какая цель обучения и работы с пользователями в вопросах касающихся безопасности информации
Положение об обучении и проверке знаний по вопросам информационной безопасности
1. Общие положения
Данное Положение об обучении персонала вопросам информационной безопасности (далее «Положение») определяет цели, задачи обучения, основные виды обучения, порядок взаимодействия структурных подразделений Банка, полномочия и обязанности сотрудников при организации обучения вопросам информационной безопасности.
Настоящее Положение разработано с целью систематизации действий и процедур, направленных на обучение персонала вопросам информационной безопасности, для обеспечения надежной работы сотрудников в информационной банковской системе.
2 Цели и задачи обучения вопросам информационной безопасности
2.1. Цель обучения персонала – формирование и поддержание необходимого уровня квалификации персонала, с учетом требований Банка в сфере информационной безопасности и обеспечения высокого уровня безопасности в информационной банковской системе.
2.2. Задачи политики Банка в области обучения вопросам информационной безопасности:
3. Виды обучения и проверки знаний
3.1. По формам планирования, организации обучение и проверки знаний подразделяется на плановые и внеплановые:
3.2. По формам проведения обучение и проверки знаний подразделяется на индивидуальные и корпоративные (групповые), внутренние и внешние:
4. Организация обучения и проверки знаний
4.1. Обучению и проверке знаний в порядке, установленном настоящим Положением, подлежат:
4.2. Ответственность за организацию своевременного и качественного обучения и проверки знаний по информационной безопасности в целом по Банку возлагается на Председателя Правления, в структурных подразделениях – на руководителя подразделения.
Своевременность обучения по информационной безопасности сотрудников Банка контролирует Отдел информационной безопасности.
Обучение и инструктаж по информационной безопасности проводится в рабочее время.
4.3. Руководители и специалисты, вновь поступившие в Банк, должны пройти Первичный инструктаж, который проводит сотрудник Отдела информационной безопасности.
4.4. Вновь поступивший на работу руководитель и специалист, кроме вводного инструктажа, должен быть ознакомлен сотрудником Отдела информационной безопасности:
4.5. Проверка знаний по информационной безопасности поступивших на работу руководителей и специалистов проводится не позднее трех месяцев после назначения на должность, но не реже одного раза в три года.
4.6. Руководители подразделений и сотрудники, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, один раз в три года проходят обучение и проверку по информационной безопасности постоянно комиссии из сотрудников Управления экономической защиты, Управления информационных технологий, и Отдела информационной безопасности.
4.6. Внеочередное обучение и проверка знаний по информационной безопасности руководителей и сотрудников Банка проводится независимо от срока проведения предыдущего обучения и проверки:
4.7. Непосредственно перед очередной (внеочередной) проверкой знаний по информационной безопасности руководителей и сотрудников может проводиться специальная подготовка с целью углубления знаний по наиболее важным вопросам информационной безопасности, семинары, консультации. О дате и месте проведения проверки знаний сотрудник должен быть предупрежден не позднее чем за 15 дней.
4.8. Для проведения проверки знаний по информационной безопасности приказом по Банку создаются комиссии по проверке знаний.
4.9. В состав комиссий по проверке знаний по информационной безопасности руководителей и сотрудников назначаются приказом по предприятию:
Проверку знаний по информационной безопасности комиссия может проводить в составе не менее трех человек.
Конкретный состав, порядок и форму работы комиссий по проверке знаний определяет Председатель Правления.
4.10. Обучение и проверка знаний фиксируются в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.
4.11. Внешнее обучение по вопросам информационной безопасности руководителей и сотрудников проводится по программам, разработанным и утвержденным учебными центрами, организациями, институтами, имеющими разрешение на проведение обучения в данной области.
4.12. Контроль за своевременным проведением проверки знаний по информационной безопасности руководителей и сотрудников Банка осуществляется Председателем Правления Банка.
5. Специальное обучение и проверка знаний
5.1. Для выполнения работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, сотрудники проходят дополнительное специальное обучение по информационной безопасности.
5.2. Перечень операций и специальностей, по которым проводят специальное обучение, а также порядок, форму, периодичность и продолжительность обучения устанавливает Председатель Правления Банка, исходя из характера специальности, вида операций, специфики и условий труда.
5.3. Обучение проводится по программам, разработанным с учетом нормативных документов и утвержденным Председателем Правления Банка по согласованию с начальниками Управления экономической защиты, Управления информационных технологий и Отдела информационной безопасности.
5.4. После обучения экзаменационная комиссия проводит проверку теоретических знаний и практических навыков. Результаты проверки знаний регистрируются в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.
Сотруднику, успешно прошедшему проверку знаний, предоставляется право самостоятельной работы.
Перечень специальностей, работа по которым требует прохождения проверки знаний, и состав экзаменационной комиссии утверждает Председатель Правления Банка.
Проведение проверки знаний сотрудников по информационной безопасности регистрируется в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.
5.5. При получении сотрудником неудовлетворительной оценки повторную проверку знаний назначают не позднее одного месяца. До повторной проверки сотрудник к самостоятельной работе не допускается.
5.7. Перед очередной проверкой знаний в подразделениях организуются занятия, лекции, семинары, консультации по вопросам информационной безопасности.
6. Обучение и проверка знаний по вопросам информационной безопасности
6.1. Вводный инструктаж
6.1.1. Вводный инструктаж по информационной безопасности проводят со всеми вновь принимаемыми на работу независимо от их образования, стажа работы по данной специальности или должности, с временными работниками, командированными и представителями сторонних организаций, прибывших на территорию Банка для проведения работ (по согласованию с руководством этих организаций).
6.1.2. Вводный инструктаж в Банке проводит сотрудник Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или лицо, на которое приказом по Банку возложены эти обязанности.
6.1.3. Вводный инструктаж проводят в кабинете Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или Отдела по работе с персоналом.
6.1.4. Вводный инструктаж проводят по программе, разработанной Отделом информационной безопасности с учетом требований стандартов, правил, норм и инструкций по информационной безопасности, а также всех особенностей Банковских технологических процессов.
6.2. Первичный инструктаж на рабочем месте
6.2.1. Первичный инструктаж на рабочем месте до начала выполнения своих обязанностей проводят при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности.
6.2.2. Первичный инструктаж на рабочем месте проводят по программе, разработанной Отделом информационной безопасности с учетом требований стандартов, правил, норм и инструкций по информационной безопасности.
6.2.3. Первичный инструктаж на рабочем месте проводят с каждым сотрудником или руководителем индивидуально с практическим показом безопасных приемов и методов выполнения своих обязанностей.
Первичный инструктаж возможен с группой лиц, выполняющих однотипные операции и в пределах общего рабочего места.
Проведение первичного инструктажа возлагается на сотрудника Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или лицо, на которое приказом по Банку возложены эти обязанности.
Результаты первичного инструктажа заносят в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.
6.2.4. Сотрудники допускаются к самостоятельной работе после стажировки, проверки теоретических знаний и приобретенных навыков безопасных методов и способов работы.
6.3. Повторный инструктаж
6.3.1. Повторный инструктаж проходят все сотрудники или руководители подразделений, независимо от квалификации, образования, стажа, характера выполняемой работы, не реже одного раза в три года.
6.3.2. Повторный инструктаж проводят индивидуально или с группой работников, выполняющих однотипные операции и в пределах общего рабочего места.
6.4. Внеочередной инструктаж
6.4.1. Внеочередной инструктаж проводят:
6.4.2. Внеочередной инструктаж проводят индивидуально или с группой работников одной специальности. Объем и содержание инструктажа определяют в каждом конкретном случае в зависимости от причин и обстоятельств, вызвавших необходимость его проведения.
6.4.3. Внеочередной инструктаж отмечается в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности с указанием причин его проведения.
6.5. Целевой инструктаж
6.5.1. Целевой инструктаж проводится при выполнении разовых работ, не связанных с прямыми обязанностями по ликвидации последствий инцидентов.
6.5.2. Целевой инструктаж проводится руководителями подразделений.
6.6. Первичный инструктаж на рабочем месте, повторный, внеочередной и целевой проводят непосредственно руководители работ.
6.7. Инструктажи на рабочем месте завершаются проверкой знаний устным опросом, а также проверкой приобретенных навыков безопасных способов работы. Знания проверяет сотрудник, проводивший инструктаж.
6.8. Лица, показавшие неудовлетворительные знания, к самостоятельной работе не допускаются и обязаны вновь пройти инструктаж.
6.9. О проведении первичного инструктажа на рабочем месте, повторного, внеочередного и при допуске к работе сотрудник, проводивший инструктаж, делает запись в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности с обязательной подписью инструктируемого и инструктирующего. При регистрации внеочередного и целевого инструктажа указывается причина его проведения.
Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля
Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.
1. Заручиться поддержкой руководства.
Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.
Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».
Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.
Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.
На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».
2. Определить состав рабочей группы.
Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.
Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.
3. Определить риски.
После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:
После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.
После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.
4. Принять организационные меры.
На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.
5. Выбрать и внедрить меры и средства защиты информации.
На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.
При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.
6. Довести информацию до заинтересованных лиц.
Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.
7. Провести мониторинг и оценку.
После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.
Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.
Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Есть ещё один вариант деления специалистов:
Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.
Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Правила информационной безопасности на предприятии
Защита данных
на базе системы
К омпания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.
Необходимость внедрения правил информационной безопасности
Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина. Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.
Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.
Правила ИБ в офисе
Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.
Информирование
Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.
Всем пользователям корпоративной системы должны быть известны простые правила безопасности:
Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.
Контроль доступа
Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.
Комплексный подход
Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.
Правила ИБ при работе на удаленном доступе к сети
Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.
В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.
Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске.
Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:
Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:
Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.
ИБ на производстве
Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы. Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах.
АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:
Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.
В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.
Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31.
При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:
Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:
Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:
Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.
Системы мониторинга активности и обнаружения угроз
Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:
Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.
Системы предотвращения угроз
Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.
Ответственность за нарушение правил ИБ
Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.
Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.
Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.
Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.