Информатизация бизнеса. Управление рисками

Авдошин Сергей Михайлович

Песоцкая Елена Юрьевна

Глава 6

Риски в обеспечении информационной безопасности

 

 

6.1. Понятие информационной безопасности

Зависимость бизнеса от современных информационных технологий огромна. Преимущества их использования очевидны – это хранение и обработка большого количества информации, скорость передачи данных, доступ к информации по всему миру. Развитие информационных технологий с каждым годом усложняет процесс защиты информации. Если в начале 80-х годов защита информации могла быть эффективно обеспечена при помощи специально разработанных организационных мер и программно-аппаратных средств шифрования, в настоящее время информационная безопасность требует более продвинутых средств защиты. Это обусловлено возрастающей сложностью и масштабами программных средств и компьютерных систем, сбором и хранением крупных информационных баз на электронных носителях, доступом к ресурсам компьютерной системы большого числа пользователей с различными правами доступа к системе. Так, например, активное применение Интернета практически во всех сферах бизнеса делает ИТ-структуру компании более уязвимой за счет возможности доступа пользователей извне.

Определений информационной безопасности множество. Согласно ГОСТу, защита информации (обеспечение информационной безопасности) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Многие определения охватывают аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств ее обработки. Негативные воздействия, как правило, осуществляются с целью нарушения конфиденциальности, целостности и доступности информации, поэтому для достижения цели информационной безопасности необходимо обеспечить точность и полноту информационных активов, доступных и пригодных для использования только уполномоченными лицами (организацией, процессом) в соответствии с их требованиями.

Чем сложнее задача автоматизации и чем ответственнее область, в которой используются компьютерные информационные технологии, тем все более и более критичными становятся надежность и безопасность информационных ресурсов, задействованных в процессе сбора, накопления, обработки, передачи и хранения компьютерных данных. Целью информационной безопасности является предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.

Существует целый ряд стандартов и подходов к обеспечению информационной безопасности компании и управлению информационными рисками. Наибольшую известность в мировой практике управления информационными рисками имеют такие международные спецификации и стандарты, как ISO 17799–2002 (BS 7799), CISA (Сертифицированный аудитор информационных систем), CISSP (Сертифицированный профессионал по обеспечению безопасности информационных систем), COSO, SAS 55/78, и некоторые другие, аналогичные им.

Основополагающими считаются стандарты международной организации по стандартизации серии ISO 27000, включающие шесть стандартов информационной безопасности. Фактически эти стандарты представляют собой технологию управления информационной безопасностью.

ISO/IEC 27001 представляет собой международный стандарт – «Система управления информационной безопасностью (СУИБ). Требования» – и позволяет организациям определять цели и процессы информационной безопасности, предпринимать шаги к увеличению эффективности.

Стандарт ISO/IEC 27002 представляет собой практическое руководство по созданию СУИБ, описывает механизмы контроля, необходимого для построения системы безопасности, определенные на основе лучших примеров мирового опыта в данной области.

Существует еще один международный стандарт ISO 15408, который был разработан на основе стандарта «Общие критерии безопасности информационных технологий» (рис. 22). В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», часто в литературе называемый «Общие критерии». Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.

Стандарты носят исключительно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые средства и технологии оценки, отработки и управления рисками. Однако отсутствие конкретных рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, снижает полезность стандартов как технологических документов.

Рис. 22. Понятие безопасности в соответствии с ГОСТ Р ИСО/МЭК 15408–2002

Проблемы информационной безопасности особенно актуальны для ERP-систем, которые содержат финансовую информацию и данные о клиентах, кадровые данные, прочую информацию, необходимую для повседневной деятельности сотрудников. Очевидно, что многие из этих данных являются конфиденциальной информацией, и их раскрытие может принести предприятию значительные убытки. Чем больше бизнес зависит от ИТ, тем важнее стабильность работы информационных систем и безопасность данных для компании. Учитывая важность коммерческой информации для компаний и возможные проблемы в случае ее частичной потери или утечки, ИТ-безопасность представляется одной из ключевых задач для любого бизнеса.

