Инструкция по информационной безопасности для новых сотрудников

Что такое информационная безопасность организации

Сегодня перед компаниями остро встает вопрос грамотного обеспечения информационной безопасности, поскольку от эффективной защиты данных зависит развитие бизнеса и риски, связанные с распространением сведений. 

Информационная безопасность, по сути, это защита и сохранение данных. Задача любой компании — выстроить систему такой защиты с проработкой предполагаемых угроз и рисков. Система будет различаться для каждого отдельного предприятия, но общим является то, что именно информационные технологии применяются для причинения ущерба. 

Итак, информационная безопасность на предприятии — это многоуровневый комплекс мер, направленный на обеспечение защиты информации от постороннего вмешательства, которое может повлечь утечку, уничтожение, изменение или сокрытие корпоративных данных, в результате чего организации будет причинен материальный или репутационный ущерб. 

Другими словами, это методы, технологии и модели управления для защиты информации, как одного из самых ценных активов фирмы. Следовательно, информационная безопасность это также все техническое оборудование, которое защищает данные при использовании, хранении и передаче между подразделениями. 

Зачастую причиной инцидентов ИБ становятся банально неаккуратные действия рядовых сотрудников. Ошиблись, не уделили внимание, не знали — а в итоге корпоративные сервисы оказались под угрозой. Чтобы такого не случалось, руководитель должен донести до персонала, насколько кибербезопасность важна для компании.

Информационная безопасность предприятий подчиняется трем главным принципам:

1. Конфиденциальность: доступ к данным разрешен авторизованным пользователям, которые без необходимого согласия не могут раскрывать их третьим лицам. Степень ограничения зависит от конкретного вида деятельности. Например, в пресс-службе госучреждения право публиковать новости должно быть только у редакторов и журналистов, доступ к написанию комментариев — у зарегистрированных пользователей. Если мошенники взломают систему, они смогут публиковать все, что угодно.

2. Целостность. Корпоративная информация должна быть неприкосновенна. То есть: нельзя исказить или изменить данные без разрешения владельца. Например, любая клиника должна обеспечивать целостность сведений из медкарт пациентов: корректировать данные могут только администраторы и врачи. Если нарушить целостность, изменять карты сможет кто угодно, в итоге пациентам поставят неверный диагноз или назначат неправильное лечение.

3.  Доступность: информационная безопасность на предприятии должна предусматривать надежный и эффективный доступ к информации уполномоченных лиц. Он строго ограничен и зависит от обязанностей конкретного сотрудника. Все процессы в сетевой среде должны быть предсказуемы, но каждый сотрудник должен иметь возможность оперативного доступа к тем данным, которые были вверены именно ему. Также согласно этому принципу в случае сбоя любые сведения будут восстановлены — быстро и в полном объеме.

Угрозы информационной безопасности предприятия

Угрозы безопасности информационных систем постоянно прогрессируют в своем развитии. Разделим их на следующие группы:

• естественные — носят форс-мажорный характер и не зависят от человека (стихийные бедствия);

• искусственные — созданные человеком (умышленно или нет). Хакерские проникновения, DDoS-атаки и вирусы, диверсия недовольных сотрудников. К неумышленным угрозам относятся действия сотрудников по причине халатности, невнимательности или недостаточного обучения;

• внутренние — проблемы внутри организации (повреждение информации, утечка данных);

• внешние — возникают извне (вирусы и попытки взлома).

Глобальная проблема для современного предприятия — влияние человека с конкретными целями.

Хорошо подготовленный человек, желающий получить несанкционированный доступ к данным — серьезная угроза и гипотетически такая угроза может породить целую цепочку проблем.

Преступники совершенствуют разработки в области преодоления защиты информационной безопасности. То есть, действия мошенников могут нанести колоссальный вред: от финансовых потерь до раскрытия персональных данных клиентов.

Рассмотрим примеры массовых угроз информационной безопасности, с которыми сталкиваются современные компании:

• Кража методом взлома информационной системы или подключения к ненадежным каналам связи. 

• Кража коммерческой тайны инсайдерами по заданию конкурентов (например, воровство базы данных клиентов компании).

• Спам — блокирует входящие каналы связи, мешает отслеживать важную информацию.

• DoS (Distributed Denial of Service) атака, целью которой является  временная недоступность системы. Перезагрузить сеть или определенный сервер большим количеством запросов — главная задача такой угрозы. Сайт компании становится недоступным, что критически влияет на фирму, которая, скажем, продает товары онлайн или оказывает услуги в интернете.

