Абрамова А.Е.
СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЕСПЕЧЕНИИ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ: ПОСТРОЕНИЕ И УПРАВЛЕНИЕ *
Аннотация:
в статье рассматривается модель создания СУИБ для организации, необходимость налаженной работы такой системы, а также ее влияние на обеспечение экономической безопасности организации
Ключевые слова:
система управления информационной безопасностью, моделирование, экономическая безопасность
УДК 627.7
Абрамова А.Е.
Южно-Российский институт управления – филиал
РАНХиГС
(г. Ростов-на-Дону, Россия)
СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ОБЕСПЕЧЕНИИ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЯ: ПОСТРОЕНИЕ И УПРАВЛЕНИЕ
Аннотация: в статье рассматривается модель создания СУИБ для организации, необходимость налаженной работы такой системы, а также ее влияние на обеспечение экономической безопасности организации.
Ключевые слова: система управления информационной безопасностью, моделирование, экономическая безопасность.
Углубление процессов цифровизации в современном мире приводит к повышению значения информационной безопасности в рамках обеспечения экономической безопасности как государства, так и бизнеса. Организации переходят на электронный документооборот, широко используют облачные технологии, создают общие системные темы. Все чаще эффективность деятельности компаний начинает зависеть от безопасности ее информационных систем. Информация выступает важнейшим активом любого современного предприятия, а ее защита является даже более сложным вопросом, чем защита существующих материальных активов, и требует защиты от несанкционированного доступа, модификации, раскрытия и своевременного восстановления. Безопасность информации должна быть обеспечена на этапах получения, хранения и транспортировки. При этом изменения во внешней и внутренней среде бизнеса, появление новых вызовов и угроз, приводят к необходимости постоянного пересмотра и дополнения элементов экономической безопасности. В рамках обеспечения экономической безопасности перед компаниями стоит задача создания системы управления рисками в сфере информационной безопасности.
Важность проблемы подтверждает увеличение количества кибератак. По словам заместителя председателя Банка России Ф. Габуния, в 2022 году число DDoS-атак на российские финансовые структуры увеличилось в четыре раза. Заместитель председателя правления Сбербанка С. Кузнецов заявлял о том, что в октябре 2022 года банк выдержал атаку, в которой участвовало не менее 104 тысяч хакеров, которую вели с не менее тридцати тысяч устройств. «Ростелеком-Солар», проанализировав информацию около шестисот компаний из различных отраслей и сфер деятельности, сообщает о резком всплеске хакерских атак. Всего было зафиксировано порядка 21,5 млн инцидентов, самая мощная DDoS-атака составила 760 Гбит/с, что почти в 2 раза превышает аналогичный показатель предыдущего года, а самая продолжительная длилась 2 000 часов, то есть почти 3 месяца. Пик атак пришелся на май 2022 года.
Среди общего числа нарушений кибербезопасности около 95% вызваны человеческим фактором. Согласно данным исследования, проведенного американской компанией «Gartner», 90% работников признаются, что совершают потенциально опасные операция, осознавая, что их действия повышают риск для организации в области информационной безопасности. Можно отметить, что внедрение ориентированных на сотрудников подходов к обеспечению информационной безопасности является одним из ключевых трендов в области кибербезопасности. Руководителям компаний необходимо пересматривать бизнес-процессы с целью повышения уровня информационной безопасности и осведомленности сотрудников о существующих угрозах. Существует прямая связь между уровнем информационной безопасности, корпоративным управлением, соблюдением корпоративной культуры и кодекса поведения в бизнесе, частью которого является использование доступной сотрудникам информации о различных аспектах деятельности компании. Ответственность за сохранность информации должна быть частью корпоративного управления и корпоративной культуры и должна быть доведена до каждого сотрудника. Это повысит уровень защиты, снизит риски и предотвратит утечку конфиденциальной информации.
Переходя к рассмотрению построения модели системы информационной безопасности, рассмотрим существующие источники угроз, которые можно разделить на внешние и внутренние. Внешние угрозы возникают в результате действий конкурентов, преступных группировок, хакеров и других лиц, заинтересованных в получении информации организации. Внутренние обусловлены действиями руководителей и сотрудников предприятия. К ним можно отнести умышленное или неосторожное разглашение информации, утечку информации, обеспечение несанкционированного доступа к ее источникам или техническим средствам, используемым компанией.
Для более детального понимания природы угроз был проведен опрос среди учащихся РАНХиГс, работников банковского сектора в г. N, сотрудников нескольких IT-компаний. В результате было выявлено, что соотношение внутренних и внешних угроз составляет примерно 80:20. Это приводит к несанкционированному владению информацией:
- раскрытие информации в процессе общения сотрудников позволяет получить информацию с низкими издержками для злоумышленника – 30%;
- несанкционированный доступ посредством подкупа сотрудников – 24;
- отсутствие надлежащего контроля информационной безопасности в организации – 14%;
- обмен опытом между конкурентами – 12%;
- неконтролируемое использование информационных систем – 10%;
- раскрытие информации в результате конфликтов между руководствои и сотрудниками – 8%.
