IT ManagerБезопасностьУправление ИБ

Правила безопасности для информационной системы

Алексей Даньков | 27.07.2020

Правила безопасности для информационной системы

Информация – это оружие, благополучие и власть, поэтому сегодня как никогда важно уметь обеспечить ее сохранность и безопасность. Особенно, если дело касается конфиденциальных данных компании, её сотрудников и клиентов.

Когда речь заходит об информационной безопасности необходимо помнить о том, что важна каждая деталь, и нельзя делить правила ИБ на важные и не важные. Несомненно, все зависит от критичности ресурсов, которые требуется защищать, от используемых технологий и зрелости ИБ-процессов в компании. И только оценивая все факты в совокупности можно сказать, будут ли предпринимаемые меры эффективными или нет.

  • Важными группами мер кибербезопасности для любой информационной системы общепринято считать:

  • Разграничение прав доступа; как и любая система, внутренняя защита предприятия должна иметь иерархическую структуру. Младшие сотрудники не должны иметь доступ к важным финансовым и аналитическим данным. Требуется время и полная проверка сотрудника для открытия соответствующего уровня прав.

  • Защита от несанкционированного доступа, сюда можно включить и контроль целостности, и ошибки реализации кода приложения, и прочие методы, которыми могут воспользоваться злоумышленники для реализации атаки;

  • Ведение журналов событий и действий пользователя могут понадобиться для расследования атак киберпреступников, а в будущем помогут избежать подобных попыток;

  • Управление правами и полномочиями: контроль прав доступа позволит минимизировать возможные потери за счет сокращения рисков, связанных с нарушением порядка управления учетными записями;

  • Антивирусная защита: необходим целый комплекс антивирусных программ, чья функциональность базируется на одном либо нескольких идентичных антивирусных ядрах, созданных для защиты работы компьютерной системы предприятия от внедрения вирусов.

  • Управление инцидентами ИБ: менеджмент инцидентов ИБ относится к управлению аккаунтами, что связано с процессом сбора, обработки и анализа данных о работе организации, их сравнения с исходными и плановыми показателями, с целью своевременного выявления проблем, вскрытия резервов для более полного использования имеющегося потенциала.

Остальные группы правил усиливают данный набор и расширяют его для достижения более надежного результата. Стоит ли говорить, насколько важно уделять внимание системе защиты?

Хотим поделиться реальными случаями, когда пренебрежение основными правилами ИБ приводили к значительным финансовым потерям организации.

Случай первый

Компания с крупной филиальной сетью приняла решение перевести сотрудников всех филиалов на мобильные устройства в зале приема посетителей. Для этого были установлены точки Wi-Fi доступа, предназначенные для подключения этих устройств к корпоративной сети. При реализации такого решения не были оценены риски ИБ в части оценки активов и информационных систем. Реализация механизмов защиты мобильных устройств была организована централизовано с использованием MDM-решения, при этом процесс развертывание и настройка точек Wi-Fi доступа был отдан администраторам на места. В результате в некоторых филиалах начала поступать информация о списании бонусных баллов со счетов клиентов. Как выяснилось позже, администраторы в данных филиалах устанавливали Wi-Fi точки доступа и не меняли заводские настройки, сохраняя логин и пароль доступа по умолчанию. Более того, часть Wi-Fi точек доступа были размещены так, что подключиться к ним можно было из жилых квартир рядом стоящих домов. Говорить о сегментировании внутри сети и стойких ко взлому паролях также не приходилось. Как итог, злоумышленники получили доступ к приложению учета и списания бонусных баллов клиентов. В результате действий злоумышленников компания получила репутационный и значительный финансовый ущерб.

Случай второй

Компания решила внедрить для своих клиентов систему лояльности. Была закуплена и развернута специализированная система учета. Технически все было реализовано качественно, интеграция с существующими системами прошла хорошо, и систему запустили в бой. Но остался неизученным вопрос мошеннического поведения пользователей с использованием нового механизма поощрения. Это упущение допустили как маркетологи и юристы компании, так и те, кто реализовывал техническую часть данного проекта. За первый месяц работы этой системы компания понесла финансовый ущерб от действий мошенников в размере, достаточно ощутимом для ее бюджета. После этой ситуации руководством компании было принято решение о разработке и внедрении системы противодействия мошенничеству. В дальнейшем это помогло сохранить маркетинговые бюджеты компании и выявить нелояльные группы пользователей.

Из этого можно сделать вывод, что информационная безопасность в компании должна осуществляться комплексно, по нескольким направлениям, учитывая особенности и сферу деятельности, в которой компания работает. Грамотно и эффективно выстроенная защита информации позволяет компании заслужить авторитет в глазах клиентов, акционеров и конкурентов.

кибербезопасность

Горячие темы: Аксиомы кибербезопасности

Об авторах

Алексей Даньков

Алексей Даньков

Руководитель отдела информационной безопасности компании Cross Technologies


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
Слушания в Конгрессе США, вызов на ковер руководителей Google, FB, Apple, Amazon. Мысли по итогам прочтения стенограммы.
Есть ситуации, когда в ответ на вопрос о том, какие цифровые решения нужны компании, ИТ директор говорит: «А давайте спросим у коллег из маркетинга, продаж или производства, чего они хотят»

Компании сообщают

Мероприятия

10.09.2020
IT Management Forum 2020

Москва, Новоданиловская наб., д. 6, отель Palmira Business Club

23.09.2020 — 24.09.2020
Форум Индустриальной Роботизации

Санкт-Петербург, Чернорецкий пер. 4-6

28.09.2020 — 29.09.2020
Профессиональная мобильная радиосвязь, спутниковая связь и навигация

Москва, Холидей Инн Москва Лесная

29.09.2020 — 02.10.2020
SMART INDUSTRY EXPO

Минск, Футбольный манеж

30.09.2020
IT в ретейле: Я - легенда.

Москва, Холидей Инн Москва Лесная

27.10.2020 — 29.10.2020
HI-TECH BUILDING 2020

Москва, Крокус Экспо