• Фишинг — интернет-мошенничество, при котором преступники выдают себя за легитимные источники (госорганы, банки, налоговую) с целью получения конфиденциальных данных (логинов, паролей, номеров банковских карт). Такая атака строится на манипуляции: фишинговое письмо — это психологическая ловушка, адресовано оно, как правило, конкретному сотруднику или руководителю. В письме содержится ссылка, при переходе на которую пользователь попадает на поддельный сайт, где нужно ввести персональные данные. 

• Трояны, черви и вирусы — вредоносные ПО, которые проникают в корпоративный компьютер и наносят различный вред. Трояны и вирусы позволяют красть, портить и уничтожать данные компании. Значительный ущерб причиняют вирусы, способные шифровать информацию на рабочем компьютере: мошенники требуют денег за расшифровку. Яркий пример — вредоносные утилиты Petya, WannaCry.

• Пиратское программное обеспечение. В целях экономии многие фирмы используют нелицензионные программы, позволяя сотрудникам работать с пиратскими версиями приложений и баз данных. Помните, отсутствие лицензии это угроза внедрения в систему всевозможных вирусов.

• Кража учетных данных методом перехвата паролей.

• Эксплойты — атаки, базирующиеся на уязвимости ПО и аппаратной части системы безопасности, которую киберпреступники используют для взлома. По сути, эксплойт это внедрение вредоносного ПО для получения доступа к рабочему серверу.

• Дефейс сайта — преступники заменяют главную страницу сайта организации другим контентом.

• Advanced Persistent Threat (APT) — хорошо подготовленная целенаправленная кибератака на организацию. APT, в отличие от DDoS, — системная киберугроза, состоящая из нескольких различных атак на корпоративную инфраструктуру фирмы. Противостоять APT непросто, потому следует грамотно подойти к обеспечению информационной безопасности корпоративной сети и отдельных технических механизмов, но самое главное — проследить за тем, чтобы сотрудники владели основами информационной безопасности на предприятии.

Отдельно выделим внутренние угрозы, связанные с работниками компании. 

Иногда в коллективе есть те, кто считает, что им не доплачивают, не уважают лично или не уважают мнения, а может, завидуют успеху работодателя. Такие работники несут следующие угрозы:

1. Кража информации через собственные средства аутентификации и реализация данных на черном рынке посредникам. Это характерно для банков и предприятий сферы услуг, которые работают с большим объемом клиентской информации.

Пример умышленного вредительства: сотрудник скопировал и загрузил ​​в облачное хранилище конфиденциальные сведения, скинул ссылку на хранилище руководителю и начал шантажировать. В результате данного инцидента компания немедленно приобрела ПО, направленное на обеспечение информационной безопасности.

2. Халатное отношение сотрудников к защите секретных сведений. Работники хранят данные на сменных носителях, переходят по фишинговым ссылкам, пересылают информацию через ненадежный источник (например, с помощью обычного почтового ящика). 

3. Бывает, кто-то непроизвольно сливает информацию в общий доступ. 

Пример: ввиду халатного отношения к своим обязанностям невнимательный сотрудник направил список стройматериалов, приобретаемых компанией в рамках конкурса, партнерам с уже прописанной бюджетной стоимостью, в результате чего нарушил условия конкурса — компания вылетела из числа участников. Виновного удалось найти благодаря программе, которая контролировала корпоративную переписку и использовалась системой информационной безопасности фирмы.

Каким компаниям нужна информационная безопасность

Только с грамотно организованной защитой система ИБ выдержит атаки киберпреступников и сотрудников, которые могут красть и использовать данные в личных целях.

Закон регулирует правила работы с информацией: ужесточаются наказания за утечку данных, увеличивается размер штрафов.

Сегодня особенно важна информационная безопасность для следующих организаций:

• Финансовые учреждения. Банки, фонды, биржи, микрофинансовые организации, страховые компании — в случае кибератаки могут пострадать средства клиентов. Финансовым учреждениям нужен высокий уровень ИБ с защитой от взломщиков, DDoS-атак и вредоносного ПО. Защиту необходима не только в пользовательских сервисах (сайтах, приложениях, банковских терминалах), но и в офисах, коммерческих помещениях.

• Первостепенный сектор экономики. Промышленная, энергетическая, сырьевая, нефтегазовая отрасль, учреждения здравоохранения. Данные таких организаций являются коммерческой тайной, а также обеспечивают население стратегически важными товарами и услугами.

• Интернет-магазины. Онлайн-площадка работает с платежами и персональными данными, потому надо обеспечить надежную защиту от утечек, ведь в случае угрозы клиенты могут потерять деньги. Основная защита интернет-магазина — виртуальная.