Для создания эффективной системы информационной безопасности необходимо определить объем информации, которую необходимо защитить, и существующие факторы, которые могут угрожать ее конфиденциальности, то есть потенциальные и реальные возможности ее незаконного присвоения. При разработке системы информационной безопасности компании необходимо различать публичную информацию и информацию ограниченного доступа, которую, в свою очередь, можно разделить на конфиденциальную, частную и информацию, предназначенную только для внутреннего использования.
Руководство компании обязано разработать правила и механизмы контроля для обеспечения подотчетности, ответственности, честности и прозрачности. Поскольку особенности корпоративного управления связаны со спецификой бизнеса, будущим видением, миссией и целями, система управления информационной безопасностью уникальна для каждого бизнеса, и только благодаря ее существованию можно добиться устойчивого роста в будущем.
Согласно стандарту ISO 27001:2013, процессы управления информационной безопасностью включают:
- инвентаризацию и классификацию информации;
- управление инцидентами информационной безопасности;
- классификацию и управление инцидентами информационной безопасности;
- мониторинг эффективности системы управления информационной безопасностью;
- управление информацией по информационной безопасности;
- административный обзор системы управления информационной безопасностью;
- совершенствование системы управления информационной безопасностью.
Информационная безопасность должна быть обеспечена с помощью следующих процедур:
- управление уязвимостями;
- управление доступом к такому активу, как информация;
- обеспечение безопасности информации при работе с персоналом;
- непрерывное управление ИТ операциями;
- защита от вредоносных программ;
- управление сетевой безопасностью;
- контроль соблюдения информационной безопасности;
- контроль информационной безопасности осуществляется посредством измерения, мониторинга и отчетности.
Система управления информационной безопасностью включает три уровня: стратегический, тактический и оперативный. Стратегическое управление включает создание политики информационной безопасности, выявление и оценку потенциальных рисков и угроз информационной безопасности. Тактическое управление предполагает создание и внедрение системы информационной безопасности в соответствии с разработанной политикой. Оперативный уровень заключается в поддержании и мониторинге функциональности системы информационной безопасности.
Система информационной безопасности компании должна быть построена с учетом четырех функций:
- предотвращение – сети должны быть защищены от несанкционированных вторжений. Обычно это делается с помощью межсетевых экранов;
- обнаружение – это процесс выявления атак, осуществляемых через Интернет;
- отключение – система должна быть спроектирована таким образом, чтобы иметь возможность нейтрализовать атаку в случае ее обнаружения;
- возобновление – система постоянного архивирования информации или резервного копирования информации, с которой она может быть возобновлена в случае полного или частичного разрушения в результате атаки.
Многие предприятия имеют так называемые комплексные системы информационной безопасности, работа которых защищает информацию от любого случайного или преднамеренного вторжения, которое может привести к повреждению, потере или изменению и, как следствие, к дополнительным информационным затратам или ущербу в результате утечки конфиденциальной информации.
К основным методам защиты информации в электронной форме относятся:
- средства идентификации и персонализации пользователей, когда администратор ограничивает права доступа в соответствии с обязанностями сотрудника и возможностью просмотра его действий в системе;
- системы обнаружения уязвимости сети и анализаторы сетевых атак;
- сетевой брандмауэр и виртуальные частные сети.
Систематический анализ происходящих кибератак, мировой и внутренний опыт противодействия им позволяет нам систематизировать существующие модели систем информационной защиты на предприятиях:
- универсальные модели, которые основаны на использовании исследовательского процесса, т.е. методов, основанных на поиске ответов на соответствующие вопросы, поставленные экономической и мониторинговой деятельностью;
- модели, которые фокусируются на использовании мер уязвимости информационной безопасности (Diamond, MITRE ATT & CK, PICERL);
- модели, которые фокусируются на построении информационной безопасности (Defense in Dept, Cyber Kill Chain, Pyramid of Pain, PICERL, CVSS3).
Перейдем к рассмотрению систем управления информационной безопасностью (СУИБ). Управление информационной безопасностью направлено на выявление и управление рисками, связанными с возможностью утечки информации, контроль сбора, хранения и распространения информации, разделение информации на конфиденциальную, ограниченную и общедоступную, идентификацию пользователей и ответственность за ее раскрытие.
Согласно ISO 27001:2013, система управления информационной безопасностью является неотъемлемой частью системы управления предприятием на основе рисков и предназначена для создания, внедрения, эксплуатации, мониторинга, обзора, поддержания и улучшения информационной безопасности предприятия. Она включает в себя процессы управления информационной безопасностью, персонал, ответственный за обеспечение функционирования и управления информационной безопасностью, набор документированных политик и процедур, а также механизмы обеспечения информационной безопасности. При создании системы управления информационной безопасностью необходимо определить, как взаимосвязаны процессы и подсистемы информационной безопасности, кто несет ответственность, какие финансовые и человеческие ресурсы необходимы для эффективной работы.
