"Золотой стандарт информационной безопасности" представляет собой проект внедрения минимально достаточного свода правил защиты информации компании, соблюдение которых поможет избежать таких угроз как:
— простой в деятельности организации, связанный со сбоем в работе оборудования
— утечка конфиденциальной информации
— несанкционированный доступ к чувствительным для бизнеса данным, как внешних агентов (злоумышленников, конкурентов), так и сотрудников (инсайдеров)
Metrex Engineering разработает и внедрит комплексную систему информационной безопасности, учитывая особенности деятельности вашей организации.
Контуры защиты информации
В ходе реализации проекта по внедрению «золотого стандарта безопасной организации» специалисты Metrex Engineering оценят текущее состояние и составят рекомендации по повышению уровня защиты следующих контуров:
- Серверное оборудование
- Каналы связи
- Программное обеспечение
- Защита от инсайдеров
СЕРВЕРНОЕ ОБОРУДОВАНИЕВ ходе рассмотрения этого контура мы сфокусируем внимание на месторасположении и климатических условиях, в которых содержатся серверы, на которых вы храните конфиденциальные данные вашей организации.
ХРАНЕНИЕ ДАННЫХ В ВАШЕМ ОФИСЕКогда компания размещает серверное оборудование, где хранятся данные, в своем офисе возникают следующие риски и проблемы:
• Неблагоприятные климатические условия (температура, влажность, пыль)
• Сбои в работе из-за отсутствия качественного (непрерывного и стабильного) электропитания
• Изъятие оборудования в связи с действиями правоохранительных органов или финансовых регуляторов
• Кража оборудования (маловероятно, но все же случается)
• Потенциальная возможность физического доступа к оборудованию злоумышленника.
ХРАНЕНИЕ ДАННЫХ В СЕРВЕРНОЙ В ВАШЕМ ОФИСЕЕсли конфигурация вашего помещения позволяет, вы можете организовать серверное помещение, оснастив его необходимыми инженерными системами (климат-контроль, дублированное и стабилизированное электропитание, пожаротушение, дополнительная защита помещения от действий злоумышленников).
Однако, у вашей организации всё также останутся риски изъятия и кражи оборудования. Мы надеемся, что вам нечего скрывать от органов власти, но ошибки случаются, а в случае изъятия оборудования, содержащего ваши бухгалтерские базы и файлы, вам сложно будет продолжить работу.
ХРАНЕНИЕ ДАННЫХ В ДАТА-ЦЕНТРЕНаивысшая степень защиты от всех перечисленных рисков будет при размещении данных в коммерческом облаке. В этом случае изъять или украсть могут только копию данных, но вы, по крайней мере, сможете продолжать работу.
Также можно рассмотреть комбинации размещения в вашем офисе и коммерческом облаке. Например, дублирование ИТ-сервисов. Здесь возможны следующие варианты:
— оборудование в вашей собственной серверной + резервное копирование в «облако»
— размещение оборудования в дата-центре + резервное копирование на физический носитель или в облако
Если вы решили сохранить ваши данные в дата-центре, вы можете воспользоваться услугами ЦОД Metrex Engineering
КАНАЛЫ СВЯЗИЕсли ваша организация уже размещает данные в дата-центре, или ваши сотрудники работают удаленно, есть ещё один важный момент: необходимо позаботиться о том, чтобы ваши каналы связи были надежными и дублированными. В противном случае вы рискуете остаться без доступа к вашим данным еще до того, как вами заинтересуются злоумышленники или правоохранительные органы.
Чтобы снизить риск компрометации данных, каналы связи должны быть зашифрованы. Существуют разные степени сложности шифрования. Здесь вам поможет консультация в профильной компании (например, в нашей) или ваш системный администратор.
ЗАЩИТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯСледующий контур, который стоит защитить – программный. Здесь могут возникать такие риски как:
— Претензии правоохранительных органов в случае использования нелегальных копий программного обеспечения
— Сбои в работе программного обеспечения и последующие простои бизнеса
— Получение доступа к данным со стороны злоумышленников или конкурентов с использованием уязвимостей программного обеспечения или вирусного кода
— Получение доступа к данным путем подбора паролей пользователей
БАЗОВЫЙ МИНИМУМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО ВАШЕЙ ОРГАНИЗАЦИИ:ИСПОЛЬЗОВАТЬ ЛИЦЕНЗИОННОЕ ИЛИ РАСПРОСТРАНЯЕМОЕ СВОБОДНО ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕВ вашем распоряжении большой набор инструментов такой защиты от бесплатного софта до подписок на программное обеспечение. Не обязательно вкладывать огромные суммы на закупку лицензионного ПО сразу!
ОБНОВЛЯЙТЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СВОЕВРЕМЕННО, ВКЛЮЧАЯ ОБНОВЛЕНИЯ ДРАЙВЕРОВ И МИКРОКОДА ОБОРУДОВАНИЯДелать это лучше в так называемой «песочнице» — наборе серверов, где вы будете проверять, не повлияет ли то или иное изменение на работоспособность всей системы. Если вы выберете ИТ-аутсорсинг Metrex Engineering, наши специалисты возьмут это на себя!
ИСПОЛЬЗУЙТЕ АНТИВИРУСНЫЕ СРЕДСТВА ЗАЩИТЫ И СРЕДСТВА ЗАЩИТЫ ОТ НЕЖЕЛАТЕЛЬНОЙ ПОЧТЫБольшинство вирусов-шифровальщиков попадают в систему после запуска сотрудниками компании. Для того, чтобы обезопасить компанию от таких угроз необходимо использовать систему защиты от запуска нежелательных приложений, тогда работать в вашем программном окружении будет только то программное обеспечение, работу которого вы в явном виде разрешили. Такие правила относятся к проактивной технологии защиты HIPS (Host-based Intrusion Prevention System) и Metrex Engineering поможет вам настроить их.
УСТАНОВИТЕ ПОЛИТИКУ ИСПОЛЬЗОВАНИЯ СЛОЖНЫХ ПАРОЛЕЙ ДОСТУПА К СИСТЕМЕ, КОТОРЫЕ НЕОБХОДИМО ИЗМЕНЯТЬ КАЖДЫЙ МЕСЯЦ ИЛИ ДВАСуществует большое количество инструментов, с помощью которых вы можете защититься от действий злоумышленников. Они могут быть дорогими или не очень, но список, который мы приводим выше – это минимальный набор.
ЗАЩИТА ДАННЫХ ОТ ИНСАЙДЕРОВИтак, предположим, что вы прошлись по всем пунктам наших рекомендаций, защитили свои данные как от злоумышленников, так и от противоправных или ошибочных действий со стороны регулирующих органов. Последним шагом обратите внимание на то, чтобы преднамеренно или случайно вам не навредили инсайдеры — ваши сотрудники!
Не последнее место в статистике киберпреступлений занимают инсайды и сливы информации «через своих». Можно ли этого избежать? На 100 процентов – нельзя. Но можно снизить риск, используя политику минимально необходимого доступа к ресурсам компании. Не давайте всем сотрудникам доступ ко всей информации. Предоставляйте сотрудникам только те данные, который им действительно необходимы для выполнения работы. В рамках консультирования по вопросам информационной безопасности, мы поможем предупредить злоумышленные действия со стороны сотрудников, разработав Политику информационной безопасности, разграничив роли и правда доступа для всей организации.
Надеемся, что вам не придется обращаться к нам за разрешением проблем, связанных с нарушением информационной безопасности!