Служба безопасности предприятия ее цели задачи и функции: Служба безопасности предприятия

обязанности, услуги, структура, организация службы безопасности, взаимодействие с ЧОП

СЛУЖБА БЕЗОПАСНОСТИ КОМПАНИИ: НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ И ВЗАИМОДЕЙСТВИЕ С ЧОП

• Общие положения о службе безопасности компании
• 
  Направления деятельности собственной СБ
• 
  Различия функций сотрудников ЧОП и СБ
• 
  Интеграция ЧОП в деятельность внутренней службы безопасности

В нашей повседневной речи мы часто используем такое определение как служба безопасности. Однако далеко не всегда его употребление является верным с точки зрения правильности. Довольно часто его применяют ошибочно, несмотря на то, что в современном законодательстве имеется четкое определение этого понятия, а также выделены его основные отличия от таких структур как частные охранные предприятия и организации.

Такое смешение понятий имеет вполне объяснимую почву. В деятельности этих структур действительно есть много общего, однако при этом присутствуют существенные различия. В данной статье мы постараемся определить грань между собственной службой безопасности и ЧОП. Также здесь мы поставим целью установить, как могут взаимодействовать между собой эти охранные структуры и какую пользу может извлечь из этого заказчик охранных услуг.

СОВРЕМЕННАЯ СЛУЖБА БЕЗОПАСНОСТИ: ОБЩИЕ ПОЛОЖЕНИЯ И ПРАВОВЫЕ ОСНОВЫ

Для начала обратимся к нашей истории, возвратившись к концу восьмидесятых — началу «лихих девяностых». Именно тогда стала активно и спонтанно развиваться частная охранная деятельность, и повсеместно создавались собственные службы безопасности. Их формировали для охраны предприятий и компаний, а также для персональной защиты начинающих бизнесменов, звезд шоу-бизнеса и политиков.

В течение нескольких лет службы безопасности в Москве, Санкт-Петербурге, Краснодаре и других городах России осуществляли свою деятельность практически вне закона. Существовало только лицензирование, но оно совершенно не охватывало тот объем функций, которые фактически выполняли такие службы. Здесь же добавим, что на тот момент отсутствовало разграничение между ЧОП и службами безопасности. Это в какой-то мере послужило причиной того, что по сегодняшний день многие из нас не имеют представления о различиях между ними.

Ситуация изменилась в 1992 году, когда был принят Федеральный Закон «О частной детективной и охранной деятельности в Российской Федерации», определивший общие положения и правовые основы служб безопасности, а также других охранных структур. На этом этапе было определено, что вся их деятельность должна быть определена в таком документе, как Положение о службе безопасности предприятия. При этом права, полномочия и обязанности сотрудников должны соответствовать требованиям следующих нормативных актов и документов:

• государственные законы, касающиеся защиты коммерческой тайны;
• 
  законы о предприятиях и предпринимательской деятельности;
• 
  трудовой кодекс Российской Федерации;
• 
  Устав и другие внутренние регулирующие документы и договоры.

Принятие данного закона было только первым шагом в развитии услуг служб безопасности. Следующий важный шаг был сделан уже в начале 21 века, когда в этот документ был внесен целый ряд поправок. Одной из них стало разделение обязанностей службы безопасности и ЧОП, в результате чего на сегодняшний день эти структуры выполняют различные функции и решают разные задачи. Далее мы рассмотрим в чем именно заключаются полномочия службы безопасности компании, предприятия или организации, а также узнаем как эти структуры могут взаимодействовать с сотрудниками независимых ЧОП. При необходимости Вы можете получить эту информацию у нашего консультанта, заказав обратный звонок.

ЗАДАЧИ И ФУНКЦИИ СОБСТВЕННОЙ СБ КОМПАНИИ ИЛИ ПРЕДПРИЯТИЯ

Поправки и дополнения к действующему закону четко разграничили функции и задачи службы безопасности по сравнению с ЧОП. Теперь полномочия СБ охватывают исключительно деятельность той компании или организации, при котором создана эта служба. Что касается ЧОП, то эта охранная служба может оказывать охранные услуги на договорной основе.

На первый взгляд, может показаться, что при таком распределении предпринимателям гораздо выгоднее пользоваться исключительно поддержкой частных охранных организаций, так как оплата услуг по договору является более выгодной в финансовом плане. Однако ситуация обстоит несколько иначе, так как частная служба безопасности наделена более широкими полномочиями. Сюда относятся следующие задачи и функции собственной СБ:

• защита информации, являющейся коммерческой (негосударственной) тайной;
• 
  обеспечение безопасности производственной и/или торговой деятельности;
• 
  организация работы по защите коммерческой тайны с использованием доступных методов и средств;
• 
  предотвращение несанкционированного доступа к информации, представляющей коммерческую тайну;
• 
  отслеживание, выявление и устранение вероятных источников утечки конфиденциальной информации;
• 
  организация безопасности при проведении переговоров, совещаний и других мероприятий внутреннего и внешнего характера;
• 
  защита зданий, помещений, оборудования, технических средств и продукции предприятия или компании;
• 
  обеспечение персональной безопасности руководящего состава и сотрудников;
• 
  маркетинговые исследования на предмет деятельности конкурентов, связанной с хищением информации.

Как видим, этот спектр действительно шире, чем тот круг обязанностей, которые могут выполнять сотрудники ЧОП. Здесь может невольно возникнуть сомнение в целесообразности существования ЧОП, так как служба безопасности выполняет практически все необходимые работы по обеспечению защиты. Однако такое мнение также является ошибочным. Несмотря на большое количество общих пунктов, деятельность ЧОП и собственной СБ имеет целый ряд важных отличий, о которых пойдет речь далее.

ФУНКЦИОНАЛЬНЫЕ РАЗЛИЧИЯ В РАБОТЕ ЧОП И СБ

Если возвратиться к приведенному выше списку задач, которые выполняет стандартная служба безопасности в СПб, Москве, Краснодаре и любом другом городе, можно заметить, что здесь присутствуют практически все функции, которыми наделены ЧОП. Более того, этот список включает несколько пунктов, не находящихся в компетенции частных охранных агентств. Тем не менее, большинство СБ не имеют возможности выполнять на должном уровне такие задачи, как:

• организация охраны периметра с распределением постов и КПП;
• 
  взаимодействие с сотрудниками группы быстрого реагирования;
• 
  монтаж и обслуживание технических средств, включая системы видеонаблюдения;
• 
  организация охраны мероприятий и услуги личных телохранителей;
• 
  расследования с привлечением частных детективов.

Поэтому зачастую для решения таких задач руководство компании или сами сотрудники СБ (согласно Положению, ее руководителем является заместитель директора компании по безопасности) привлекают к сотрудничеству специалистов ЧОП. Причинами являются недостаточная профессиональная подготовка собственных кадров и отсутствие необходимого количества охранников в штате СБ.

ВЗАИМОДЕЙСТВИЕ ЧОП И СЛУЖБЫ БЕЗОПАСНОСТИ: ОПТИМАЛЬНЫЙ ФОРМАТ ЗАЩИТЫ

Привлекая к сотрудничеству сторонние ЧОП, специалисты службы безопасности должны с высокой ответственностью подойти к решению следующих задач:

• четкое определение целей, для которых заключается договор на предоставление охранных услуг;
• 
  тщательный подход к выбору службы безопасности в Краснодаре, СПб, Москве или другом городе;
• 
  грамотная интеграция сотрудников ЧОП во внутреннюю систему безопасности компании или предприятия.

Выполнение этих условий станет залогом максимально надежной, грамотно организованной и выгодной в финансовом плане безопасности компании, предприятия, персонала, посетителей и информационных данных. Если Вас интересует надежная московская служба безопасности или необходима ее организация в любом другом городе, обратитесь за консультацией к специалистам ЧОП ЛЕГИС. Мы всегда рады помочь своим клиентам, и готовы приложить все усилия, чтобы обеспечить Вашу защиту!

Служба безопасности, зачем нужна служба безопасности

Служба безопасности (СБ) занимается обеспечением нормальной работы бизнеса. Структура крупных фирм сложная. В некоторых компаниях действуют десятки и даже сотни отделов. Создание или привлечение сторонних СБ необходимо для защиты деятельности. Задач много. Служба безопасности – это структура внутри компании, обеспечивающая протекцию от внутренних и внешних угроз.

