Основы информационной безопасности для бизнеса

Что такое информационная безопасность компании

В стандарте «Защита информации» ГОСТ Р 50922-96 под защищаемой понимается

«информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации». Соответственно, информационная безопасность как раз и обеспечивает защищенность информации от утечки, взлома, кражи, изменения и уничтожения. Как случайного, так и преднамеренного.

Почему информационная безопасность важна не только для крупного бизнеса

Вопреки стереотипам, информационная безопасность актуальна не только для крупного бизнеса.

В августе 2022 г эксперты StormWall фиксировали 70% рост DDoS-атак на интернет-магазины электроники, мебели, одежды и канцтоваров. В июле атакам подверглись сайты региональных российских СМИ. На корпоративных сайтах малого бизнеса и локальных онлайн-магазинах злоумышленники зачастую просто «тренируются», а под удар попадают вполне реальные чувствительные данные бизнеса.

У магазина из примера чувствительной информацией будет база клиентов, платежные данные, финансовые документы. Так как основная работа идет онлайн, все эти сведения хранятся в цифровом виде. И если персональные данные покупателей попадут в чужие руки, люди могут стать объектом фишинговых атак. Или злоумышленники потребуют выкуп за базу клиентов. По данным Group-IB средний запрашиваемый кибервымогателями выкуп составляет $247 тысяч.

Что касается DDoS-атак, здесь ситуация двоякая. Поводом для атаки может быть как вымогательство, так и политические мотивы. Кроме того, киберпреступники часто используют DDoS-атаку как фактор отвлечения внимания. В любом случае снижается пропускная способность сети, сайт перестает работать, платежи не проходят, работа останавливается.

Так или иначе, клиентские данные, корпоративная информация, финансовые документы — это чувствительные цифровые активы, которые надо тщательно охранять.

Принципы информационной безопасности

ИБ отвечает за конфиденциальность, целостность и доступность данных. В контексте нашего примера это значит:

• Конфиденциальность подтверждает, что доступ к базе данных, платежной информации интернет-магазина есть только у ответственных лиц. Например, у руководителя, администратора и сотрудника службы ИТ-поддержки. Если логины/пароли от панели администрирования сайта или облака, где размещена база данных, попадут к постороннему, конфиденциальность будет нарушена.
• Принцип целостности обеспечивает хранение информации в неизменном виде. Это значит, что из базы не удалят данные, а финансовые отчеты никто не отредактирует.
• Доступность данных гарантирует, что если у сотрудника/клиента есть право доступа к определенной информации, например, к истории платежей или адресу доставки, человек всегда сможет им воспользоваться.

Какую информацию защищает бизнес

Защищать все и от всего дорого и сложно, поэтому информацию делят на общедоступную и конфиденциальную. Для общедоступных данных обеспечивают защиту целостности и доступности. В нашем примере это может быть целостность и доступность контента. Конфиденциальным данным нужна еще и защита конфиденциальности.

К конфиденциальным данным относится:

• Гостайна. Это не только военные данные. Сюда входит информация по многим направлениям НИОКР, экономические данные, нарушение конфиденциальности которых может нанести ущерб стране и пр.
• Служебная тайна. Она не дотягивает до гостайны, но требуют ограничения доступа. К нашему примеру это не относится — в категорию служебных сведений попадают налоговые данные, сведения из ЗАГСа, ФСИН.
• Сведения, связанные с профессиональной деятельностью. Это знакомые всем врачебная, адвокатская тайна, а также информация, которой располагают частные детективы, священнослужители, нотариусы.
• Коммерческая тайна. Сюда относится любая информация, при краже которой бизнес теряет или может потерять прибыль. У KFC, например, это компоненты трав и специй для панировки курицы. У интернет-магазина из примера коммерческой тайной может быть база данных клиентов. Если ее получат конкуренты, они как минимум разошлют коммерческое предложение с демпинговыми ценами. Какие данные считать коммерческой тайной — определяет бизнес. В одних случаях это может быть проектная документация, в других — финансовые отчеты.
• Персональные данные (ПДн). Согласно 152-ФЗ, это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». ФИО, email и телефонный номер клиента, если по ним можно идентифицировать человека — это персональные данные. И как их защищать определяет уже не бизнес, а закон 152-ФЗ.

ПДн есть у бизнеса любого уровня и отрасли, а за хранением и обработкой ПДн следят регуляторы, поэтому основное направление информационной безопасности в компании — защита персональных данных (ПДн).

Если данные хранятся в локальной инфраструктуре, для их защиты компания реализует один комплекс организационных мероприятий. Когда ПДн хранят и обрабатывают в облаке провайдера, основной комплекс мер физической и информационной безопасности, берет на себя провайдер.

В нашем случае для хранения и обработки ПДн мы предоставляем бизнесу Next Generation Cloud (NG Cloud). Это облако нового поколения, со встроенными сервисами информационной безопасности. Оно соответствует требованиям 152-ФЗ и интегрировано с единым набором сервисов киберзащиты:

1. Защита от DDoS-атак уровня L3-L4 на базе ServicePipe.

2. Сканер уязвимостей IP на основе IS-Systems Continuous Scanning Data Center Edition.

3. Сбор событий ИБ.

4. Форензика или расследование киберпреступлений.

Облако NG Cloud соответствует требованиям закона 152-ФЗ, но никто не ограничивает бизнес в дополнительных инструментах для ИБ. Поэтому мы предлагаем клиентам не только готовый облачный сервис для хранения ПДн, но и дополнительные инструменты защиты web-приложений, систему защиты от DDoS на базе искусственного интеллекта, готовые файерволы и другие услуги. Глубокая экспертиза в области ИБ позволяет нам дополнительно усиливать облачную инфраструктуру передовыми средствами защиты, кастомизировать ее под конкретные задачи и повышать кибербезопасность бизнеса до необходимого уровня.