предприятия.

Первый совет по стратегии — сделайте механизмы обеспечения безопасности информации на предприятии неотъемлемым элементом системы функционирования предприятия.

В качестве антипримеров, иллюстрирующих необходимость системного подхода, можно привести несколько ситуаций, с которыми наши эксперты сталкиваются при проведении аудита информационной безопасности различных предприятий.

Наиболее часто встречающаяся проблема бессистемного подхода — организация сформулировала потребность в применении в составе своей инфраструктуры межсетевых экранов, выбрала самые дорогие и передовые решения, представленные на рынке, закупила и установила их, но при этом сотрудники организации регулярно применяют USB-модемы на рабочих местах для выхода в Интернет в личных целях или для более удобного по их мнению решения рабочих задач. В этом случае применение дорогого и даже правильно настроенного межсетевого экрана теряет весь смысл.

Следующий ошибочный подход при внедрении — применение шаблонных организационно-распорядительных документов, отражающих вопросы защиты информации на предприятии. Необходимо, чтобы внутренние документы отражали конкретное состояние дел на вашем предприятии. Без серьезной переработки применительно к вашему предприятию шаблонные меры в большинстве случаев не работают.

Второй совет — при обеспечении безопасности данных необходимо всегда «приземлять» требования нормативных документов и типовых концепций к реалиям конкретного предприятия.

В чем же заключается системный подход? Вне зависимости от текущего состояния вопросов защиты информации в организации рекомендуется следующая последовательность действий.

Шаг 1. Необходимо провести аудит внутренними силами или с привлечением внешних специалистов. При этом зачастую слово «аудит» вызывает негативное отношение, так как предприятия уже имеют опыт проведенных аудитов без четких результатов. И вот именно тут кроется первая важная деталь — нужно изначально точно понимать цели, чтобы аудит не проводился ради самого аудита. Применительно к обеспечению безопасности информации можно выделить следующую цель: выявить активы предприятия, которые необходимо защищать. Как это ни парадоксально, наша практика работы на предприятиях показывает, что многие руководители зачастую не знают о существовании некоторых активов, которые следует защищать, хотя считают, что неплохо разбираются, в том как у них построена система защиты.

«Что же является активом?» — вопрос, на который подавляющее большинство руководителей или менеджеров организации затрудняются ответить. Например, котельная или система кондиционирования на первый взгляд не очень соотносится с «информационной» безопасностью, при этом вполне реализуем сценарий кибератаки, когда выведение из строя нарушителями системы кондиционирования в серверной приводит к перегревам оборудования и преждевременному выходу его из строя.

Еще один антипример: организация выполняла разработки, проверяла все технические решения на автономном выделенном стенде, не включенном в общий сегмент сети, причем на флешках из этого автономного стенда переносила все решения в производственную среду. Парадокс заключался в том, что на автономный стенд не распространялись регламенты и политики обеспечения безопасности, такие как антивирусная защита и другие. То есть из тестового сегмента сети во время технологического обновления на флешках могло переноситься зловредное программное обеспечение в производственную среду. Но сами владельцы стенда и разработчики на предприятии такую угрозу не рассматривали.

Бывают случаи, когда организация уверена, что документооборот является защищенным, потому что работает на внутренних серверах и письма с пометкой «ДСП», «Конфиденциально» обрабатываются в общем контуре без разграничения прав доступа. Это тоже пример, который требует исправления со стороны специалистов по информационной безопасности.

Здесь можно дать следующий совет: у сотрудников предприятия может быть замыленный взгляд, поэтому рекомендуем периодически приглашать для аудита именно внешних специалистов.

Шаг 2. Следующий шаг, который вам потребуется сделать, — выявить реальные угрозы для предприятия. Для этого проводят моделирование угроз безопасности. Существует множество методологий оценки угроз — некоторые из них ориентированы на возможные сценарии действий нарушителя (например, дерево атак). Также существуют риск-ориентированные методологии (в частности, DREAD), которые опираются не только на оценку вероятности события, но и на возможные последствия события, которые могут исчисляться и в денежном выражении. Для высококвалифицированного специалиста в области информационной безопасности эффективными являются методологии с применением экспертной оценки, поскольку он по опыту может определить наиболее вероятные угрозы.