Виды служб безопасности для предприятий

Мелкие клиенты (небольшие магазины, СТО) могут заказать услуги охраны по тревожной кнопке, установить сигнализацию. Объекты получат определенный уровень защиты. Однако крупные заводы, аэропорты, гостиницы, букмекерские фирмы, банки и иные компании, обеспечивающие работой сотни человек, имеющие дорогую технику, такой «роскоши» позволить не могут. Эти субъекты экономической деятельности должны обеспечить комплексную защиту бизнеса.

Различают 4 основных вида служб безопасности предприятия:

• ФГУП “Охрана”;
• ведомственная охрана;
• вневедомственная охрана;
• ЧОП.

Каждая служба безопасности имеет особенности. Детальный анализ позволит понять отличия.

ФГУП “Охрана”

Аббревиатура ФГУП означает федеральное государственное унитарное предприятие. Структура относится к Росгвардии. Фирма решает 4 задачи:

• Физическая защита обратившихся граждан.
• Сопровождение грузов как внутри города, так и при других перевозках.
• Пультовая охрана.
• Монтаж охранного оборудования и систем.

Заказывать услуги ФГУП “Охраны” могут частные лица и компании. Предприятие к ведомственному не относится, но может взаимодействовать с другими службами. Имеет право организовывать защиту объектов любых форм собственности.

Для обеспечения деятельности сотрудники ФГУП “Охраны” используют стрелковое оружие и другие средства, применяемые в Росгвардии.

Предприятие создавали на базе МВД. В 2016 году ФГУП перевели в Росгвардию. После череды объединений с другими структурами унитарное предприятие стало крупнейшей охранной компанией России.

Ведомственная охрана

Под категорию ведомственной охраны попали специализированные вооруженные ведомственные и отраслевые подразделения. Сотрудники обеспечивают оперативное реагирование и защищают здания, прилегающую к ним территорию, материальные ценности от посягательств третьих лиц. Целью отдела безопасности этого типа является и защита от пожаров.

Деятельность структуры регулируется законом о ведомственной охране. Для обеспечения работы сотрудники могут использовать служебное и боевое огнестрельное оружие.

Административный кодекс РФ наделяет кадры ведомственной охраны расширенными полномочиями:

• проводить досмотр вещей;
• осматривать транспортные средства;
• составлять протоколы об административных правонарушениях.

Ведомственную охрану могут создавать и крупные компании. Эти «инспекции» на законных основаниях сформировали «Газпром», «Ростех», «Роснефть», «Алроса» и другие корпорации.

Государственная ведомственная охрана за время работы сталкивалась с критикой от некоторых законодателей. Причина – конкуренция. Ряд депутатов планировал изменить устройство этой службы безопасности, оставив за ней право охранять только государственное имущество. По мнению юристов, принятие подобных законов уничтожило бы ведомственную охрану как явление.

Вневедомственная охрана

В Российской Федерации вневедомственная охрана возникла 14 августа 1992 года. В этот день о создании подразделения было принято отдельное положение правительства. Прямой защитой собственности структура не занимается. Охрана происходит путем отслеживания установленных систем безопасности и оперативного реагирования на нештатные ситуации. С 2016 года вневедомственная охрана работает с Росгвардией.

ЧОП

ЧОП – частная компания. Создавать эти структуры могут любые предприниматели. Для официальной деятельности необходимо получить лицензию.

Работу компаний регламентирует закон «О частной детективной и охранной деятельности в РФ». Определение полномочий ЧОП включает 5 пунктов:

• Защита здоровья и жизни граждан.
• Охрана имущества.
• Проектирование и установка спецсредств.
• Консультирование и инструктаж клиентов.
• Безопасность во время массовых мероприятий.

Частные охранники должны иметь лицензию. «Диплом» определяет разряд сотрудника, возможность выполнять определенные виды работ.

Рабочие задачи службы безопасности

Функции подразделения СБ включают:

• Проверку сотрудников во время трудоустройства.
• Защиту интеллектуальной и иной собственности компании.
• Выявление утечек информации.
• Предотвращение краж.
• Борьбу с рейдерами.
• Защиту ценностей от порчи и краж (транспортные средства, деньги, оргтехника).
• Физическую защиту руководства.

Число задач на этом не заканчивается. У каждой компании свое положение о СБ. Документ определяет все функциональные задачи, возложенные на отдел.

Физическая охрана

Обязанности службы безопасности различные. Физическая защита имущества и жизни других сотрудников компании – основа работы. Сотрудники СБ устанавливают рамки металлоискателей, проводят расстановку тревожных кнопок, осуществляют управление всеми процессами, связанными с охраной.

Деятельность работников предотвращает кражу имущества фирмы, пронос на предприятия запрещенных предметов, предупреждает действия злоумышленников.

За халатную работу сотрудники СБ несут полную ответственность. Этот принцип работы заставляет охранников более внимательно выполнять должностные обязанности. Правило распространяется на рядовых сотрудников и начальников СБ.

Безопасность внешней деятельности

Служба безопасности – это подразделение компании, отвечающее за стабильность внешней деятельности. Функции включают:

• прием и сбор информации о контрагентах;
• охрана груза во время курсового движения;
• проверка и предотвращение внешних угроз (возможные противоправные действия конкурентов).

Иногда СБ необходимо проверять и сотрудников компании на наличие сговора с конкурентами.

Информационная защита

Отдел службы безопасности, занимающийся информационной защитой, можно встретить в крупных организациях. Сотрудники подразделения работают по ряду направлений:

• предотвращение и минимизация потерь при хакерских атаках;
• защита от прослушки номеров телефона;
• подбор средств защиты для предотвращения утечки информации.

Информатизация бизнеса растет. Количество вакансий в представленный отдел службы безопасности на предприятии увеличивается.

Отбор кандидатов строгий, состоящий из ряда этапов. Составление анкеты – только начало.

Обеспечение деятельности предприятия

Служба безопасности занимается обеспечением нормального функционирования компании. Работники фирмы устраняют и предупреждают конфликты между сотрудниками, решают другие задачи, входящие в их компетенцию.

Можно ли создать свою службу безопасности

Предприниматели, задумавшиеся об усилении безопасности бизнеса, могут пойти по 2 дорогам. Одна подразумевает обращение за сторонней помощью. По факту коммерсант передает функции СБ на аутсорсинг.

Бизнесмены могут организовать и отдельное подразделение внутри компании. Однако для этого придется потрудиться.

Как создать свою службу безопасности

Полный механизм организации службы безопасности описывать бессмысленно. Все учесть невозможно. Для упрощения создание подразделения можно разбить на 4 этапа:

1. Определение задач с учетом специфики бизнеса и региона работы (защита от криминала, от конкурентов, пожара, потери информации и ноу-хау).
2. Установить приоритетность целей. Приоритет зависит от вида задач.
3. Заняться подбором персонала (наем бывших военных, программистов, сотрудников МВД и других силовых ведомств).
4. Спланировать бюджет.

Выглядит просто. На деле же придется изрядно потрудиться.

Заключение

СБ денег компании не приносит. Эти подразделения минимизируют риски и убытки. Лучше не заработать тысячу, чем потерять миллион.

Структура службы безопасности предприятия

Служба безопасности является одной из важнейших структурных единиц в любой организации. К ее основным функциям относится:

• Организация личной безопасности всех сотрудников компании;
• Контроль сохранности коммерческой тайны;
• Проверка персонала при приеме на работу;
• Проверка деловых партнеров и контрагентов;
• Предотвращение несанкционированного доступа на промышленные объекты.

В зависимости от особенностей производственного процесса и численности персонала организации служба безопасности может выполнять также некоторые другие задачи.

Структура службы безопасности

Отдел защиты организации, как правило, состоит из некоторого количества отдельных подразделений. Их количество зависит от масштабов организации и ее сферы деятельности. Чаще всего в составе отдела безопасности присутствуют следующие подразделения:

• Отдел режима и охраны. Данная структура является самостоятельной единицей и подчиняется начальнику охранного отдела. Подразделение выполняет задачи по обеспечению личной безопасности сотрудников компании, контроль за соблюдением пропускного режима, урегулирование внештатных ситуаций, организацию наружной и внутренней охраны помещений;
• Отдел защиты информации. В функции данного подраздела входит разработка системы электронного документооборота, контроль доступа к конфиденциальной информации и предотвращение ее утечки, обучение персонала правилам использования коммерческой информации;
• Инженерно-технический отдел. В задачи инженерно-технической группы входит обеспечение безопасности рабочего процесса при помощи технических средств, выявление каналов возможной утечки информации и оценка их опасности, разработка и проведение мероприятий с целью предотвращения утечки информации путем использования технических средств;
• Подразделение внешней защиты. Данная группа осуществляет контроль за деятельностью конкурентов, регулирует взаимодействие с деловыми партнерами и клиентами организации.

