Рекомендации по защите конфиденциальной информации

Существует немало нормативно-правовых актов и стандартов с требованиями и рекомендациями по защите конфиденциальной информации:

• 149-ФЗ

• 152-ФЗ

• 187-ФЗ

• Приказы ФСТЭК 17 и 19

• ГОСТ Р ИСО/МЭК 15408

• ISO/IEC 27001-2005

Руководящие документы — это, конечно, хорошо. Но иногда они дают общие рекомендации, без учета специфики реальной жизни. Чтобы организовать действительно эффективную систему защиты информации, не лишним будет опереться на реальный опыт из практики. Мы готовы делиться им с вами.

Работа с учетными записями

Включение рабочего компьютера, вход в аккаунт электронной почты, личный кабинет в CRM — практически в любой компании используются логины и пароли. Правильная работа с ними — это крепкая основа защиты конфиденциальной информации.

Чтобы пароли были действительно надежными и не попали в руки злоумышленников, специалисты рекомендуют:

• Не пользоваться менеджерами паролей, плагинами для браузеров и прочими средствами, автоматизирующими ввод данных для идентификации и аутентификации. Так, например, в 2017 году были обнаружены уязвимости сразу в нескольких популярных менеджерах паролей: LastPass, Keeper, Dashlane, RoboForm и 1Password. Из-за этих «дыр» вредоносное ПО, выдающее себя за легитимную программу, могло получать из них сведения о сохраненных учетных записях.

• Использовать парольные фразы. Во-первых, они лучше запоминаются (можно использовать слова из любимой песни, цитаты и пр.), чем случайно сгенерированные пароли. Во-вторых, математиком Е. Панферовым доказано, что увеличение устойчивости к брутфорс-атакам достигается за счет длины пароля, а не увеличения его «словаря».

• Не заморачиваться регулярной сменой паролей. Менять их рекомендуют только в случае компрометации. Если в компании с информационной безопасностью все ОК и правила защиты конфиденциальной информации соблюдаются, можно не трогать пароли. Специалисты аргументируют это, во-первых, тем, что при частых сменах паролей возрастает вероятность их забывания, во-вторых, ростом вероятности их компрометации. Исследования показывают, что многие, придумывая новые пароли, используют части старых.

• Использовать двухфакторную аутентификацию. Организовать относительно просто, а уровень безопасности возрастает значительно.

Работа с обновлениями ПО для надежной защиты информации

Автоматические обновления операционной системы и программного обеспечения — это удобно. Но с ними нужно быть осторожными. Один из недавних примеров (2020 год) — обновление KB4532693 для Windows. После него пользователи начали жаловаться на потерю некоторых файлов. Также известно немало случаев, когда после установки обновления какого-то программного обеспечения из-за багов или вредоносного кода важные данные попадали в руки злоумышленников.

Поэтому специалисты рекомендуют при разработке правил защиты конфиденциальной информации в компании учесть это и оговорить порядок установки обновлений. Есть смысл отказаться от автоматизации этого процесса, и делать все вручную. Перед установкой обновлений стоит прочитать отзывы о них. А если позволяют ресурсы IT-инфраструктуры, проанализировать их поведение в «песочнице».

Безопасность через изоляцию

Если специфика вашей компании подразумевает работу с большим количеством файлов, получаемых извне (через интернет, с флешек и других носителей), есть смысл подумать о внедрении решений для изолированной работы с ними. Идея заключается в том, что для обработки таких документов создается отдельная виртуальная машина (операционная система работает на своей машине, среда для работы с важными документами — на своей). В таком случае, если какой-то из файлов, полученных из вне, окажется зараженным вирусом или другим вредоносным ПО, он будет надежно изолирован и важные данные не пострадают.

Анализ сетевого периметра на наличие уязвимостей высокого риска

Исследования показывают, что у 84% на сетевом периметре имеются уязвимости высокого риска. Возникают они, как правило из-за использования аппаратных и программных средств с настройками по умолчанию — далеко не во всех компаниях уровня подготовки специалистов по информационной безопасности достаточно для того, чтобы проанализировать эти настройки и предотвратить риски.

В рекомендациях по защите конфиденциальной информации по этому поводу встречаются такие моменты:

• Необходимо следить за обновлением ПО. Актуальные версии продуктов уменьшают риски эксплуатации выявленных в них уязвимостей злоумышленниками. Выше мы уже говорили про обновления. Получается, что они нужны регулярно. Но ставить все «на автомат» не стоит.

• Закрывайте порт 445. Исследования показывают, что он открыт у 26% компаний, имеющих локальные сети. За счет уязвимостей этого порта компьютеры из состава вашей ЛВС могут быть добавлены злоумышленниками в бот-сети или заражены вредоносными программами (например такими, как WannaCry).

• Ограничивайте количество веб-сервисов на сетевом периметре. Очень часто в компаниях оказываются открытыми интерфейсы для удаленного администрирования (при этом они не используются самой компанией), файловые службы, установлены максимальные привилегии для удаленного подключения и пр.

В общем, чтобы защитить сетевой периметр, нужен толковый специалист, который знает, что и где посмотреть. Можно попробовать усилить защиту при помощи специализированных решений. Для этого подходят, например, DLP-системы. Такое ПО, в зависимости от производителя, обеспечивает защиту по множеству направлений и может заменить нескольких специалистов по информационной безопасности. Главное — грамотные настройки при его внедрении, с учетом особенности IT-инфраструктуры и характера данных, требующих защиты. 

Видно, что правила защиты конфиденциальной информации диктуются не только нормативными документами и стандартами, но и жизнью. Следуйте рекомендациям экспертов-практиков, анализируйте опыт и ошибки других, слушайте специалистов по информационной безопасности, и вы сможете обеспечить надежную защиту важных для компании данных.