gasu.gov.ru – ГАСУ Управление ЦУИБ может быть реализован на уровне ЦУК или на уровне Оператора СРСЦ. В его состав должны входить следующие подсистемы ИБ:
На корпоративном портале хранятся персональные данные сотрудников, объекты интеллектуальной собственности, финансовые документы. Всё это — конфиденциальная информация, которая может быть использована злоумышленниками с целью получить выгоду или нанести ущерб компании.
Согласно совместному исследованию ФБР и Internet Crime Complaint Center, с июня 2016 года по декабрь 2021 года в мире произошло более 241 тысячи утечек корпоративных данных. Инциденты обошлись бизнесу более чем в 43 миллиарда долларов. В России количество случаев воровства информации в 2022 году выросло почти в 1,5 раза.
Нарушение безопасности данных на корпоративном портале может привести к серьезным последствиям: утечкам конфиденциальной информации, нарушениям законодательства о защите персональных данных, потере доверия клиентов и партнеров, а также финансовым проблемам.
Например, если российская компания нарушает законодательство в области персональных данных, её наказывают штрафом до 18 миллионов рублей. А недавно появились инициативы поднять максимальный порог штрафных санкций до 1 миллиарда.
Поэтому так важно обеспечить высокий уровень безопасности данных в интранете и использовать современные методы защиты: шифрование, многофакторную аутентификацию, системы мониторинга и обнаружения инцидентов, обучение сотрудников правилам безопасности. Подробнее об угрозах, надежных технологиях для кибербезопасности и успешных кейсах — в статье.
Основные угрозы безопасности данных на корпоративном портале
Киберугрозы делятся на две группы: внешние и внутренние. В первом случае опасность исходит снаружи – например, хакерские атаки или взломы со стороны конкурентов.
Внутренние угрозы исходят от сотрудников компании, которые могут скопировать базы для себя или конкурентов. По данным компании InfoWatch, в 55% случаев утечек информации виноваты недобросовестные коллеги.
Например, в 2019 году сотрудник Сбербанка слил информацию о кредитных картах 200 клиентов. Таких случаев в России ежегодно происходит сотни, и многие из них связаны с недостаточной информированностью людей о правилах безопасности данных.
Чаще всего компании теряют данные в результате следующих случаев:
Разработка технического задания для системы информационной безопасности ситуационного центра должна не только учитывать архитектурные параметры создаваемой системы, но и, безусловно, соответствовать требованиям законодательства РФ.
Основными нормативными документами являются:
Также важно учитывать богатство используемых технологий. Для сбора, обработки и отображения статистической, социологической, экспертной, аналитической информации и других показателей используются различные решения, обеспечиваемые разнообразным серверным и сетевым оборудованием, видео- и аудиооборудованием. Все это расширяет число возможных каналов проведения атак, поэтому до составления технического задания нужно разрабатывать модель угроз на основе уже существующих типовых документов, принятых при обеспечении защиты различных уровней Системы распределенных ситуационных центров, работающих по единому регламенту взаимодействия (СРСЦ). Также при разработке ТЗ за основу берется проект типового технического задания, который принят в рамках СРСЦ.
Важно обратить внимание на то, что перевод СЦ в промышленную эксплуатацию осуществляется только после аттестации.
Поэтому рекомендуется закладывать в ТЗ две
Правильно разработанное техническое задание позволяет оптимизировать как сроки, так и затраты на создание СЦ. Поэтому разработка модели угроз и технического задания — это один из самых важных этапов во всем процессе обеспечения ИБ. Для выполнения таких работ необходимо привлекать компетентные организации, обладающие соответствующими лицензиями ФСТЭК России и ФСБ России и имеющие серьезный опыт в области защиты ситуационных центров.
Резюме
Построение системы защиты информации СРСЦ должно опираться на комплексный подход.
Все средства защиты информации должны быть сертифицированы по соответствующему классу защищенности.
По результатам разработки и реализации система должна быть аттестована в установленном порядке.
Сопровождение системы должно регламентироваться внутренними эксплуатационными документами.
Разработанный и принятый на текущий момент системный проект по созданию СРСЦ определяет архитектуру СРСЦ, а также применяемые решения и технологии. В системном проекте должны найти отражение как классический комплексный подход к созданию автоматизированных систем в защищенном исполнении, так и новейшие технологии в области защиты информации, которые учитывают специфику СРСЦ, а также пути развития средств и систем государственного управления в условиях внешне- и внутриполитической обстановки.
С учетом масштаба создаваемой СРСЦ логически напрашиваются дальнейшие шаги по ее развитию и повышению уровня безопасности.
Во-первых, это оптимизация решения организационных и нормативных вопросов, в том числе касающихся информационной безопасности. Целесообразно закрепить роль оператора СРСЦ за определенной службой или ведомством. Требуется выпуск нормативных документов, регламентов, определяющих требования к СРСЦ, порядку подключения к СРСЦ, взаимодействию и т. п.
Во-вторых, это расширение пилотной зоны СРСЦ. В состав пилотной зоны должен входить ЦУИБ для отработки различных вопросов взаимодействия и мониторинга информационной безопасности. В пилотную зону можно включить уже существующие СЦ.
Наконец, нужна интеграция пилотной зоны СРСЦ с ГосСОПКА.