В своей работе различные подразделения службы безопасности должны тесно контактировать между собой с целью получения и передачи информации. Также служба безопасности взаимодействует с руководством компании, отделом кадров, маркетинговым отделением и другими структурными единицами. Это позволяет своевременно получать важную информацию и принимать меры в связи со сложившейся ситуацией.

Запись опубликована 25.06.2017 автором admin в рубрике Статьи.

Основные функции субъектов предприятия по обеспечению кадровой безопасности

Основными субъектами кадровой безопасности являются служба управления персоналом и служба безопасности организации. Служба управлением персоналом занимается подбором, оценкой, развитием и т.п. сотрудников службы безопасности занимается именно служба управления персоналом, с помощью чего она оказывает влияние на обеспечение безопасности, в том числе  кадровой. Во-вторых, прямая обязанность специалистов службы управления персоналом – способствовать достижению целей фирмы с помощью персонала. В-третьих, колоссальное количество методов и возможностей обеспечения кадровой безопасности находится в руках именно сотрудников службы персонала.

Полномочия службы должны быть внесены в нормативные акты компании, и не быть секретом не только для сотрудников службы, но и для прочих сотрудников компании. Для эффективной работы по обеспечению кадровой безопасности сотрудники службы управления персоналом должны иметь доступ к необходимой информации, касающейся как деятельности компании, так и сотрудников компании.

Служба управления персоналом должна:

1. Принимать участие в формировании корпоративной культуры.
2. Участвовать в стратегическом планировании безопасности предприятия;
3. Разрабатывать кадровую политику с учетом проблем кадровой безопасности
4. Участвовать в разработке нормативных документов касающихся внутренней деятельности компании.
5. В ведении службы управления персоналом должно находится всестороннее документирование дисциплинарной практики.

Полномочия службы должны обеспечивать её функции, которые также должны быть чётко определены. Помимо прямых обязанностей по приёму на работу, увольнению сотрудников и обеспечению прочему обеспечению деятельности предприятия, следует выделить и другие функции, касающиеся безопасности:

• Взаимодействие с другими подразделениями компании:
• Коммуникативные функции: прямой и оперативный выход на руководство компании и службы безопасности; контакты с территориальными инспекциями по труду; контакты с военными комиссариатами; контакты с органами внутренних дел;
• Мониторинг: корпоративной культуры, включая лояльность; каналов неофициальной информации; изменений в законодательстве; рынка труда.
• Функции по ликвидации негативных конфликтов.
• Контроль за осуществлением процедур кадровой безопасности и помощь в их осуществлении.

В области обеспечения безопасности предприятия служба управления персоналом осуществляет теснейшее взаимодействие со службой безопасности. Их функции в контексте кадровой безопасности по сути своей сходны, но имеются и различия.

Главное отличие заключается в направленности деятельности. Если служба безопасности осуществляет всестороннее обеспечение безопасности компании (силовую, информационную, техническую), то служба управления персоналом занимается только кадровыми вопросами, хотя и в широком смысле.

Сделайте эти 5 вещей прямо сейчас, чтобы повысить безопасность

Что такое корпоративная безопасность?

Безопасность предприятия — это процесс, с помощью которого организация защищает свои информационные активы (данные, серверы, рабочие станции, хранилище, сети, приложения и т. Д.) От нарушения конфиденциальности, целостности или доступности. Он включает в себя политики и процедуры, которые содержат указания о том, кто, что, почему и как реализовать механизм защиты информационных активов организации.

Программа управления рисками — это ключевой инструмент при выполнении действий по реализации защиты посредством идентификации активов, угроз активам, в которых существуют уязвимости, а также средств контроля или защиты, которые могут быть реализованы для снижения выявленных рисков. Предприятие постоянно меняется, поэтому эффективность усилий по снижению рисков и общую программу безопасности предприятия необходимо постоянно оценивать с точки зрения результативности и улучшения.

Почему важна корпоративная безопасность (и кибербезопасность)?

Что ж, этот вопрос кажется очевидным, но удивительно, сколько предприятий имеют слабые или неэффективные программы безопасности или вообще не имеют.В сегодняшней киберсреде эффективная программа безопасности предприятия необходима для защиты вычислительной инфраструктуры, на которой построено предприятие.

Эффективные программы безопасности предприятия позволяют выполнять миссию предприятия, а не препятствовать ей. Без эффективной программы безопасности предприятия остаются уязвимыми для злонамеренных действий бесчисленного количества злоумышленников и организованной преступности.

Какие 5 дел нужно выполнить сейчас?

Реализация эффективной программы безопасности предприятия требует времени, внимания и ресурсов.Если в вашей организации нет эффективной программы корпоративной безопасности, начало работы может показаться сложным.

Используйте свое понимание того, какие данные, системы и инфраструктура важны для вашего бизнеса и где вы наиболее уязвимы. Затем разработайте план по внедрению, оценке и управлению введенными средствами контроля.

Не все средства внутреннего контроля одинаковы, поэтому важно в первую очередь сосредоточиться на тех средствах контроля, которые относительно легко реализовать и которые обеспечивают значительный выигрыш в защите и безопасности вашего предприятия.

Основываясь на 20 критических элементах управления безопасностью Center for Internet Security, приведенный ниже список фокусируется на основных принципах корпоративной безопасности и направит ваше предприятие на правильный путь к более безопасной среде.

1) Определите свои границы

Чтобы защитить свое предприятие, вы должны хорошо понимать свои границы. Граница безопасности предприятия состоит из всех информационных активов (например, серверов, рабочих станций, облачных сервисов), которые поддерживают миссию предприятия посредством операций по обработке и хранению информации.Он включает информационные активы, которыми управляет предприятие, а также внешние сервисы, которые используются для поддержки предприятия.

До того, как облачные вычисления стали мейнстримом, определение границ было довольно простым — они включали вычислительные ресурсы, размещаемые внутри организации и / или в одном из центров обработки данных. С кажущимся повсеместным внедрением облачных сервисов граница корпоративной кибербезопасности больше не определяется географическим местоположением, а должна быть расширена, чтобы включить в нее усиленные облачные сервисы.

Например, организация может иметь информационные активы локально в своем корпоративном местоположении, но также использовать AWS или Azure для дополнительных вычислительных ресурсов и хранилища. Мы читали о том, как сегменты AWS S3 были публично представлены в Интернете, и в результате организации пострадали от утечки данных.

Существует модель совместной ответственности с использованием облачных сервисов, и это ответственность предприятия, использующего облачные сервисы, для реализации защиты и контроля, чтобы убедиться, что используемые облачные сервисы не оставляют их уязвимыми для атак или взлома. .В результате эти внешние сервисы должны быть включены в границы организации, чтобы гарантировать, что средства управления внедрены должным образом.

После определения границы необходимо определить инвентарь вычислительных ресурсов, поскольку то, что не определено, нельзя защитить (см. Пункт № 3 ниже). Предприятия должны понимать, какие активы являются постоянными в их сети, а какие временными (например, ноутбуки торгового персонала) и могут быть не такими актуальными для обновлений безопасности, как те устройства, которые постоянно находятся в сети.

Использование активных или пассивных инструментов обнаружения поможет организациям разработать свой инвентарь и получить представление о масштабах усилий по защите каждого актива в сети. Незнакомые устройства должны быть быстро исследованы и либо удалены из сети, либо помещены в карантин, либо утверждены для использования (а инвентарь должен быть обновлен). Разработка инвентаризации аппаратных активов (включая виртуальное оборудование) поддержит усилия шага №2.

2) Определите вашу программную среду

Определение вашей программной среды идет рука об руку с определением границ и идентификацией аппаратных устройств (включая виртуальные устройства).Для этого определите все программное обеспечение, которое работает на каждой платформе в пределах вашей границы.

Использование инструмента инвентаризации программного обеспечения будет чрезвычайно полезным для выполнения этой задачи и понимания того, какое программное обеспечение использует предприятие для поддержки своих бизнес-функций. Скорее всего, вы обнаружите, что в вашей среде работает значительное количество программного обеспечения, которое ранее было неизвестно и не поддерживает бизнес-функции вашей организации.

Бизнес-потребность в программном обеспечении должна быть обоснована, или программное обеспечение должно быть удалено из вашей среды.Поддерживайте все версии программного обеспечения в актуальном состоянии, поскольку это снижает вашу уязвимость к атакам на основе непропатченного программного обеспечения.

Утвержденная инвентаризация программного обеспечения также должна быть соотнесена с одобренной инвентаризацией оборудования. Это поможет в разработке утвержденных базовых показателей и обеспечит контроль лицензирования программного обеспечения.

