Вряд ли в одной статье можно охватить все аспекты информационной безопасности. Поэтому сегодня мы ответим на ключевые вопросы про ИБ: что это, зачем нужно и как реализуется выглядит на практике.
Допустим, вы владелец интернет-магазина. Даже если небольшого — вы все равно работаете с чувствительной информацией. Например, храните документы финансового отдела или бухгалтерии, базу клиентов и, возможно, данные сотрудников. Все это надо тщательно охранять. Этим и занимается отдел информационной безопасности.
Что такое информационная безопасность
Когда бизнес был полностью «бумажный», компании прятали все ценные данные в сейфах и тайниках. С развитием технологий бизнес стал переводить информацию в «цифру» и защищать ее не только физическими способами, но и виртуальными.
Рассмотрим пример. Компания, обрабатывающая персональные данные сотрудников и клиентов, специально для размещения ИСПДн арендует Облако 152-ФЗ. Законодательство разрешает хранить ПДн в провайдерских облачных сервисах, если инфраструктура, на которой он построен, соответствует требованиям регуляторов.
Комплекс мер физической и информационной безопасности такого облака полностью соответствует требованиям Роскомнадзора, ФСТЭК и ФСБ. В дата-центр, а тем более, к самому серверу, не попасть без пропуска и соответствующего уровня доступа. Для защиты на «виртуальном» уровне используются средства защиты информации: межсетевые экраны, средства обнаружения вторжений, криптографические инструменты, антивирус, инструменты шифрования и многое другое.
Что обеспечивает информационная безопасность
ИБ отвечает за соблюдение трех принципов — конфиденциальности, целостности и доступности информации.
Конфиденциальность гарантирует, что доступ к данным есть только у авторизованных лиц — то есть тех, кто имеет на это право. Например, данные для входа в ваш аккаунт Telegram или любого другого мессенджера знаете только вы. Если пароль попадет к злоумышленнику, конфиденциальность информации будет нарушена.
Целостность информации означает, что все данные хранятся в полном объеме и неизменном виде. Если кто-то авторизуется в вашем профиле Telegram без вашего ведома и удалит или отредактирует сообщения, целостность информации пострадает.
Доступность подразумевает, что тот, кто имеет право на доступ к определенным данным, всегда может им воспользоваться. Продолжая аналогию: если вдруг Telegram «ляжет» под атакой хакеров, доступность информации нарушится.
Виды информации и методы их защиты
В глобальном понимании любая информация делится на общедоступную и конфиденциальную. К первому типу доступ имеют все, к второму — только конкретные лица.
Может сложиться ложное впечатление, что защита необходима только конфиденциальной информации. Это не так — информационная безопасность занимается и общедоступными данными. Общедоступные данные тоже должны быть защищены. На них не распространяется принцип конфиденциальности, однако за их целостностью и доступностью следить нужно обязательно.
Рассмотрим пример. Помните, несколько минут назад вы представляли себя в роли владельца интернет-магазина? Публичную часть контента на вашем сайте (фотографии и описание позиций, адрес магазина и пр.) может посмотреть любой посетитель. Тем не менее, эти данные должны оставаться под защитой — вряд ли вы будете рады, если злоумышленник взломает интернет-магазин и изменит контент карточек товаров.
Конечно, ключевая задача ИБ — защита конфиденциальных данных. Получение несанкционированного доступа к ним может обернуться не только уроном репутации, но и более серьезными последствиями,например, штрафом, потерей прибыли или противозаконными действиями в отношении ваших клиентов.
Разберем, что относится к конфиденциальной информации.
- Персональные данные (ПДн)
- Коммерческая тайна
- Профессиональная тайна
- Служебная тайна
- Гостайна
Это информация, с помощью которой можно идентифицировать конкретного человека: паспортные данные, email и номер телефона, биометрия, религиозные и философские убеждения. В России персональные защищаются 152-ФЗ. Подробнее о ПДн и их защите мы уже рассказывали в этой статье. Выполнить требования законодательства и регуляторов компаниям помогают облачные провайдеры. Бизнес может арендовать готовую для размещения ИСПДн инфраструктуру, аттестованную по 152-ФЗ, и снять с себя часть ответственности по защите ПДн.
К ней относится информация, при утечке которой бизнес может потерять прибыль. Например, базы данных клиентов, используемые технологии. Даже рецепт соуса для бургеров может быть коммерческой тайной! При этом каждая компания самостоятельно определяет, что попадает в эту категорию, а что нет. Некоторые ограничения все-таки есть. Например, нельзя скрывать имена учредителей юридического лица или условия труда в компании. За более подробной информацией рекомендуем обратиться к 98-ФЗ.
В эту категорию попадают данные, относящиеся к профессиональной деятельности. Существует адвокатская, нотариальная, врачебная и другие подвиды профессиональной тайны.
Это данные, которые известны конкретным службам. Например, государственным органам — налоговой или ЗАГСу. Такая информация предоставляется исключительно по запросу.
Это самые секретные данные — ведь от их сохранности зависит безопасность государства. К государственной тайне относятся данные разведки, информация о засекреченных научно-технических разработках, военные сведения и многое другое.
Как компании защищают конфиденциальные данные
Наиболее распространенная задача бизнеса в ключе информационной безопасности данных — защита персональных данных. За тем, как бизнес обращается с ПДн, следят регуляторы. Вопреки распространенному мнению, персональные данные можно размещать не только в локальной инфраструктуре, но и в провайдерских облаках. Важное требование — выбранное вами облако должно соответствовать 152-ФЗ и иметь подтверждающий это документ.
Перед тем, как арендовать облако для работы с ПДн, необходимо убедиться, что сервис вам подходит. Как минимум, нужно определить, к какому уровню защищенности относятся ПДн. Всего их четыре: УЗ1, УЗ2, УЗ3 и УЗ4.
Сервисы разных провайдеров отличаются — например, в некоторых облаках можно хранить персональные данные с УЗ-4 и УЗ-3, а другие подходят даже для УЗ-1 и государственных информационных систем.
Такие сервисы защищены не только на физическом уровне, но и включают в себя разные инструменты обеспечения безопасности, например, антивирусное ПО. При этом такие средства неспецифичны и могут применяться как отдельно, так и быть компонентом готового решения.
Чаще всего для защиты данных и ИТ-инфраструктуры используется:
- антивирусное ПО;
- межсетевые экраны и NGFW;
- криптографические средства;
- DLP-решения;
- VPN;
- прокси-серверы;
- системы мониторинга и управления информационной безопасностью (SIEM) и многое другое.
Провайдеры с сильной экспертизой в ИБ предлагают не только готовые облачные сервисы, но также профессиональные и консалтинговые услуги.
Например, портфель #CloudMTS включает:
- аудит ИБ;
- услуги по защите инфраструктуры;
- проектирование и внедрение решений ИБ;
- моделирование киберугроз;
- консалтинг для строгого соблюдения законодательных и отраслевых регуляторных норм и многое другое.
Далеко не у всех компаний (особенно, если речь идет о небольшом бизнесе или даже стартапе) есть свой отдел информационной безопасности. Если такая организация планирует повысить уровень ИБ, но собственной экспертизы нет — стоит обратиться за консультацией к экспертам. ИБ-специалисты смогут подобрать оптимальное решение вашей задачи, выбрать нужные сервисы или услуги и помогут обеспечить комплексный подход к защите данных.