Помимо ERP-систем и прочего программного обеспечения (software), объектами защиты в информационной безопасности принято считать аппаратное обеспечение (hardware), обеспечение связи/коммуникации, информацию на твердых и электронных носителях, а также в некоторых случаях оказываемые услуги, имидж и репутацию компании.

Грамотно организованный процесс управления информационной безопасностью позволяет оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации. Для этого необходимо выполнять на регулярной основе:

• документирование информационной системы с позиции информационной безопасности компании;

• классификацию информационных рисков и профилирование пользователей;

• качественную и количественную оценку информационных рисков и их анализ;

• управление информационными рисками на всех этапах жизненного цикла информационной системы, возможно с применением специального программного инструментария;

• аудит в области информационной безопасности.

 

6.2. Основные риски в обеспечении информационной безопасности

По результатам регулярных исследований аналитической лаборатории Info-Watch, ежедневно в мире регистрируется от одной до двух утечек конфиденциальных данных, преданных публичной огласке. Только в 2008 году проблема утечки персональных данных затронула интересы более 100 миллионов человек во всем мире! Мировой финансовый кризис, сопровождающийся массовыми сокращениями рабочих мест, лишь обостряет проблему, поскольку ценность информации в момент кризиса возрастает.

Разные виды информации имеют разную цену для злоумышленников и порождают специфические риски для компании: финансовые, юридические, репутационные:

 финансовые риски – хищение финансовых данных, отчетов, ключевой информации и паролей для взаимодействия, получение информации о планируемых продуктах/услугах, хищение базы данных клиентов, поставщиков;

 юридические риски – хищение конфиденциальной информации, персональных данных, условий контрактов, трудовых договоров;

 репутационные риски – хищение данных, напрямую связанных с деятельностью компании, ее внутренней структурой, взаимоотношениями, имиджем, продуктами и услугами.

Среди основных каналов утечки информации выделяют инсайдерские (внутренние) и внешние угрозы. Причем под «инсайдером» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники, бизнес-партнеры и люди, имеющие доступ к внутренней информации.

Исследование проблемы внутренних ИТ-угроз показало, что российские организации прежде всего озабочены утечкой конфиденциальной информации. Остальные угрозы – искажение информации, сбои в работе ИС по причине халатности персонала, утрата информации, кража оборудования – являются второстепенными.

Компанией InfoWatch было проведено исследование основных каналов утечек информации за 2008 год. Как видно из диаграммы (рис. 23), значительный процент инцидентов приходится на сеть и переносные компьютеры, в то время как на электронную почту выпадает небольшой процент зарегистрированных утечек.

Рис. 23. Каналы утечки конфиденциальной информации

Среди основных тенденций специалисты InfoWatch отметили увеличение доли умышленных утечек. По их мнению, как защита, так и утечки персональных данных являются самыми значительными статьями расходов при оценке стоимости информационных рисков. При этом защитники информации излишне сконцентрированы на электронной защите, упуская из виду традиционные (преимущественно случайные) утечки бумажных носителей, которые можно предотвратить лишь организационными мерами, отмечается в отчете InfoWatch за 2009 год. Умышленные утечки могут быть инициированы внутри компании (инсайдерские угрозы) и могут быть вызваны внешними угрозами.

Одной из самых опасных инсайдерских угроз сегодня является несанкционированный доступ к конфиденциальной информации и ее кража. Несанкционированный доступ к информации может быть организован с помощью взлома ПО, копирования на внешние носители и передачи информации через Интернет, использования дополнительных устройств (Wi-Fi, BlueTooth, GPRS и прочего).