После определения списка одобренного программного обеспечения внедрите возможность внесения в белый список, чтобы разрешить запуск только одобренного программного обеспечения. Многие организации пишут сценарии для автоматизации задач и выполнения важных бизнес-функций.Эти скрипты следует включить в белый список.

3) Укрепление ресурсов в пределах границ

После завершения шага 2 вы можете приступить к усилению защиты каждой операционной системы и приложения в вашей среде. Эти усилия должны быть нацелены на программное обеспечение, работающее на каждой рабочей станции, портативном компьютере, сервере (физическом или виртуальном) и сетевом устройстве в пределах предприятия.

Руководства по безопасной настройке для большинства известных операционных систем, приложений, баз данных, сетевых устройств были разработаны такими организациями, как Центр Интернет-безопасности.Правительство также разработало руководства по усилению защиты, такие как Руководства по технической реализации безопасности (STIG), для помощи в повышении защиты операционных систем, приложений, баз данных и т. Д.

Из-за потенциального негативного воздействия на производительность или операции не каждый параметр каждого руководства по усилению могут быть реализованы. Реализуйте все, что возможно, и задокументируйте доводы в пользу отказа от реализации тех, которые негативно влияют на ваши системы.

После того, как эти параметры защиты были определены и реализованы, они становятся базовыми показателями вашей конфигурации.Все экземпляры утвержденного программного обеспечения должны быть настроены в соответствии с утвержденными базовыми показателями конфигурации.

Последующие экземпляры (или ранее защищенные конфигурации) обычно отклоняются от утвержденной базовой линии. Следовательно, следует использовать инструменты мониторинга конфигурации для обнаружения отклонения от утвержденной базовой конфигурации. При обнаружении отклонения от утвержденной базовой линии необходимо немедленно предпринять шаги для приведения программного обеспечения в соответствие с утвержденной конфигурацией.

4) Внедрить программу управления и устранения уязвимостей

Ни одно программное обеспечение не является идеальным. Выявление уязвимостей в программных платформах — обычное дело. Вопрос в том, знаете ли вы, используете ли вы уязвимое программное обеспечение в своей среде и что вы собираетесь с этим делать.

Время имеет значение — цель состоит в том, чтобы сократить время между выявлением уязвимости и применением исправлений, исправляющих уязвимость.

Разверните в своей среде сканеры уязвимостей, которые сканируют с внешней и внутренней точки зрения. После выявления уязвимостей разработайте план действий по первому устранению критических результатов и как можно скорее разверните исправления.

Нет ничего необычного в том, что исправление вызывает проблемы после его установки, поэтому убедитесь, что каждое исправление проверено перед его развертыванием в производственной среде. Это, естественно, увеличит время между выявлением уязвимости и применением исправления в производственной среде, но это время того стоит, чтобы не повлиять отрицательно на производственную среду с помощью исправления, нарушающего критически важные функции, поддерживающие бизнес-процессы.

По возможности, например, на ноутбуках и рабочих станциях, развертывайте исправления автоматически.

5) Проверьте использование административного доступа на предприятии

Последний шаг на первом этапе внедрения передовых методов корпоративной кибербезопасности — это проверка использования административного доступа на вашем предприятии. Административный доступ в сеть является целью злоумышленника, поэтому важно, чтобы административный доступ был ограничен для всех приложений и устройств только теми, которым он необходим для выполнения своих служебных функций.

Проведите инвентаризацию учетных записей с административным доступом на вашем предприятии, а затем определите, нужен ли доступ. Если нет, немедленно удалите доступ. Те, у кого есть административные привилегии, должны использовать свою административную учетную запись только при выполнении административных задач, в противном случае следует использовать учетную запись без административных привилегий.

По возможности внедряйте многофакторную аутентификацию (MFA) для всех административных учетных записей.

Что дальше?

После того, как будет создана базовая возможность для поддержки этих пяти средств контроля, затем увеличьте эффективность контроля, внедрив программу мониторинга, чтобы гарантировать, что средства контроля продолжают работать эффективно.

Кроме того, внедрите программу измерений, чтобы обеспечить реализацию контроля на всем предприятии, а не только на нескольких отделах, сетевых сегментах (если применимо), приложениях и т. Д. В отношении внедрения средств контроля необходимо сделать гораздо больше. на вашем предприятии.

Помните следующие принципы при внедрении средств контроля:

1. Средства контроля должны соответствовать политике
2. Сообщать о внедрении средств контроля на предприятии
3. Внедрить контроль и отслеживать эффективность работы
4. Измерять развертывание контроля, чтобы гарантировать он внедрен во всей организации (например,грамм. какой процент предприятия был инвентаризирован для оборудования и программного обеспечения)
5. Итерация

Резюме

В современном мире необходимо иметь эффективную и хорошо поддерживаемую программу безопасности предприятия. Злоумышленники постоянно сканируют Интернет в поисках уязвимых целей, поэтому наличие эффективной программы безопасности предприятия имеет решающее значение для построения оборонительной позиции, которая делает планку достаточно высокой, чтобы злоумышленники могли перейти к более мягкой цели.

Сотрудничайте с компанией по обеспечению безопасности предприятия и внедряйте средства контроля, чтобы сначала устранить наибольшие риски на вашем предприятии, а затем работайте поэтапно, чтобы создать структуру контроля, охватывающую все предприятие.

Linford and Company имеет обширный опыт работы с организациями по определению их контрольной среды. Свяжитесь с нами, если вы хотите узнать больше о том, как мы можем вам помочь.

Связанные сообщения в блоге:

Рэй Данэм начал свою карьеру в качестве офицера ВВС в 1996 году в области связи и компьютерных систем.После службы в ВВС Рэй работал в оборонной промышленности в области системной архитектуры, системной инженерии и, прежде всего, информационной безопасности. Рэй возглавляет практику FedRAMP L&C, но также поддерживает экзамены SOC и оценки HITRUST. Рэю нравится работать с клиентами над обеспечением безопасности их сред и давать рекомендации по принципам и методам защиты информации.

Информационная безопасность (InfoSec): полное руководство

Информационная безопасность (InfoSec) позволяет организациям защищать цифровую и аналоговую информацию.InfoSec обеспечивает покрытие для криптографии, мобильных вычислений, социальных сетей, а также инфраструктуры и сетей, содержащих частную, финансовую и корпоративную информацию. Кибербезопасность, с другой стороны, защищает как необработанные, так и значимые данные, но только от интернет-угроз.

Организации внедряют информационную безопасность по разным причинам. Основные цели InfoSec обычно связаны с обеспечением конфиденциальности, целостности и доступности информации компании.Поскольку InfoSec охватывает множество областей, она часто включает реализацию различных типов безопасности, включая безопасность приложений, безопасность инфраструктуры, криптографию, реагирование на инциденты, управление уязвимостями и аварийное восстановление.

В этом руководстве подробно рассматривается область информационной безопасности, включая определения, а также роли и обязанности руководителей по информационной безопасности и SOC. Вы также узнаете об общих рисках информационной безопасности, технологиях и сертификатах.

В этой статье мы рассмотрим:

Что такое информационная безопасность?

InfoSec, или информационная безопасность, представляет собой набор инструментов и методов, которые вы можете использовать для защиты вашей цифровой и аналоговой информации. InfoSec охватывает широкий спектр ИТ-областей, включая безопасность инфраструктуры и сети, аудит и тестирование. Он использует такие инструменты, как аутентификация и разрешения, чтобы ограничить доступ неавторизованных пользователей к личной информации. Эти меры помогут вам предотвратить вред, связанный с кражей, изменением или потерей информации.

Информационная безопасность против кибербезопасности

Хотя обе стратегии безопасности, кибербезопасность и информационная безопасность охватывают разные цели и области с некоторым перекрытием. Информационная безопасность — это более широкая категория защиты, охватывающая криптографию, мобильные вычисления и социальные сети. Это связано с гарантией информации, используемой для защиты информации от угроз не личного характера, таких как сбои серверов или стихийные бедствия. Для сравнения, кибербезопасность охватывает только интернет-угрозы и цифровые данные.Кроме того, кибербезопасность обеспечивает покрытие необработанных неклассифицированных данных, а информационная безопасность — нет.