Комплексы ИБ ЦУК и СЦ
Комплексы информационной безопасности ЦУК и СЦ создаются прежде всего для достижения требуемого уровня доверия к источникам и инструментам работы с информацией, а именно:
Результатом построения комплексов информационной безопасности ЦУК и СЦ должна стать «оболочка» вокруг объектов защиты, исключающая возможность модификации и любых других несанкционированных действий с ними.
При построении комплексов информационной безопасности ЦУК и СЦ требуется системное согласование средств и способов защиты, применяемых как на уровне ЦУК, так и у участников СРСЦ. В качестве участников СРСЦ рассматриваются ситуационные центры органов государственной власти — федерального уровня и уровня субъектов РФ. Их задача — информационно-аналитическое и технологическое обеспечение функций государственного управления. В системном проекте разрабатываются основные технические решения в составе комплекса информационной безопасности ситуационного центра для типового СЦ ОГВ в составе СРСЦ.
9 действий, если вам кажется, что данные под угрозой
Обеспечение безопасности данных на корпоративном портале — ключевая задача для любой компании. Внимание к кибербезопасности позволяет защитить конфиденциальную информацию, предотвратить утечки данных и обеспечить надежность бизнес-процессов.
Устранять последствия взлома или утечки многократно дороже, чем защитить данные изначально. Поэтому информационная безопасность — необходимая инвестиция для стабильной работы систем и бизнеса в целом.
Организация защиты информации в СРСЦ
Жизненный цикл обеспечения информационной безопасности СРСЦ в целом и отдельных ее компонентов представлен на рисунке 2.
Основными этапами жизненного цикла являются:
Состав функций безопасности комплексов информационной безопасности (КИБ) ЦУК и СЦ определяется исходя из актуальных угроз безопасности информации, которые выявляются при моделировании СРСЦ, и требований нормативно-правовых актов по защите информации для соответствующих классов информационных систем.
Для защиты информации от несанкционированного доступа в КИБ ЦУК и КИБ СЦ применяются следующие меры:
Перечисленные меры защиты информации в соответствии с действующими руководящими документами ФСТЭК России и ФСБ России реализуются функциональными подсистемами КИБ ЦУК и КИБ СЦ.
7 шагов для обеспечения безопасности данных на корпоративном портале
Объектами защиты в СРСЦ являются:
В соответствии с единой политикой информационной безопасности в основу работы ЦУК и СЦ положена иерархическая структура защиты информации. Она подразумевает отнесение объектов защиты к одному из трех уровней:
1 уровень — секретный, он предназначен для обработки информации, содержащей сведения, составляющие государственную тайну. Это закрытый контур;
2 уровень — конфиденциальный, предназначен для обработки информации ограниченного доступа, в том числе служебной, которая не содержит гостайны. Это служебный контур;
3 уровень — открытый, он предназначен для обработки общедоступной информации. Это открытый контур.
В качестве потенциальных нарушителей безопасности информации ограниченного доступа в ЦУК рассматриваются:
Примеры успешной реализации безопасности данных на корпоративном портале
Первая грузовая компания (ПГК)
В компании разработали систему безопасности, которая включает многоуровневую аутентификацию с использованием одноразовых паролей. Каждый раз, когда сотрудник входит в интранет с мобильного устройства, генерируется новый пароль. Также в ПГК есть защита от автоматического подбора паролей и мониторинг активности пользователей.
Перед тем, как сотрудники получили доступ к порталу с мобильных устройств, ПГК провела пентест (penetration testing) — имитацию реальной атаки. Такое тестирование позволяет увидеть пробелы, исправить ошибки и защитить данные компании от несанкционированного доступа.
В компании реализовали двухконтурную систему с двумя разными версиями портала. Первую разместили в закрытом контуре и собрали в ней конфиденциальную информацию, документы для служебного использования.
Во второй версии хранятся файлы, которые не содержат конфиденциальных данных. Она размещена в открытом контуре.
Из интернета сотрудники могут зайти только на версию портала в открытом контуре. Данные между контурами передаются через специальную шину, которая исключает возможность передачи конфиденциальной информации наружу и не позволяет осуществить атаку на закрытый контур системы.
Организационно-распорядительная документация
В состав организационно-распорядительных документов по обеспечению информационной безопасности СРСЦ входят документы двух уровней: к первому относятся общие документы для СРСЦ; ко второму — документы, специфичные для ЦУК/СЦ.
Документы первого уровня разрабатываются отделом по обеспечению информационной безопасности (ответственными лицами) ЦУК либо операторами СРСЦ или же внешними подрядными организациями, после чего доводятся до ЦУК и до всех СЦ, подключенных к СРСЦ. Типовые комплекты документов второго уровня разрабатываются отделом по защите информации ЦУК. Подразделения СЦ, ответственные за организацию технической и криптографической защиты информации, выполняют их актуализацию и доработку типовых комплектов с учетом условий реализации и функционирования конкретного ситуационного центра.
К документам первого уровня относятся прежде всего концепция ИБ и политика ИБ, а также организационно-распорядительные и методические документы, в которых прописываются:
К документам второго уровня относятся организационно-распорядительные и методические документы, определяющие:
Должен быть разработан также ряд документов для автоматизированных систем закрытого контура ЦУК:
Исполнительный механизм обеспечения безопасности реализуется с помощью программно-технических средств, а также за счет взаимной интеграции функциональных подсистем КИБ ЦУК, КИБ СЦ и ЦУИБ. Отметим: комплекс информационной безопасности функционирует на каждом из контуров ЦУК и СЦ.