• Дата-центры (помещения с серверным и сетевым оборудованием для подключения абонентов к сети интернет). Защита информационной безопасности дата-центров, осуществляющих услуги хранения конфиденциальной информации, должна быть на высшем уровне, так как угроза затрагивает данные ни одной тысячи клиентов. При настройке безопасности информационных систем дата-центров создают меры по защите оборудования от физического воздействия (уничтожения) и сетевых угроз, таких, как DDoS-атаки.

• Операторы персональных данных — организации по сбору, обработке и хранению личной информации. Такие компании ведут учет клиентов в CRM, запрашивают и хранят паспортные данные работников, просят оставить контактную информацию для заказа в интернет-магазине.

Почему сотрудники не думают об ИБ

Чаще всего сотрудники мало внимания уделяют ИБ, потому что этот вопрос для них кажется не столь важным. Все заняты своими рабочими задачами и процессами, а на другие дела у них просто может не хватать времени. Поэтому руководителю нужно понимать:

• ИБ для большинства сотрудников — не приоритетная задача, а значит, если специалист отдела безопасности отправит рассылку о том, что пароли нужно регулярно менять, вряд ли все сразу станут это делать.

• В ИБ есть понятия, которые сложно воспринимать сотрудникам, не знакомым с этой темой. Например, таргетированная атака или фишинг. Поэтому если бухгалтер, специалист по продажам или логист обращают мало внимания на киберугрозы, возможно, они просто не понимают профессиональные термины и не знают, что с ними делать.

Специалисты по ИБ могут и сами потерять мотивацию многократно объяснять сотрудникам, почему нужно использовать надежные пароли и нельзя открывать вложения из неизвестных источников.

В результате они ограничиваются только мерами, которые касаются «железа» и софта. Такой подход нередко приводит к проблемам.

Как руководителю объяснить сотрудникам, что кибербезопасность важна

Хорошая новость: чтобы организовать работу с сотрудниками, не придется начинать с нуля. Скорее всего, в вашей организации уже есть специалисты по ИБ, которые помогут разобраться в терминах. И есть отдел внутренних коммуникаций или хотя бы эйчар, который наладит общение между отделом ИБ и остальными подразделениями компании. 

После того как определились со специалистом, который будет проводить работу с сотрудниками по вопросам ИБ, нужно научить его смотреть на процессы через призму информационной безопасности.

Интерактивная платформа Kaspersky Automated Security Awareness Platform — это простой онлайн-инструмент, который поможет сотрудникам овладеть навыками кибербезопасного поведения и применять их в работе. Платформу разработали ведущие специалисты по кибербезопасности. Рекомендуем начать с бесплатного тренинга.

Как разработать оперативный план действий

Специалист по внутренним коммуникациям или эйчар обычно хорошо знают структуру компании и чем живут ее сотрудники. Поэтому если отдел ИБ расскажет, какие угрозы чаще всего встречаются и как от них защититься, то специалист сможет самостоятельно разработать стратегию коммуникации. В ней он опишет, какие риски грозят представителям того или иного отдела и о чем говорить с конкретными людьми. 

Важный совет руководителю — доверяйте специалисту по коммуникациям. Он поможет найти подход к разным сотрудникам.

Кроме устной коммуникации понадобится и письменная. Речь идет об инструкции по информационной безопасности. В ней нужно отразить:

• информацию по доступам к корпоративным ресурсам;

• порядок работы с персональными данными;

• сведения о наиболее важных киберугрозах;

• контакты сотрудника, к которому можно обратиться при инцидентах.

Скорее всего, придется приготовиться к тому, что обучение сотрудников будет длительным, а непонимания все равно возникнут. 

И приведем несколько рекомендаций для руководителя и специалиста по коммуникациям, которые помогут облегчить процесс:

• Упрощайте. В тренингах лучше сделать упор на простоту и конкретику, а в каждую презентацию включать не больше 20 слайдов. Нужно четко формулировать задачи и объяснять слушателям важность материала.

• Донесите до сотрудников, что им делать. Люди должны понимать, к кому обращаться в той или иной ситуации. Возможно, им стоит напомнить об этом не один раз. В итоге шансы, что сотрудник перешлет в отдел безопасности подозрительное письмо, будут гораздо выше.

• Делитесь успехами. Чтобы донести до коллег, что совместные действия играют важную роль, иногда нужно публично и на примерах показывать, как компании удалось предотвратить киберугрозу и как этому помогли сотрудники из какого-либо подразделения.

Чтобы сотрудники осознали, что кибербезопасность важна, и начали следовать советам отдела ИБ, организуйте для них корпоративные тренинги. В этом поможет образовательная платформа Kaspersky Automated Security Awareness Platform. С помощью обучающих занятий можно в понятной форме донести информацию об угрозах и методах защиты до всех сотрудников компании. До конца 2023 года лицензии на продукт можно приобрести со ссылкой 35%.

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8Juc2i

Информации об авторе