Цели информационной безопасности в организации

Существует три основных цели, защищаемых системой информационной безопасности, известные под общим названием CIA:

• Конфиденциальность — предотвращает несанкционированный доступ к информации для защиты конфиденциальности информационного содержания. Конфиденциальность поддерживается за счет ограничений доступа. Нарушение конфиденциальности может произойти из-за человеческой ошибки, преднамеренного обмена или злонамеренного входа.
• Целостность — обеспечивает подлинность и точность информации. Целостность поддерживается за счет ограничения разрешений на редактирование или возможности изменять информацию. Потеря целостности может произойти, когда аналоговая информация не защищена от условий окружающей среды, цифровая информация не передается должным образом или когда пользователи вносят несанкционированные изменения.
• Доступность — гарантирует, что авторизованные пользователи могут надежно получить доступ к информации. Доступность поддерживается за счет непрерывности процедур доступа, резервного копирования или дублирования информации, а также обслуживания оборудования и сетевых подключений.Потеря доступности может произойти, когда сети атакованы из-за стихийных бедствий или когда клиентские устройства выходят из строя.

Типы информационной безопасности

При рассмотрении информационной безопасности следует знать множество подтипов. Эти подтипы охватывают определенные типы информации, инструменты, используемые для защиты информации, и области, в которых информация нуждается в защите.

Безопасность приложений
Стратегии безопасности приложений защищают приложения и программные интерфейсы приложений (API).Вы можете использовать эти стратегии для предотвращения, обнаружения и исправления ошибок или других уязвимостей в ваших приложениях. Если уязвимости приложений и API не защищены, они могут стать шлюзом для ваших более широких систем, подвергая вашу информацию риску.
Безопасность приложений во многом основана на специализированных инструментах для защиты, сканирования и тестирования приложений. Эти инструменты могут помочь вам выявить уязвимости в приложениях и окружающих компонентах. После обнаружения вы можете исправить эти уязвимости до выпуска приложений или использования уязвимостей.Безопасность приложений применяется как к приложениям, которые вы используете, так и к приложениям, которые вы, возможно, разрабатываете, поскольку оба должны быть защищены.

Безопасность инфраструктуры
Стратегии безопасности инфраструктуры защищают компоненты инфраструктуры, включая сети, серверы, клиентские устройства, мобильные устройства и центры обработки данных. Растущая взаимосвязь между этими и другими компонентами инфраструктуры подвергает информацию риску без надлежащих мер предосторожности.
Этот риск возникает из-за того, что возможность подключения увеличивает уязвимости в ваших системах.Если одна часть вашей инфраструктуры выходит из строя или скомпрометирована, это также затронет все зависимые компоненты. В связи с этим важной целью безопасности инфраструктуры является минимизация зависимостей и изоляция компонентов при сохранении возможности взаимодействия.

Облачная безопасность
Облачная безопасность обеспечивает такую ​​же защиту, что и безопасность приложений и инфраструктуры, но ориентирована на облачные или подключенные к облаку компоненты и информацию. Облачная безопасность добавляет дополнительные средства защиты и инструменты, позволяющие сосредоточить внимание на уязвимостях, исходящих от служб с выходом в Интернет и общих сред, таких как общедоступные облака.Он также имеет тенденцию включать в себя централизацию управления безопасностью и инструментов. Такая централизация позволяет группам безопасности поддерживать видимость информации и информационных угроз в распределенных ресурсах.
Другой аспект облачной безопасности — это сотрудничество с вашим облачным провайдером или сторонними сервисами. При использовании ресурсов и приложений, размещенных в облаке, вы часто не можете полностью контролировать свои среды, поскольку инфраструктура обычно управляется за вас. Это означает, что в практике облачной безопасности необходимо учитывать ограниченный контроль и принимать меры по ограничению доступности и уязвимостей, исходящих от подрядчиков или поставщиков.

Криптография
Криптография использует метод, называемый шифрованием, для защиты информации путем скрытия ее содержимого. Когда информация зашифрована, она доступна только пользователям, имеющим правильный ключ шифрования. Если у пользователей нет этого ключа, информация непонятна. Команды безопасности могут использовать шифрование для защиты конфиденциальности и целостности информации на протяжении всей ее жизни, в том числе при хранении и во время передачи. Однако, как только пользователь расшифровывает данные, они становятся уязвимыми для кражи, раскрытия или изменения.
Для шифрования информации службы безопасности используют такие инструменты, как алгоритмы шифрования или такие технологии, как блокчейн. Алгоритмы шифрования, такие как расширенный стандарт шифрования (AES), более распространены, поскольку для этих инструментов больше поддержки и меньше накладных расходов при использовании

Реагирование на инциденты
Реагирование на инциденты — это набор процедур и инструментов, которые вы можете использовать для выявления, расследования и реагирования на угрозы или разрушительные события. Он устраняет или уменьшает ущерб, причиненный системам из-за атак, стихийных бедствий, сбоев системы или человеческой ошибки.Этот ущерб включает в себя любой ущерб, причиненный информации, например утерю или кражу.
Обычно используемым инструментом для реагирования на инциденты является план реагирования на инциденты (IRP). IRP определяют роли и обязанности по реагированию на инциденты. Эти планы также определяют политику безопасности, содержат руководящие принципы или процедуры для действий и помогают обеспечить использование информации, полученной в результате инцидентов, для улучшения защитных мер.

Управление уязвимостями
Управление уязвимостями — это практика, предназначенная для снижения рисков, присущих приложению или системе.Идея, лежащая в основе этой практики, заключается в обнаружении и исправлении уязвимостей до того, как проблемы будут обнаружены или использованы. Чем меньше уязвимостей имеет компонент или система, тем в большей степени защищена ваша информация и ресурсы.
Практика управления уязвимостями основана на тестировании, аудите и сканировании для обнаружения проблем. Эти процессы часто автоматизируются, чтобы гарантировать, что компоненты оцениваются в соответствии с определенным стандартом, и чтобы гарантировать, что уязвимости будут обнаружены как можно быстрее. Другой метод, который вы можете использовать, — это поиск угроз, который включает в себя исследование систем в режиме реального времени для выявления признаков угроз или обнаружения потенциальных уязвимостей.

Аварийное восстановление
Аварийное восстановление защищает вашу организацию от потерь или повреждений в результате непредвиденных событий. Например, программы-вымогатели, стихийные бедствия или уязвимые места. Стратегии аварийного восстановления обычно определяют, как вы можете восстановить информацию, как вы можете восстановить системы и как вы можете возобновить работу. Эти стратегии часто являются частью плана управления непрерывностью бизнеса (BCM), разработанного, чтобы позволить организациям поддерживать операции с минимальным временем простоя.

Кто такие директора по информационной безопасности?

Директора по информационной безопасности (CISO) — это люди, отвечающие за управление и обеспечение защиты информации организации. Эта роль может быть отдельной должностью или входить в обязанности вице-президента (вице-президента) по безопасности или начальника службы безопасности (CSO).
В обязанности директора по информационной безопасности входит управление:

• Операции безопасности — включает мониторинг, анализ и сортировку угроз в реальном времени.
• Киберриски и киберразведка — включает в себя поддержание текущих знаний об угрозах безопасности и информирование руководителей и членов совета директоров о потенциальных воздействиях рисков.
• Защита от потери данных и мошенничества — включает мониторинг и защиту от внутренних угроз.
• Архитектура безопасности — включает применение передовых методов безопасности при приобретении, интеграции и эксплуатации оборудования и программного обеспечения.
• Управление идентификацией и доступом — включает обеспечение надлежащего использования мер аутентификации, мер авторизации и предоставления привилегий.
• Управление программами — включает обеспечение упреждающего обслуживания оборудования и программного обеспечения посредством аудитов и обновлений.
• Расследования и криминалистика — включает сбор доказательств, взаимодействие с властями и обеспечение проведения вскрытия.
• Управление — включает проверку бесперебойной работы всех операций по обеспечению безопасности и выступает в качестве посредника между руководством и операциями по обеспечению безопасности.

Что такое центр безопасности?