В качестве помощи специалистам при определении угроз безопасности информации ФСТЭК России на своем сайте опубликовал и непрерывно обновляет банк данных угроз безопасности информации и методику оценки угроз безопасности информации. Для систем с предопределенными требованиями по защите информации рекомендуется применять именно ее.

Последующие шаги — выработка мер противодействия угрозам, проектирование системы защиты, закупка, установка и настройка — являются, как правило, более понятными ИТ- и ИБ-специалистам предприятия. Здесь я не буду подробно останавливаться и подчеркну важность правильного выполнения описанных выше первых шагов.

В последнее время кибератаки значительно видоизменились — с момента нарушения периметра до момента обнаружения нарушителя в системе в среднем проходит три-четыре месяца, и за это время нарушитель, как правило, уже нашел самые важные и незащищенные активы, например, скопировал базу данных пользователей предприятия, и дальше готов к реализации атаки, скажем, в виде внедрения вируса-шифровальщика с последующим требованием выкупа.

Сформулирую ряд практических советов, которые могут помочь в процессе внедрения системы защиты информации на предприятии.

В качестве применения системного подхода хорошим подспорьем будут стандарты ГОСТ Р ИСО/МЭК серии 27ххх. Пропишите ответственность каждого лица в той области, за которую он отвечает. Тенденции внедрения персональной ответственности подтверждаются ужесточением нормативной документации с внедрением «оборотных штрафов» за нарушение безопасности данных, а также персональной ответственности руководителя предприятия.

Следующий совет: не бойтесь переходить на сертифицированные отечественные операционные системы. Инфраструктуру почти всегда можно построить на таких отечественных решениях, а частные узкие места устраняются с помощью средств виртуализации. Данный способ в целом соответствует требованиям по переходу на импортозамещающие технологии и обеспечивает технологическую независимости в соответствии с Указом Президента Российской Федерации от 30.03.2022 г. № 166.

Третий совет: реализация базовых мер не обязательно требует выделения больших бюджетов. После проведения аудита и завершения проектирования системы защиты информации на предприятии можно определить поэтапный план реализации программы защиты информации. На первом этапе базовые меры можно свести к следующим:

1. Сформулируйте и внедрите систему управления паролями на предприятии.
2. Сформулируйте и внедрите политику антивирусной защиты на предприятии.
3. Обеспечьте защиту периметра, при этом особое внимание уделяйте настройкам средств защиты информации, потому что само по себе наличие средств защиты информации без правильной настройки не является действенным механизмом.
4. Проводите обучение пользователей для предотвращения возможных фишинговых атак.
5. По возможности используйте сертифицированные средства защиты информации — хотя бы потому, что разработчики сертифицированных средств обязаны устранять уязвимости после того как они обнаружены в их продуктах.
6. Грамотно разделяйте информационную инфраструктуру на сегменты сети и обеспечивайте меры безопасности на границе этих сегментов
7. Знайте свои активы — не только системы, реализующие прямой функционал на предприятии, но и обеспечивающие системы. Обеспечивающими системами могут быть системы тепло- и энергообеспечения, каналообразующие элементы системы, системы кондиционирования, системы пожаротушения помещений и оборудования, системы контроля и управления доступом, системы видеонаблюдения и др.
8. Применяйте системный подход — периодический аудит и контроль защищенности обойдутся дешевле, чем реагирование по факту реализованной атаки или срочное реагирование на требования регуляторов.

Реальная безопасность важна, и зачастую осознание приходит только после того, как эта безопасность уже серьезно нарушена. Здесь очень подходит поговорка «что имеем не храним, а потерявши плачем».

Обращайтесь к специалистам, которые могут обеспечить выполнение полного комплекса работ от аудита до проектирования, внедрения и периодического контроля защищенности вашего предприятия.