Защита информационных активов

В данной статье мы с вами разберемся, что такое информационные активы, а также обсудим, какие из них и от кого нам необходимо защищать.

Начнем с теории

Для начала узнаем, что такое информационный актив. Это любые данные, представленные на материальных носителях и имеющие ценность для организации, ими обладающей. Информационные активы должны идентифицироваться, обрабатываться, храниться или передаваться.

Эти требования, в свою очередь, совпадают с задачами специалиста по информационной безопасности, основными из которых является обеспечение доступности, целостности и конфиденциальности информации.

Давайте разбираться, какую информацию необходимо защищать

Информация может быть общедоступной (не содержащей никаких конфиденциальных данных) и конфиденциальной, при этом конфиденциальная информация определяется или по внутренним требованиям компании, или по требованиям регуляторов.

Так, есть федеральные законы и положения, определяющие требования к конфиденциальной информации:

• Положение № 1233 от 3 ноября 1994 года о порядке обращения со служебной информацией ограниченного распространения в ФОИВ с дополнениями от 18 марта 2016 года.

  Данное положение обязывает проставлять пометку «Для служебного пользования» на документах, содержащих служебную информацию ограниченного распространения.

  Нарушение данного положения может повлечь наложение административных штрафов как на граждан (от 5 до 10 тысяч рублей), так и на должностных (от 40 до 50 тысяч рублей или дисквалификацию на срок до 3-х лет) и на юридических лиц (от 100 до 200 тысяч рублей).

• Федеральный закон 98 от 29 июля 2004 года «О коммерческой тайне».

  Данный закон обязывает включение в состав реквизитов документа грифа «Коммерческая тайна».

  Санкции за нарушение данного закона уже гораздо серьезнее, регулируются 183 статьей УК РФ и могут включать:

  • Лишение свободы на срок до 2 лет.
  • Штрафные санкции в размере до 500 000 рублей.
  • Исправительные работы на срок до 2 лет.
  • Принудительное лишение права занимать руководящие должности или должности, которые предусматривают работу с секретными данными.
• Федеральный закон 152 от 27 июля 2006 года «О персональных данных».

  Данный закон обязывает проводить регистрацию и учет всех действий, совершаемых с персональными данными.

  За нарушение данного закона законодательством предусмотрена дисциплинарная (увольнение), гражданско-правовая (возмещение убытков), административная (со штрафами до 18 миллионов рублей для юридических лиц) и даже уголовная ответственность (со сроком лишения свободы до 7 лет).

Как вы понимаете, штрафные санкции регуляторов – не единственная проблема для организации, допустившей утечку конфиденциальной информации. Необходимо также учитывать финансовые и репутационные риски и помнить, что конфиденциальная информация, попавшая в руки злоумышленников, может использовать ими для проведения более масштабных атак, нередко приводящих к полной остановке деятельности организации.

От кого же необходимо защищать конфиденциальную информацию?

Всю защиту информационных активов можно разделить на две больших задачи защиты от внешнего нарушителя и защиты от внутреннего нарушителя.

Традиционно на протяжении существования информационной безопасности как понятия внешние нарушители (в простонародье «хакеры» в самом широком смысле этого слова) считаются основной угрозой для любой компании. Мы регулярно слышим про сбои в работе крупных организаций из-за атак на их инфраструктуру и видим новости о «сливах» баз данных крупных российских и зарубежных компаний. Но нужно понимать, что далеко не все такие случаи становятся достоянием общественности. Так, сбои в работе некоторых компаний пользователи не успевают заметить (к сожалению, в том числе, из-за того, что многие организации, боясь репутационных рисков, платят выкуп злоумышленникам, естественно, мотивируя их на дальнейшую противоправную деятельность), а распространяемые по сети базы данных, зачастую, являются уже отработанными злоумышленниками для проведения более серьезных атак, в том числе, с использованием социальной инженерии. При этом, к сожалению, в последнее время внутренние нарушители не менее опасны для организаций. Произошло это по двум причинам:

1. Мотивация для любого нарушителя (и внешнего, и внутреннего) стала абсолютно одинаковой. Если раньше считалось, что промышленный шпионаж и хактивизм – прерогатива хакеров, а на долю внутренних инсайдеров остается финансово мотивированная кража данных, то сейчас среди сотрудников компаний появляются сотрудники, предоставляющие конфиденциальную информацию конкурентам, или нарушающие работу компании из-за несогласия с политическими взглядами руководства.
2. Проведение атак стало максимально доступным в техническом и финансовом плане. Большинство операторов программ-шифровальщиков создали свои «партнерские программы», позволяющие «взять в аренду» дистрибутив вируса под любую операционную систему, заплатив процент от выкупа лишь после проведения успешной атаки. А множественные ресурсы предлагают за небольшие (от 20$) деньги, доступы к организациям, имеющим «дыры» в информационной безопасности.

Отсюда, как вы понимаете, напрашивается вывод, что защищаться нужно не только от внешнего, но и от внутреннего нарушителя.

Можно сразу обговорить, что любая защита информации может решиться запретом всего внутри организации. Создается полностью изолированная инфраструктура, вводится и организационный, и технологический запрет на использование любых (включая мобильные устройства) носителей информации внутри контура организации, вокруг физического периметра выстраивается забор очень внимательным охранником на проходной. Такой подход имеет место быть в некоторых организациях, где коммуникация с внешним миром, в принципе, не нужна, но это скорее исключение из правил, и в данной статье подобные, зачастую, абсурдные методы мы рассматривать не будем.

Да, организационные меры, в любом случае, нужны, но для защиты от внутренних и внешних злоумышленников необходимо использовать специальные средства защиты информации, о которых мы поговорим в следующей статье.