Операционный центр безопасности (SOC) — это набор инструментов и членов команды, которые непрерывно контролируют и обеспечивают безопасность организации.SOC служат в качестве единой базы, на которой группы могут обнаруживать, исследовать, реагировать и восстанавливаться после угроз или уязвимостей безопасности. В частности, SOC предназначены для помощи организациям в предотвращении угроз кибербезопасности и управлении ими.
Основная идея SOC заключается в том, что централизованные операции позволяют командам более эффективно управлять безопасностью, обеспечивая полную видимость и контроль над системами и информацией. Эти центры сочетают в себе решения по безопасности и человеческий опыт для выполнения или руководства любыми задачами, связанными с цифровой безопасностью.
Для реализации SOC используются три основные модели:

• Внутренний SOC — состоит из преданных своему делу сотрудников, работающих внутри организации. Эти центры обеспечивают высочайший уровень контроля, но требуют больших первоначальных затрат и могут быть сложной задачей для персонала из-за трудностей с набором персонала с нужным опытом. Внутренние SOC обычно создаются корпоративными организациями со зрелыми стратегиями ИТ и безопасности.
• Virtual SOC — используйте управляемые сторонние сервисы для обеспечения покрытия и экспертных знаний для операций.Эти центры легко настраиваются, хорошо масштабируются и требуют меньших начальных затрат. Обратной стороной является то, что организации полагаются на поставщиков и имеют меньшую прозрачность и меньший контроль над своей безопасностью. Виртуальные SOC часто используют малые и средние организации, в том числе те, у которых нет собственных ИТ-групп.
• Hybrid SOC — объединение внутренних и внешних команд. Эти центры используют управляемые услуги, чтобы восполнить пробелы в охвате или опыте. Например, для обеспечения круглосуточного мониторинга без необходимости устраивать внутренние ночные смены.Гибридные SOC могут позволить организациям поддерживать более высокий уровень контроля и видимости без ущерба для безопасности. Обратной стороной этих центров является то, что затраты часто выше, чем у виртуальных SOC, и координация может быть сложной.

Общие риски информационной безопасности

В повседневной работе многие риски могут повлиять на вашу систему и информационную безопасность. Ниже приведены некоторые общие риски, о которых следует знать.

Атаки социальной инженерии
Социальная инженерия предполагает использование психологии, чтобы обманом заставить пользователей предоставить информацию или получить доступ к злоумышленникам.Фишинг — это один из распространенных видов социальной инженерии, обычно осуществляемый через электронную почту. При фишинговых атаках злоумышленники притворяются заслуживающими доверия или законными источниками, запрашивая информацию или предупреждая пользователей о необходимости принять меры. Например, в электронных письмах пользователей могут просить подтвердить личные данные или войти в свои учетные записи по включенной (вредоносной) ссылке. Если пользователи подчинятся, злоумышленники могут получить доступ к учетным данным или другой конфиденциальной информации.

Постоянные расширенные угрозы (APT)
APT — это угрозы, при которых отдельные лица или группы получают доступ к вашим системам и остаются в них в течение длительного периода.Злоумышленники проводят эти атаки для сбора конфиденциальной информации с течением времени или в качестве основы для будущих атак. APT-атаки осуществляются организованными группами, которые могут оплачиваться конкурирующими национальными государствами, террористическими организациями или отраслевыми соперниками.

Внутренние угрозы
Внутренние угрозы — это уязвимости, созданные отдельными лицами в вашей организации. Эти угрозы могут быть случайными или преднамеренными и предполагать использование злоумышленниками «законных» привилегий для доступа к системам или информации.В случае случайных угроз сотрудники могут непреднамеренно поделиться или раскрыть информацию, загрузить вредоносное ПО или получить кражу учетных данных. При умышленных угрозах инсайдеры намеренно повреждают, утекают или крадут информацию для личной или профессиональной выгоды.

Криптоджекинг
Криптоджекинг, также называемый майнингом криптовалют, — это когда злоумышленники используют ресурсы вашей системы для добычи криптовалюты. Злоумышленники обычно добиваются этого, заставляя пользователей загружать вредоносное ПО или открывая файлы с включенными вредоносными скриптами.Некоторые атаки также выполняются локально, когда пользователи посещают сайты, содержащие скрипты для майнинга.

Распределенный отказ в обслуживании (DDoS)
DDoS-атаки происходят, когда злоумышленники перегружают серверы или ресурсы запросами. Злоумышленники могут выполнять эти атаки вручную или через ботнеты, сети скомпрометированных устройств, используемые для распределения источников запросов. Целью DDoS-атаки является предотвращение доступа пользователей к службам или отвлечение служб безопасности во время других атак.

Программа-вымогатель
Атаки программ-вымогателей используют вредоносное ПО для шифрования ваших данных и удержания их с целью получения выкупа. Как правило, злоумышленники требуют информацию о том, что нужно предпринять какие-либо действия, или оплату от организации в обмен на расшифровку данных. В зависимости от типа используемой программы-вымогателя вы не сможете восстановить зашифрованные данные. В этих случаях восстановить данные можно только путем замены зараженных систем чистыми резервными копиями.

Атака «человек посередине» (MitM)
Атаки MitM происходят, когда сообщения передаются по незащищенным каналам.Во время этих атак злоумышленники перехватывают запросы и ответы для чтения содержимого, манипулирования данными или перенаправления пользователей.
Существует несколько типов MitM-атак, в том числе:

• Перехват сеанса — злоумышленники заменяют легитимные пользователи своим собственным IP-адресом, чтобы использовать свой сеанс и учетные данные для получения доступа к системе.
• IP-спуфинг — злоумышленники имитируют доверенные источники, чтобы отправить вредоносную информацию в систему или запросить информацию обратно.
• Атаки с перехватом — злоумышленники собирают информацию, передаваемую в ходе обмена данными между законными пользователями и вашими системами.

Технологии информационной безопасности

Создание эффективной стратегии информационной безопасности требует применения различных инструментов и технологий. В большинстве стратегий используется комбинация следующих технологий.

Межсетевые экраны
Межсетевые экраны — это уровень защиты, который можно применять к сетям или приложениям.Эти инструменты позволяют фильтровать трафик и сообщать данные о трафике в системы мониторинга и обнаружения. Брандмауэры часто используют установленные списки разрешенного или неутвержденного трафика и политики, определяющие скорость или объем разрешенного трафика.

Управление инцидентами и событиями безопасности (SIEM)
Решения SIEM позволяют получать и сопоставлять информацию из разных систем. Такое агрегирование данных позволяет группам более эффективно обнаруживать угрозы, более эффективно управлять предупреждениями и обеспечивать лучший контекст для расследований.Решения SIEM также полезны для регистрации событий, происходящих в системе, или составления отчетов о событиях и производительности. Затем вы можете использовать эту информацию для подтверждения соответствия или для оптимизации конфигураций.

Защита от потери данных (DLP)
SIEM-решения Стратегии DLP включают инструменты и методы, которые защищают данные от потери или изменения. Это включает в себя категоризацию данных, резервное копирование данных и мониторинг обмена данными внутри и за пределами организации. Например, вы можете использовать DLP-решения SIEM для сканирования исходящей электронной почты, чтобы определить, не передается ли конфиденциальная информация ненадлежащим образом.

Система обнаружения вторжений (IDS)
Решения IDS — это инструменты для мониторинга входящего трафика и обнаружения угроз. Эти инструменты оценивают трафик и предупреждают о любых подозрительных или вредоносных случаях.

Система предотвращения вторжений (IPS)
Решения безопасности IPS аналогичны решениям IDS, и они часто используются вместе. Эти решения реагируют на трафик, который определяется как подозрительный или вредоносный, блокируя запросы или завершая сеансы пользователя.Вы можете использовать решения IPS для управления сетевым трафиком в соответствии с определенными политиками безопасности.

Аналитика поведения пользователей (UBA)
Решения UBA собирают информацию о действиях пользователей и сопоставляют их поведение с базовыми показателями. Затем решения используют этот базовый уровень для сравнения с новым поведением для выявления несоответствий. Затем решение помечает эти несоответствия как потенциальные угрозы. Например, вы можете использовать решения UBA для отслеживания действий пользователей и определения того, начинает ли пользователь экспортировать большие объемы данных, что указывает на внутреннюю угрозу.

Кибербезопасность цепочки блоков
Кибербезопасность цепочки блоков — это технология, основанная на неизменяемых транзакционных событиях. В технологиях блокчейн распределенные сети пользователей проверяют подлинность транзакций и обеспечивают поддержание целостности. Хотя эти технологии еще не получили широкого распространения, некоторые компании начинают включать блокчейн в другие решения.

Обнаружение конечных точек и реагирование (EDR)
Решения EDR для кибербезопасности позволяют отслеживать активность конечных точек, выявлять подозрительную активность и автоматически реагировать на угрозы.Эти решения предназначены для улучшения видимости оконечных устройств и могут использоваться для предотвращения проникновения угроз в ваши сети или утечки информации. Решения EDR полагаются на непрерывный сбор данных о конечных точках, механизмы обнаружения и регистрацию событий.

Управление состоянием безопасности облака (CSPM)
CSPM — это набор методов и технологий, которые вы можете использовать для оценки безопасности ваших облачных ресурсов. Эти технологии позволяют сканировать конфигурации, сравнивать средства защиты с тестами и обеспечивать единообразное применение политик безопасности.Часто решения CSPM содержат рекомендации или руководства по исправлению ошибок, которые можно использовать для улучшения состояния безопасности.

