Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеВ цифровую эпоху при работе с большими массивами данных остро стоит проблема недопущения, предотвращения утечек информации. Своевременное реагирование на инциденты информационной безопасности, предотвращение нежелательных сценариев – ключевой момент, определяющий уровень защиты бизнес-процессов компании. Для сохранения конфиденциальности, мониторинга, выявления проблемных моментов используются DLP-системы.
Угрозы информационной безопасности
- Опасность потери конфиденциальности. Внутренние сведения становятся известны третьим лицам, не располагающим правами доступа к ним. Как показывает расследование инцидентов информационной безопасности, подобные проблемы возникают при сбоях программного и аппаратного оборудования вследствие человеческого фактора. Сюда относятся государственная, врачебная, банковская, служебная тайны.
- Опасность нарушения целостности. Связана с подменой, модификацией исходной информации, хранящейся в системе. Основаниями и факторами риска становятся выход из строя программного оборудования, умышленные поступки персонала. Например, сбой сервера, подмена отчета на ложный.
- Опасность потери доступности. Связана с утратой возможности получения доступа и использования локальных ресурсов, что ограничивает функционал работника или делает невозможным выполнение рабочих операций. Выявление инцидентов информационной безопасности в данной группе установило, что подоплекой произошедшего становятся ошибки программного обеспечения, вирусные атаки.
Условная классификация случаев информационной безопасности
Кодификация случаев информационной безопасности основывается на ГОСТ Р ИСО/МЭК 1335-1-2006, ГОСТ Р 50922-2006. До сих пор не существует единого и полного стандарта для дифференциации всех случаев, поэтому дополнительно учитывают группы объективно важных критериев, определяющих факторов персонального характера. Согласно такому подходу, выделяют следующие виды угроз.
Согласно уровню критичности.
- Первая категория. Сопровождается максимальными рисками, ущербом для базы данных, репутации.
- Вторая категория. Высокая вероятность негативных последствий, ставящих под угрозу деятельность и имя компании.
- Третья категория. Присутствует риск возникновения незначительных опасностей, представляющих угрозу интересам и репутации организации.
- Четвертая категория. Локальное происшествие, которое не сопровождается нежелательными результатами.
По приоритету реагирования.
- Очень высокий. Время на принятие ответных действий – не более часа.
- Высокий. Время на исполнение защитных мероприятий – в пределах 4 часов.
- Средний. Время на проведение ответных мер не превышает 8 часов.
- Низкий. Время на принятие контрмер не регламентировано.
По причине возникновения.
- Непредсказуемые. Группа факторов, не поддающихся прогнозированию.
- Умышленные. Спровоцированы направленными поступками заинтересованных лиц.
Согласно степени нанесенного ущерба.
- Непоправимый. После принятых действий ситуация не вернулась к исходному варианту.
- Поправимый. После принятых действий ситуация стабилизировалась, последствия минимальны.
- Отсутствует. Происшествие прошло бесследно.
Как реагировать на утечку данных?
Грамотное управление инцидентами информационной безопасности позволяет стабилизировать ситуацию снизить потери. Если событие произошло, требуется:
- определить источник утечки путем тщательного анализа сетевой активности пользователей корпоративной сети;
- обозначить потенциальный круг лиц, располагающих конфиденциальными сведениями. Оценить возможную опасность, последствия;
- выяснить масштаб угрозы. Зачастую утраченные сведения охватывают более широкий диапазон, чем установлено изначально;
- поставить в известность лиц, которые стали потенциальными жертвами. Своевременное извещение поможет принять ответные контрмеры;
- заявить о произошедшем в правоохранительные органы. Оправдано, когда события и инциденты информационной безопасности относятся к первой категории;
- своевременно провести мероприятия по минимизации финансовых потерь и предотвращению рецидива. Например, завершить бизнес-процессы, ускорить вывод на рынок товара или услуги.
Как управлять информационной безопасностью?
Менеджмент инцидентов информационной безопасности опирается на ГОСТ Р ИСО/МЭК ТО 18044-2007. На основании этого документа выделяют четыре основных этапа:
1. Планирование и подготовка. Включает подготовку, тестирование, обучение системы менеджмента инцидентам ИБ.
2. Использование. Обнаружение опасных событий, оценка и принятие решения в отношении угрозы, реагирование.
3. Анализ. Проведение правовой экспертизы. Обобщение практического опыта, обобщение и поиск решений, направленных на улучшение менеджмента.
4. Улучшение. Уточнение конечных результатов, повышение уровня безопасности.
Как происходит устранение причин и последствий информационной безопасности?
Посредством DLP-систем
устанавливаются мотивы и виновники происшествия. Организация проводит мероприятия по недопущению рецидива путем введения поправок в действующий регламент, замены оборудования, наказания виновных сотрудников. Последствия ликвидируются за счет досрочного завершения текущих бизнес-процессов, пересмотра приоритетов деятельности, запуска новых товаров, услуг.
Вывод
От передачи информации третьи лицам не застрахован никто. Если это произошло – присутствуют множественные недоработки в рабочем процессе. Оснащение современными DLP-системами позволит повысить защиту, взять под контроль лояльность и эффективность персонала, своевременно выявить потенциальные риски и сотрудников, представляющих угрозу общему делу.