В зависимости от ценности похищенных данных убытки компании могут возрасти в несколько раз. Кроме того, компании часто сталкиваются и с физической кражей переносных компьютеров, вследствие чего реализуются как угрозы несанкционированного доступа, так и кражи чувствительной информации, стоимость которой зачастую несопоставима со стоимостью оборудования либо превышает ее.

Среди прочих инсайдерских угроз следует выделить фото– и видеосъемку бумажных документов, содержимого мониторов, вводимых паролей, кражу носителей резервной информации, «рабочих» жестких дисков, установку внутренних устройств-«жучков», бесконтрольную отправку копий документов, голосовую передачу значительных объемов информации, вынос бумажных документов, хакерские атаки, «взлом» сетей. Также бывают случаи кражи переносных компьютеров и внешних носителей, установки вредоносного ПО, визуального «съема» информации с мониторов, бумажных документов, вышедших из эксплуатации носителей, выброшенных документов. Для целей несанкционированного доступа к информации может быть использована социальная инженерия, оказывающая воздействие на психологию сотрудников с целью выманивания паролей, запуска ими специально подготовленных программ.

Согласно отчету Computer Crime and Security Survey, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерских атак. То есть наибольшая угроза ИТ-безопасности исходит изнутри организации. Сотрудники компании (инсайдеры) имеют намного больше возможностей нанести вред организации, в отличие от хакеров или внешних злоумышленников. Инсайдерские утечки данных через локальные порты компьютеров сотрудников, съемные носители и персональные мобильные устройства стали гораздо опаснее сетевых угроз. От внутренних «нарушителей порядка» нельзя защититься так же просто, как от вирусов: установить антивирус и регулярно обновлять сигнатурные базы, – потребуется выстроить гораздо более сложную, комплексную систему защиты. Растущая распределенность вычислительных процессов ведет к тому, что все большая часть корпоративных данных создается, обрабатывается и хранится на персональных компьютерах сотрудников, включая не только настольные, но и переносимые компьютеры – ноутбуки. Наиболее существенным по влиянию фактором стал резкий рост в последние годы размеров памяти съемных носителей при снижении их цены, габаритов и простоте инсталляции, что привело к общедоступности, удобству и высокой маскируемости (из-за малых размеров) этих устройств. Повсеместное распространение беспроводных сетей только усугубляет проблемы информационной безопасности.

Многие ERP-системы не обладают средствами защиты от внешних инсайдеров, хотя располагают сильными средствами защиты от неавторизованного доступа, обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной безопасности.

При оценке решений для управления доступом ИТ-специалисты должны учитывать следующие требования:

• поддержка различных методов аутентификации;

• политики управления доступом на базе ролей и правил;

• интеграция возможностей аутентификации и авторизации с пакетными корпоративными приложениями;

• унифицированные политики управления доступом для различных платформ и организаций;

• контроль числа пользователей в системе и делегирование прав;

• аудит-системы безопасности и защита журнала протоколирования;

• надежные функции аудита и отчетности для всех событий доступа.

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. Идентификация – присвоение пользователям идентификаторов (уникальных имен или меток), под которыми система «знает» пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т. д. Идентификация нужна и для других системных задач, например для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация – установление подлинности, проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).

Для управления идентификацией и доступом необходимо ответить на вопросы: кто и куда имеет доступ, чем занимались пользователи ИС, когда они это делали, как можно это проверить? Почти во всех компаниях используют идентификаторы пользователей с определенными правами доступа – за этими идентификаторами стоят штатные сотрудники, временные сотрудники, партнеры, клиенты и другие люди, которые участвуют во всех операциях.

Идентификаторы пользователей определяют, кто из пользователей может иметь доступ, к каким приложениям, базам данных, платформам, сервисам. С помощью разграничения и контроля доступа организации могут выиграть от эффективного снижения рисков безопасности ИТ и защитить ценные ресурсы, не вступая в конфликт с законодательными нормами. Для избежания инсайдерских угроз администраторы должны тщательно следить за правами доступа сотрудников, покидающих компанию, и сразу же аннулировать соответствующие учетные записи после их ухода. Наиболее распространенными на данный момент являются парольные системы. У пользователя есть идентификатор и пароль, то есть секретная информация, известная только пользователю (и возможно, системе), которая используется для прохождения аутентификации. Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особое внимание.

В качестве дополнительного инструмента контроля информационной безопасности используется протоколирование – сбор и накопление информации о внешних, внутренних, клиентских событиях информационной системы. Далее осуществляется аудит – анализ накопленной информации, проводимый оперативно или периодически.

При анализе рисков информационной безопасности, с которыми сталкиваются корпорации в результате несанкционированного доступа, следует учитывать следующие основные категории.

1. Защита ресурсов. Как можно обеспечить безопасность и конфиденциальность важных корпоративных ресурсов, которые должны быть доступны лишь авторизованным людям для совершения одобренных действий?

2. Непрерывная доступность служб. Как можно обеспечить непрерывную доступность служб, которые предоставляются сотрудникам, партнерам и клиентам, без падения качества или уровня обслуживания?

3. Соответствие нормам. Как внутренние или внешние аудиторы ИТ могут проверить, что организация на самом деле удовлетворяет требованиям законодательных норм, которым она должна соответствовать?

Для обеспечения информационной безопасности информационной системы необходимо иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы. Нужно создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом. Также желательно иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС и иметь инструменты контроля правильности настроек системы.

В настоящее время в компаниях сложилась тенденция фокусировки на внешних угрозах:

• защита от хакеров и внешних вторжений (межсетевые экраны);

• антивирусы, антиспам, контентные фильтры почты и др.;

• системы авторизации, токены, VPN для доступа пользователей к важной информации извне;

• контролируемые почтовые серверы, средства фильтрации контента;

• запрет альтернативных почтовых ящиков.

При широко развитом использовании традиционных сетевых систем защиты информации во многих компаниях практически отсутствует контроль локальных каналов утечки информации. Это объясняется тем, что тотальный запрет переносных компьютеров, использования USB-портов, ограничение печати документов крайне неэффективны для бизнеса, с точки зрения операционной деятельности. Локальные каналы утечки стали, с одной стороны, наиболее удобны, незаметны и потому эффективны, с другой – наименее защищены, потому что традиционные сетевые системы защиты информации оказались недостаточно эффективны для борьбы с такими формами утечки, как копирование данных на USB и вынос ее в кармане. В итоге сегодня внутренние инсайдерские утечки через локальные порты компьютеров сотрудников, съемные носители и персональные мобильные устройства стали гораздо опаснее сетевых угроз извне.

При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Необходимы дополнительные системы защиты, позволяющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкционированного доступа к конфиденциальным данным.

Еще одной опасной инсайдерской угрозой являются корпоративный саботаж и диверсии, совершенные инсайдерами из эмоциональных и нерациональных побуждений, уязвленного самолюбия и обиды. В отличие от хакера, саботажник не преследует финансовой выгоды. По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа – это профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Таким способом удается исключить те 30 % претендентов, которые имели криминальную историю. Также целесообразно проводить регулярные тренинги и семинары, на которых до персонала доводится информация об угрозах ИТ-безопасности и последствиях саботажа.

 

6.3. Методы управления рисками информационной безопасности

Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы, классификацию информации, организацию безопасности и обучение по вопросам безопасности.

Процесс управления рисками ИБ может затрагивать только информационные риски либо может быть интегрирован с общим процессом управления рисками в организации, поскольку риски информационной безопасности затрагивают подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, ИТ-подраз-деление.

Процесс управления рисками информационной безопасности можно подразделить на следующие основные этапы:

1) выбор анализируемых объектов и уровня детализации их рассмотрения;

2) выбор методики оценки рисков;

3) идентификация активов;

4) анализ угроз и их последствий, определение уязвимостей в защите;

5) оценка рисков;

6) выбор защитных мер;

7) реализация и проверка выбранных мер;

8) оценка остаточного риска.

Процесс управления безопасностью является непрерывным. Регулярная переоценка рисков позволит поддерживать данные о безопасности информационной системы организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом. Процесс начинается с анализа объектов информационной безопасности и идентификации угроз. Анализируемые виды угроз следует классифицировать по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей, и в пределах выбранных видов провести максимально полное рассмотрение. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы. В процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения для выбора наиболее подходящего средства защиты. Например, нелегальный вход в систему может стать следствием подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба с использованием шкал и критериев оценки. При этом величина ущерба и вероятности не обязательно должна быть выражена в абсолютных денежных показателях. Используемые методы анализа и оценки рисков информационной безопасности (сценарный анализ, прогнозирование) допускают применение порядковой или количественной шкалы. Можно также использовать трехбалльную шкалу оценки вероятности и угроз: низкая/средняя/высокая. Но при этом надо одинаково понимать, что стоит за каждым из этих значений.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т. п.

После оценки рисков следует выбрать защитные меры, направленные на снижение рисков и реализацию потребностей информационной безопасности. В качестве защитных мер могут использоваться дополнительная настройка программного обеспечения, строгое управление паролями, охрана, механизмы контроля доступа операционных систем, обучение пользователей вопросам безопасности.

В конце цикла управления рисками ИБ проводится повышение осведомленности сотрудников компании в области политики безопасности, стандартов и руководств по обеспечению целостности, конфиденциальности и доступности данных.

Политика безопасности является своеобразным фундаментом для программы безопасности компании. К этой политике нужно относиться серьезно с самого начала, в нее должны быть заложены идеи постоянной актуализации, обеспечивающие постоянное функционирование всех компонентов безопасности и работу по достижению целей, соответствующих целям бизнеса. Выработка собственной уникальной политики безопасности нужна только для тех организаций, чьи информационные системы и обрабатываемые данные можно считать нестандартными. Для типовой организации можно использовать типовой набор защитных мер, выбранный из наиболее распространенных рисков информационной безопасности в базе международных или локальных стандартов (ISO 27001). При использовании западных стандартов следует провести анализ на соответствие требованиям национального законодательства в области информационной безопасности.

Разработка политики в области ИБ включает формирование соответствующего комплекта организационно-распорядительной и нормативно-методической документации, положений по обеспечению ИБ компании и методики проведения внутреннего аудита безопасности.

Внедрение политики информационной безопасности относится к организационным мерам управления безопасностью. Ввод в действие политики начинается с момента ознакомления всех сотрудников (под роспись) с актуальной политикой ИБ и ее основными принципами касательно применения видов связи, коммуникаций, хранения, использования и передачи данных. Так, например, политика безопасности может содержать регламенты использования следующих устройств:

 внешние носители. Запрет личных носителей, ограничение использования по принципу необходимости, строгий учет используемых носителей, назначение ответственных за ИБ в каждом подразделении;

 Интернет. Регламентация получения доступа, использования и контроля использования ресурсов сети Интернет, регламентация использования корпоративной и внешней электронной почты;

 дополнительные устройства. Регламентация самостоятельной установки/подключения дополнительных устройств, таких как USB, Fire-Wire, LPT, COM, IrDA, HDD, Floppy, DVD/CD-ROM, Tape, Modem, Bluetooth, Wi-Fi, мобильные устройства, прочее.

В некоторых компаниях используются так называемые «белые списки» устройств (например, USB, CD/DVD), доступных к использованию в соответствии с политикой безопасности, регламентированных по определенному производителю, модели, серийному номеру или по пользователям/группам пользователей.

