Базовые правила защиты информации и обеспечения информационной безопасности

Введение

Безусловно, никакие меры защиты не дадут 100% защиты от взлома, но в ваших силах обеспечить уровень защиты до уровня, когда стоимость взлома для злоумышленника превысит выгоду.

В настоящей статье представлены базовые правила обеспечения информационной безопасности компании, выработанные на основании анализа наиболее частых проблем в компаниях малого и среднего размера. Следование этим правилам не гарантирует отсутствие проблем, но существенно снижает вероятность их возникновения.

Обратите внимание, что существует ряд федеральных законов и иных законодательных актов или требований стандартов, устанавливающих требования к организации и мерам защиты информации и обеспечения информационной безопасности, которые не покрываются базовыми правилами, приведенными в данном документе.

Для приведения своей компании в соответствие требованиям законодательства и более полного и существенного покрытия защитными мерами вашей информации рекомендуем внедрить полноценную систему управления информационной безопасности. Мы предлагаем в качестве основы такой системы разработанную нами типовую концепцию информационной безопасности – документ, приняв который Вы сформируете понимание в каком направлении надо двигаться, чтобы максимально обезопасить свою компанию от угроз.

Для выполнения мер, требующих специализированных компетенций, или в случае отсутствия у вас необходимых ресурсов, воспользуйтесь услугами специализированных организаций.

Ответьте себе на следующие 5 вопросов:

1. В вашей компании есть лицо ответственное за организацию мероприятий по информационной безопасности?
2. Ответственный за информационную обладает достаточными компетенциями для выполнения своей работы?
3. У ответственного за информационную безопасность достаточно ресурсов для необходимых мероприятий?
4. Проходит ли ваша система безопасности независимый аудит не реже раза в год?
5. Уверен ли я, что моя компания соответствует всем требованиям законодательства в области информационной безопасности?

Если хотя бы на один вопрос Вы ответили НЕТ или засомневались в ответе, не пускайте на самотек. Начните закрывать эти вопросы.

Правило №1. Резервное копирование

ВСЕГДА делайте резервные копии вашей информации.

• Составьте план резервного копирования исходя из частоты изменения информации.
• Храните резервные копии отдельно от основных накопителей.
• Резервные копии после их выполнения не должны быть видны в той же сети, что и основные данные. От них не будет толку, если вирус-шифровальщик зашифрует их вместе с основными данными.
• Физически накопители должны размещаться отдельно от основных данных. Помните про пожары и потопы. Даже если у вас данные располагаются в «надежных» дата-центрах. Были прецеденты.

Правило №2. Защита от вирусов

ВСЕГДА используйте антивирусные программы.

• Они не защитят от индивидуально спроектированных вирусов при адресной атаке, но предотвратят вредоносное влияние 99% распространенных вирусов общего действия.
• Используйте антивирусные программы российского производства.
• Не забывайте ставить специализированные антивирусные программы на сервера электронной почты.

Правило №3. Пароли

• Установите для всех сотрудников требование установки сложных паролей. (Не менее 8 символов, использование в пароле одновременно буквенных, цифровых и пунктуационных символов).
• Обеспечьте проверку сложности пароля перед его установкой.
• Для критических ресурсов используйте двухфакторную аутентификацию (с помощью SMS).

Правило №4. Защита информации от кражи изнутри

• Наиболее частой причиной утечки конфиденциальной информации являются неправомерные действия сотрудников.
• Удивительно, но очень у многих компаний конфиденциальная информация доступна для всех сотрудников.
• Предоставляйте доступ к конфиденциальной информации только для тех сотрудников, которым она нужна для работы, и только на время необходимое для работы.
• Очень частой проблемой является нанесение вреда информационной системе администратором системы при увольнении. Помните, что администраторы информационных систем имеют доступ ко всей информации этих систем. Очень внимательно наблюдайте за адекватностью, лояльностью и мотивацией этих сотрудников. При расставании убедитесь в надежной передаче всех полномочий и закрытии доступа для уволившегося администратора.
• Также убедитесь, что учетные записи увольняющихся сотрудников своевременно и корректно блокируются или удаляются.
• Используйте системы предотвращения утечек информации (DLP).

Правило №5. Защита от проникновения снаружи

• Проверьте, что ваша сеть не доступна для проникновения снаружи.
• Недостаточно просто поставить сетевое оборудование периметра. Надо его правильно настроить. Обязательно регулярно проводите тест на проникновение.
• Как минимум простыми инструментальными средствами типа XSpider, а лучше полноценные проверки, в том числе, с использованием социотехнических методов.

Правило №6. Защита информации вне периметра

• Защищайте информацию на устройствах, находящихся вне периметра вашей сети.
• Используйте шифрование данных на ноутбуках и других мобильных устройствах.
• Используйте защищенные шифрованные каналы для подключения к корпоративной сети.
• Используйте двухфакторную авторизацию для подключения сотрудников к корпоративной сети и корпоративным информационным системам с мобильных устройств.

Правило №7. Информирование сотрудников

• Обязательно проводите регулярное информирование сотрудников о важности соблюдения правил работы с информацией.
• Сотрудники должны знать, кому и как сообщить о проблеме или подозрении на проблему в области информационной безопасности.
• Сотрудники должны знать признаки фишинговых писем и как на них реагировать.
• Сотрудники должны знать правила хранения паролей.
• Сотрудники должны знать правила работы с мобильными устройствами (в т.ч. ноутбуками) вне периметра корпоративной сети.