Примеры информационной безопасности в реальном мире

Существует множество способов реализации информационной безопасности в вашей организации, в зависимости от вашего размера, доступных ресурсов и типа информации, которую вам необходимо защитить. Ниже приведены три примера того, как организации реализовали информационную безопасность для удовлетворения своих потребностей.

DLP в Berkshire Bank
Berkshire Bank является примером компании, которая решила реструктурировать свою стратегию DLP.Компания хотела получить доступ к более подробной отчетности о событиях. Их старая система предоставляла только общую информацию, когда угрозы были предотвращены, но компания хотела знать подробности о каждом событии.
Чтобы внести это изменение, Berkshire Bank принял решения Exabeam для обеспечения управляемого покрытия DLP. Это покрытие включало улучшенную видимость событий и централизованную информацию DLP на единой временной шкале для большей доступности. Благодаря этой расширенной информации группа безопасности Berkshire может лучше расследовать события и принимать эффективные превентивные меры.

SOC в Grant Thornton
Grant Thornton — это организация, которая в партнерстве с Exabeam улучшила свой SOC. Компания стремилась улучшить свои возможности по защите системной информации и более эффективно достигать целей безопасности. Благодаря партнерству Грант Торнтон создал озеро данных, служащее центральным хранилищем их данных и инструментов.
Такая централизация повысила эффективность их операций и уменьшила количество интерфейсов, к которым аналитикам требовалось получить доступ.Централизация также позволила компании использовать расширенную аналитику, включая новые агрегированные данные.
Реагирование на инциденты в WSU
Для защиты от растущего числа продвинутых злоумышленников Государственный университет Райта (WSU) внедрил решения для реагирования на инциденты Exabeam. Они предприняли это действие, чтобы быстрее обнаруживать инциденты, более тщательно расследовать действия и более эффективно реагировать на угрозы.
Инструментарий WSU включает в себя решение для обеспечения безопасности, автоматизации и реагирования (SOAR) и решение для анализа поведения пользователей и объектов (UEBA).Эти инструменты позволяют WSU обнаруживать более широкий спектр угроз, включая динамические или неизвестные угрозы, и автоматически реагировать на эти угрозы. Эти инструменты предоставляют важную контекстную информацию и своевременные предупреждения об угрозах, с которыми решения не могут справиться автоматически, поэтому вы можете быстро принять меры и минимизировать ущерб.

Сертификаты информационной безопасности

Еще одним важным аспектом при реализации стратегий информационной безопасности является обеспечение надлежащей подготовки персонала для защиты вашей информации.Один из распространенных методов — сертификация по информационной безопасности. Эти сертификаты гарантируют, что профессионалы соответствуют определенным стандартам знаний и знакомы с передовой практикой.
Многочисленные сертификаты доступны как от некоммерческих организаций, так и от поставщиков. Два наиболее востребованных сертификата:

• CompTIA Security + — обеспечивает базовый уровень обучения кибербезопасности. Он охватывает основные знания, связанные с ИТ-безопасностью, и предназначен для профессионалов начального уровня, таких как младшие аудиторы или тестеры на проникновение.Эта сертификация предлагается через Ассоциацию индустрии вычислительных технологий.
• Сертифицированный специалист по безопасности информационных систем (CISSP) — обеспечивает знание восьми областей информационной безопасности, включая связь, оценку и тестирование, а также управление рисками. Он предназначен для профессионалов высшего звена, например менеджеров по безопасности. Эту сертификацию можно получить в Международном консорциуме сертификации безопасности информационных систем (ISC) ².

Повышение информационной безопасности с помощью Exabeam

Гибкость и удобство ИТ-решений, таких как облачные вычисления и Интернет вещей (IoT), стали незаменимыми для многих организаций, включая частные компании и правительства, но они также подвергают конфиденциальную информацию кражам и злонамеренным атакам.Невозможно избежать Интернета, но вы можете убедиться, что у вас есть система для защиты вашей информации и управления нарушениями, когда они действительно происходят.
Exabeam — это платформа SIEM третьего поколения, которая проста в реализации и использовании и включает расширенные функции в соответствии с пересмотренной моделью SIEM Gartner:

• Расширенная аналитика и криминалистический анализ — идентификация угроз с помощью поведенческого анализа на основе машинного обучения, динамического группирования сверстников и сущностей для выявления подозрительных лиц и обнаружения бокового движения.
• Исследование, создание отчетов и хранение данных — неограниченное хранение данных журналов с фиксированной ценой, использование современных технологий озера данных и контекстно-зависимый анализ журналов, который помогает аналитикам безопасности быстро находить то, что им нужно.
• Threat Hunting — дает аналитикам возможность активно выявлять угрозы. Предоставляет интерфейс поиска угроз, позволяющий создавать правила и запросы, используя естественный язык, без обработки SQL или NLP.
• Реагирование на инциденты и автоматизация SOC — централизованный подход к реагированию на инциденты, сбор данных из сотен инструментов и организация реагирования на различные типы инцидентов с помощью сценариев безопасности.Exabeam может автоматизировать рабочие процессы расследования, локализации и смягчения последствий.

Exabeam позволяет SOC, CISCO и отделам безопасности InfoSec получить большую прозрачность и контроль. Используя Exabeam, организации могут покрыть широкий спектр рисков информационной безопасности, гарантируя, что информация останется безопасной, доступной и доступной. Узнайте больше об облачном SIEM нового поколения Exabeam.

См. Дополнительные руководства по ключевым темам информационной безопасности

Exabeam вместе с несколькими партнерскими веб-сайтами создали большой репозиторий контента, который может помочь вам узнать о многих аспектах информационной безопасности.Ознакомьтесь со статьями ниже, чтобы получить объективные и сжатые обзоры ключевых тем информационной безопасности.

Управление безопасностью — обзор

Перспективы управления на основе политик

Сегодняшнее управление безопасностью включает в себя множество заинтересованных сторон с различными должностными функциями, опытом и целями, а также с использованием различных инструментов и терминологии. Однако процессы, ориентированные на человека, являются основным фактором значительного увеличения затрат, связанных с управлением системой. В среднем 70% ИТ-бюджета тратится на обслуживание и управление существующей ИТ-инфраструктурой [5].Несмотря на значительные расходы, многие организации «не могут доказать соблюдение [политик безопасности] или это непозволительно дорого» [6]. В то же время вмешательство человека подвержено ошибкам, особенно когда речь идет о повторяющихся задачах, связанных с низкоуровневыми технологическими аспектами. Серия исследований показывает, что неточные настройки конфигурации являются одной из наиболее распространенных причин небезопасных и несовместимых систем, что во многих случаях приводит к фактическим утечкам данных [7,8]. В отчете о безопасности Великобритании, например, было обнаружено, что «хотя многие из исследованных организаций действительно имели установленные брандмауэры, плохая конфигурация этих устройств сделала большинство из них бесполезными» [9].Более того, «более чем в 96% случаев… PCI DSS не соблюдается должным образом». Неточные конфигурации обычно вводятся на этапе реализации и эксплуатации концепции безопасности, например, когда конфигурации изменяются для отражения изменений системы или бизнес-процессов.

В свете этого перспективы PBM в отношении системного управления двояки. С одной стороны, он направлен на снижение затрат на управление за счет автоматизации действий, требующих вмешательства человека. С другой стороны, он направлен на улучшение качества обслуживания (отчасти за счет предотвращения человеческих ошибок).Обе цели должны быть достигнуты путем избавления людей от низкоуровневых и повторяющихся задач, связанных с техническими деталями реализации ИТ-систем.

Одним из свойств систем на основе политик, которое способствует достижению этих целей, является тот факт, что правила принятия решений по безопасности для элементов системы не представлены жестко запрограммированными алгоритмами, что приведет к модификации или замене элементов системы при изменении правил безопасности. Системы на основе политик вместо этого полагаются на декларативные утверждения, которые доступны и интерпретируются соответствующим системным элементом.Такое разделение спецификации политики и ее применения выгодно с точки зрения затрат и увеличивает гибкость для адаптации системы к меняющимся требованиям безопасности.

PBM хорошо согласуется с жизненным циклом безопасности, потому что оба следуют нисходящему подходу, который начинается с определения целей высокого уровня и заканчивается применением политик низкого уровня с помощью механизмов безопасности. В PBM цели безопасности высокого уровня, которые управляют общим поведением системы, по-прежнему задаются людьми, но последующие шаги, связанные с выбором, реализацией и работой соответствующих механизмов, становятся все более и более автоматизированными.