Также в политике безопасности могут быть прописаны следующие ограничения:

• запрет/контроль использования личных мобильных телефонов, фото– и видеотехники, переносных компьютеров, дополнительных устройств передачи информации;

• контроль помещений и использование видеонаблюдения;

• регламентация учета, хранения и использования, а также контроль за перемещением всех накопителей информации и средств вычислительной техники;

• ограничения использования факсов, модемов, телефонной связи;

• разграничение полномочий пользователей информационных систем при помощи ведения и контроля журналов доступа к критичным ресурсам и использования частных политик безопасности для всех операционных систем, программных комплексов, коммуникационного оборудования, сетей;

• контроль каналов печати: локальных, сетевых, виртуальных;

• регламентация жизненного цикла, в том числе утилизации цифровых и бумажных носителей информации.

Помимо организационных принципов информационной безопасности, целесообразно использовать технические меры в соответствии с утвержденной политикой ИБ. Введение технических ограничений на внешние носители, аппаратное и программное ограничение рабочих станций предусматривает обязательное шифрование и автоматизированный контроль использования внешних носителей с помощью специального ПО.

Техническое разграничение доступа к ресурсам сети Интернет (выделенные компьютеры либо терминальный доступ) и предоставление доступа только к необходимым ресурсам либо разграничение специальным ПО позволяет осуществлять контроль использования сети Интернет, исключение взаимодействия с внутренней сетью организации и передачу данных. С помощью технических средств возможны отключение неиспользуемых устройств, постоянный контроль конфигураций компьютеров, а также аппаратное (либо программное) отключение возможности подключения дополнительных устройств. Дополнительно применяются регламентация использования переносных компьютеров и внешних носителей информации, обязательное шифрование всей критически важной информации. Существует техническое ограничение использования факсов, модемов (на офисных АТС), учет/аудиозапись использования телефонной связи, исключение возможности использования личных мобильных телефонов, контроль использования копировальной техники с помощью установки на открытых пространствах и видеонаблюдения.

Еще одной технической мерой информационной безопасности являются хранение резервных носителей в безопасных хранилищах, физическая защита и проектирование и внедрение систем бесперебойного и гарантированного электропитания, контроля и управления доступом в помещения и к оборудованию, видеоконтроля и теленаблюдения.

Разграничение доступа пользователей информационных систем, адекватная настройка систем безопасности операционных систем, программных комплексов, коммуникационного оборудования, своевременное обновление систем безопасности и использование систем обнаружения/предотвращения вторжений позволит снизить уязвимость информационных систем на техническом уровне.

Для своевременного отслеживания угроз информационной безопасности предусмотрены специальные технологии обнаружения, а именно:

• компьютерные программы для выявления, нейтрализации или устранения вредоносных программ (антивирусное ПО);

• системы обнаружения вторжений (СОВ), которые собирают и анализируют информацию из различных областей компьютера или сети для выявления возможных нарушений в системе безопасности;

• системы предотвращения вторжения (СПВ), которые определяют потенциальные угрозы и реагируют на них прежде, чем они будут использоваться при атаках.

Действия по эффективному управлению системы информационной безопасности должны включать регулярное планирование и организацию работ с достижением поставленных целей, разработку и регулярный пересмотр политик и процедур ИБ. После разработки или пересмотра политики ИБ необходимы вовлечение всех сотрудников в процесс обеспечения безопасности, ознакомление с документами, проведение тренингов, назначение ответственных за безопасность в отдельных сегментах. Определение четкой структуры и распределение полномочий и ответственности за ИБ позволит создать систему отчетности с прописанными показателями обеспечения ИБ и на ее основе осуществлять контроль выполнения работ.

К ключевым факторам успеха системы информационной безопасности можно отнести:

1) регулярный пересмотр политики информационной безопасности;

2) вовлечение всех сотрудников в процесс обеспечения информационной безопасности;

3) своевременность обнаружения и прогнозируемость развития проблем, оценку влияния проблем на бизнес-цели и управление непрерывностью бизнеса компании.