Создание системы управления информационной безопасностью включает в себя следующие шаги:
- анализ бизнес-процессов организации и их влияния на СУИБ на основе ранее собранных данных;
- инвентаризация активов компании, попадающих в область действия СУИБ, с определением их принадлежности, их ценности для компании и стоимости;
- провести первоначальную оценку СУИБ на соответствие существующим стандартам (например, ISO 27001:2013) и принятым механизмам управления;
- разработать политику информационной безопасности с учетом особенностей бизнеса, т. е. его местоположения, ресурсов и доступных технологий.
- выявить риски и оценить их (для этого можно использовать положения стандарта ISO 27005:2011);
- выбор целей и средств контроля рисков с учетом целесообразности их использования на предприятии;
- составление плана управления рисками, определяющего действия руководства компании, ресурсы, ответственность и существующие приоритеты.
- документирование процессов управления информационной безопасностью, т. е. политик, процедур, записей;
- проектирование СУИБ, которое включает разработку технических спецификаций.
Система управления информационной безопасностью должна соответствовать следующим принципам:
- ответственность и подотчетность – должно быть определено, за какую информацию отвечает каждый сотрудник, его роль в информационной безопасности; связь информационной безопасности с целями компании, что должно быть указано в политике информационной безопасности компании вместе с необходимыми процедурами;
- осознание существующей в компании корпоративной культуры, которая позволит построить отношения, основанные на взаимном доверии, и тем самым устранить существующие риски информационной безопасности. Все сотрудники компании должны быть осведомлены о существующих в компании этических нормах и правилах работы с информацией;
- соблюдение действующих нормативных актов, что обеспечивает информационную безопасность на уровне предприятия без нарушения национальных или транснациональных требований. Последние могут касаться раскрытия публичной информации, а также раскрытия информации, касающейся или защищающей интересы контрагентов фирмы, если контрагенты раскрывают информацию о фирме;
- постоянный мониторинг существующей системы информационной безопасности и оценка ее соответствия целям организации, позволяющий выявить существующие недостатки в используемых процедурах для повышения ее эффективности путем устранения существующих проблем и недостатков. Поэтому аудит может проводиться как отделом внутреннего аудита предприятия, так и внешними аудиторами.
Рассмотрим пример внедрения СУИБ в компанию, а также теоретическую программную базу для самостоятельного создания автоматизированной системы. Предположим, что у нас есть компания, которая занимается разработкой программного обеспечения. В компании работают разработчики, тестировщики, менеджеры проектов и другие специалисты. Все они имеют доступ к различным данным, в том числе и к конфиденциальным.
Для обеспечения безопасности информации в компании была разработана СУИБ. Она включает в себя следующие модули:
Внедрение СУИБ в компанию позволит обеспечить безопасность информации и защитить ее от несанкционированного доступа. Кроме того, это позволит компании повысить доверие клиентов и партнеров, что может привести к увеличению прибыли. Для каждого модуля во внутренней сети компании пишется код на языке программирования Python
Этот код создает базу данных для хранения логов и таблицу для хранения информации о пользователях, выполняющих действия в системе. Затем определяется функция log, которая записывает логи в базу данных. Примеры использования этой функции показывают, как можно записывать логи об аутентификации пользователей и об изменении политик безопасности.
Наконец, код запрашивает все логи из базы данных и выводит их на экран. Это позволяет отслеживать работу СУИБ в реальном времени и быстро реагировать на возможные угрозы безопасности.
Подводя итоги, можем сделать следующие выводы: создание СУИБ требует значительных финансовых затрат, поэтому необходимо следовать принципу экономической эффективности, то есть понесенные затраты должны быть меньше, чем потенциальные последствия несанкционированной утечки информации. Утечка конфиденциальной информации приводит к потере конкурентной позиции на рынке, а также влияет на способность компании генерировать доход и стоимость. Для этого необходимо точно определить угрозы информационной безопасности компании и их источники. Как только это будет сделано, можно приступать к разработке и внедрению системы информационной безопасности. Модернизация системы должна производиться только после тщательного учета изменений в источниках угроз. Построение эффективной системы информационной безопасности требует четкого определения внутренних и внешних факторов, которые могут привести к утечке или потере информации. Работа системы должна быть направлена на предотвращение вторжения, способность обнаружить его и немедленно нейтрализовать, если оно произошло. Кроме того, система должна обеспечивать резервный механизм, с помощью которого информация может быть восстановлена с минимальными потерями.
Учитывая постоянное появление новых угроз, технологический прогресс и увеличение количества хакерских атак, необходимо уделять большое внимание квалификации специалистов, обеспечивающих безопасность информации компании. Их квалификация подкрепляется предыдущим опытом и соответствующей сертификацией, которая соответствует специфике информационной системы вашего предприятия. Поскольку знания в этой области быстро устаревают, дополнительным требованием должно быть постоянное повышение квалификации. Представленная теоретическая программная база может быть использована для создания реальной СУБД.
СПИСОК ЛИТЕРАТУРЫ:
Номер журнала Вестник науки №6 (63) том 4
Ссылка для цитирования:
Абрамова А.Е. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЕСПЕЧЕНИИ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ: ПОСТРОЕНИЕ И УПРАВЛЕНИЕ // Вестник науки №6 (63) том 4. С. 24 - 42. 2023 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/9167 (дата обращения: 19.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2023. 16+