Для достижения своих целей PBM должен решать следующие проблемы: идентификация, оценка и выбор соответствующих механизмов безопасности, уточнение политик более высокого уровня до представлений более низкого уровня до тех пор, пока выбранные механизмы обеспечения соблюдения не смогут их интерпретировать, анализ и решение конфликтов политик, возникающих на нескольких уровнях абстракции, внутри и между механизмами принудительного применения политик, и, наконец, организация политик и их распространение на устройства принудительного применения.

Фундаментальные концепции обеспечения безопасности ИТ

Государственные и коммерческие организации в значительной степени полагаются на использование информации при ведении своей коммерческой деятельности. Потеря конфиденциальности, целостности, доступности, подотчетности, аутентичности и надежности информации и услуг может иметь неблагоприятные последствия для организаций. Следовательно, существует острая необходимость в защите информации и управлении безопасностью ИТ-систем в организациях. Помимо значительных преимуществ, каждая новая технология создает новые проблемы для защиты этой информации.Требование защиты информации особенно важно в сегодняшней среде, потому что многие организации внутренне и внешне связаны сетями ИТ-систем. ¹

ИТ-системы подвержены сбоям и нарушениям безопасности из-за ошибок и уязвимостей. Эти ошибки и уязвимости могут быть вызваны многими факторами, такими как быстро меняющаяся технология, человеческий фактор, плохие спецификации требований, неэффективные процессы разработки или недооценка угрозы.Кроме того, часто вносятся модификации системы, новые недостатки и новые атаки, что способствует увеличению уязвимостей, сбоев и нарушений безопасности на протяжении всего жизненного цикла ИТ-системы. ²

Промышленность осознала, что практически невозможно гарантировать безошибочную, безрисковую и безопасную ИТ-систему из-за несовершенства противоположных механизмов безопасности, ошибки человека или надзора, а также отказа компонентов или оборудования. ³

Полностью безопасных ИТ-систем не существует; только те, владельцы которых могут иметь разную степень уверенности в том, что потребности системы в безопасности удовлетворены. ⁴

Кроме того, многие информационные системы не были разработаны с учетом требований безопасности. Безопасность, которая может быть достигнута с помощью технических средств, ограничена и должна поддерживаться соответствующим управлением и процедурами. ⁵

Задача проектирования и управления ИТ-безопасностью (ИТС) состоит в том, чтобы управлять риском безопасности путем снижения уязвимостей и угроз с помощью технических и организационных мер безопасности для создания ИТ-системы с приемлемой гарантией.Перед менеджментом ИТС стоит дополнительная задача: установление приемлемых целей доверия и рисков. Таким образом, заинтересованные стороны ИТ-системы достигнут разумной уверенности в том, что ИТ-система работает так, как было задумано или заявлено, с приемлемым риском и в рамках бюджета. ⁶

ISO / IEC TR 15443 Информационные технологии. Методы безопасности. Основа для обеспечения безопасности ИТ. — это многостраничный технический отчет, предназначенный для того, чтобы помочь профессионалам ИТС выбрать подходящий метод обеспечения безопасности при определении, выборе или развертывании услуги, продукта или продукта безопасности. фактор окружающей среды (известный как «результат»). ⁷ Цель ISO / IEC TR 15443 состоит в том, чтобы представить различные методы обеспечения уверенности и направить специалиста по ИТС в выборе соответствующего метода гарантии (или комбинации методов) для достижения уверенности в том, что данная ИТ-система удовлетворяет заявленным требованиям. Требования к ИТС. ISO / IEC TR 15443 анализирует методы обеспечения уверенности, которые могут не быть уникальными для ИТС; однако руководство, приведенное в стандарте, ограничивается требованиями ITS. В этой статье представлены фундаментальные концепции обеспечения ИТС на основе ISO / IEC TR 15443.

Гарантия и уверенность

Важно подчеркнуть, что уверенность и уверенность не идентичны и не могут использоваться вместо друг друга. Слишком часто эти термины используются неправильно, потому что они тесно связаны. ⁸

ISO / IEC TR 15443 определяет эти термины следующим образом: «Уверенность, с точки зрения отдельного лица, связана с убеждением, которое он имеет в отношении гарантии организации, тогда как уверенность связана с продемонстрированной способностью организации выполнять свои функции. его цели безопасности.Уверенность определяется на основе свидетельств, полученных в процессе оценки организации ». ⁹

Для проектирования безопасности «гарантия» определяется как степень уверенности в том, что потребности системы в безопасности удовлетворены. ¹⁰ Assurance не добавляет никаких дополнительных средств контроля для противодействия рискам, связанным с безопасностью, но дает уверенность в том, что реализованные средства контроля снизят ожидаемый риск. Уверенность также можно рассматривать как уверенность в том, что меры безопасности будут работать, как задумано. ¹¹

Также важно понимать, что уверенность не подразумевает автоматически хорошую безопасность. Гарантия подразумевает только то, что предприятие соответствует своим целям безопасности. Другими словами, гарантия обеспечивает уверенность в том, что результат обеспечивает выполнение своих целей безопасности, без проверки того, адекватно ли цели безопасности учитывают риски и угрозы. ¹²

Требования доверия

С точки зрения ИТС, адекватное доверие означает, что конкретные заранее определенные требования доверия к безопасности были выполнены путем выполнения соответствующих процессов и действий доверия. ¹³

Требования к обеспечению безопасности определяются путем «анализа требований безопасности ИТ-системы, факторов влияния, политик, бизнес-факторов и целевой среды ИТ-системы. Факторы влияния — это любые факторы, которые необходимо учитывать, поскольку они могут повлиять на требования к обеспечению гарантий ИТ-системы. Влияние может иметь любое происхождение и может включать такие нематериальные активы, как политика, культура, местные законы и обязательные требования ». ¹⁴

Security занимается защитой активов.«Активы» — это объекты, которым кто-то придает ценность. ¹⁵ Многие активы представлены в виде информации, которая хранится, обрабатывается и передается продуктами ИТ в соответствии с требованиями, установленными владельцами информации. Защита представляющих интерес активов является обязанностью владельцев, которые оценивают эти активы. Фактические или предполагаемые агенты угрозы также могут оценивать активы и стремиться злоупотреблять активами способом, противоречащим интересам владельца. ¹⁶

Оценка риска выполняется для того, чтобы дать подробный обзор чувствительности активов, уязвимостей и угроз для определения остаточного риска и рекомендаций по существующим и предлагаемым мерам защиты.Реализованные рекомендации учитываются в исходных требованиях безопасности для пересмотра требований обеспечения безопасности.

Также важно отметить, что «требования доверия уникальны для каждой среды из-за множества бизнес-требований и требований безопасности каждой среды. Одна и та же ИТ-система может не подходить для других сред без модификаций, поскольку обычно необходимо удовлетворять различные требования доверия ». ¹⁷

Методы доверия, применимые к ИТ

Применение соответствующих действий по обеспечению уверенности устанавливает уверенность в том, что ИТ-система удовлетворяет своим целям безопасности.Уверенность достигается путем анализа свидетельств уверенности, полученных в результате процессов и действий оценки во время разработки, развертывания и эксплуатации, а также благодаря опыту, полученному при использовании ИТ-системы. Любые действия, которые могут уменьшить неопределенность путем предоставления свидетельств, подтверждающих правильность, эффективность и качество атрибутов ИТ-системы, полезны при определении гарантии безопасности. ¹⁸

Существует много существующих методов обеспечения уверенности, но лишь небольшое их количество характерно для ИТС.Однако методы доверия, не относящиеся к ITS, могут также содержать определенные свойства доверия, относящиеся к обеспечению ITS. ¹⁹ Из-за небольшого количества доступных методов доверия, характерных для ИТС, важно осознавать ценность всех методов доверия, поскольку многие методы доверия, не связанные с безопасностью, используются повсюду в ИТ-индустрии. Все, что может быть использовано для построения аргумента уверенности и, таким образом, уменьшения неопределенности, связанной с конкретным результатом поставки, имеет большое значение. ²⁰

Выбор гарантии безопасности

Выбор метода обеспечения безопасности и соответствующего объема доверия должен основываться на политике обеспечения безопасности организации, бизнес-требованиях и типе результатов (т. Е. Продукт, процесс, среда, система, услуга или персонал). Например, некоторые методы гарантии применимы только к процессам (например, ISO / IEC 21827), другие применимы к продуктам (например, ISO / IEC 15408 Информационные технологии — Методы безопасности — Критерии оценки ИТ-безопасности ), а другие применимы. к управлению безопасностью (т.e., ISO / IEC 27001 Информационные технологии — Методы безопасности — