Skip to content Skip to footer

Информационная безопасность. Типы рисков и варианты профилактики

[cmsmasters_row data_shortcode_id=”vgwts5vgu” data_padding_bottom_mobile_v=”0″ data_padding_top_mobile_v=”0″ data_padding_bottom_mobile_h=”0″ data_padding_top_mobile_h=”0″ data_padding_bottom_tablet=”0″ data_padding_top_tablet=”0″ data_padding_bottom_laptop=”0″ data_padding_top_laptop=”0″ data_padding_bottom_large=”0″ data_padding_top_large=”0″ data_padding_bottom=”50″ data_padding_top=”0″ data_bg_parallax_ratio=”0.5″ data_bg_size=”cover” data_bg_attachment=”scroll” data_bg_repeat=”no-repeat” data_bg_position=”top center” data_color=”default” data_bot_style=”default” data_top_style=”default” data_padding_right=”3″ data_padding_left=”3″ data_width=”boxed”][cmsmasters_column data_width=”1/1″ data_shortcode_id=”brbeg2s7z4″ data_animation_delay=”0″ data_border_style=”default” data_bg_size=”cover” data_bg_attachment=”scroll” data_bg_repeat=”no-repeat” data_bg_position=”top center”][cmsmasters_text shortcode_id=”ypu1eyic9f” animation_delay=”0″]

Около 43% кибератак, согласно статистике, нацелено на малый бизнес. В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.

Необходимо определить ключевые информационные активы и процессы, и уже для них рассматривать риски и меры по их смягчению.

О рисках, уникальных именно для вашей компании, никто кроме ваших бизнес-менеджеров рассказать не сможет.

В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.

В целом риски делятся на несколько групп:

  • Внутренний злоумышленник
  • Взлом и несанкционированное вмешательство
  • Человеческие ошибки
  • Пожары, затопления, стихийные бедствия
  • Технологические риски
  • Физическая кража
  • Действия проверяющих и силовых органов

Поговорим о них подробнее. В первой части – о внутреннем злоумышленнике.

Внутренние злоумышленники – это люди внутри организации: сотрудники, в том числе бывшие, подрядчики. У которых есть информация о данных и компьютерных системах, методах безопасности внутри организации.

У таких людей могут быть пароли, выданные им для выполнения своих обязанностей. А также им часто не надо взламывать внешнюю защиту сети.

Во многих случаях такой злоумышленник может захватить полный контроль над информацией в компании.

У вас могут быть установлены лучшие антивирусы, firewall и IDS системы (системы предотвращения вторжений).

Но кто-то из конкурентов заплатил вашему системному администратору. И он, пользуясь своими администраторскими полномочиями, смог скопировать любую конфиденциальную информацию или внести нежелательные изменения в данные.

По некоторым опросам, около 53% компаний сталкивались с внутренними злоумышленниками.

Причем у таких злоумышленников, как у классических шпионов из фильмов, бывают не только финансовые мотивы, но и мотивы мести.

Кто еще, кроме сотрудников с административными функциями, попадает в группу риска с точки зрения инфо безопасности?

  • Разработчики корпоративного ПО: внесение бэкдоров, шпионских функций, воровство исходных кодов, воровство рабочих данных информационных систем;
  • Пользователи, в информационных системах, имеющие права на внесение и корректировку финансовых данных: сумма счетов, изменение реквизитов контрагентов, смена назначения платежа, работа с клиент-банком и т.д. Что может быть зловредного? Оплата на чужой расчетный счет, предоставление неправомочной скидки, т.д.
  • Пользователи, которые имеют доступ к клиентской базе, подписанным контрактам и их условиям, коммерческим и тендерным предложениям, маркетинговой стратегии, конструкторской документации, т.д.

Возможные меры по смягчению этой группы рисков:

  • Выполнять независимое логирование и аудит действий привилегированных пользователей. Так же помогает внедрение систем типа PAM (Privileged Access Management – управление доступом привилегированных пользователей);
  • Для критических данных разделять между разными людьми функцию ввода и функцию контроля, что введено правильно;
  • При выдаче полномочий на информационные системы руководствоваться принципом “минимально необходимые”;
  • Отслеживать вместе со службой HR, что после перевода сотрудника в другой отдел или его увольнения, в IT-системах проверяются и меняются полномочия таких сотрудников.

Как видим, для этой категории рисков крайне важна синергия департамента безопасности и службы HR, выстраивание мониторинга как психологического состояния сотрудников, так и дорожной карты предоставления/передачи полномочий.

О других типах рисков расскажем в следующих блогах.

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]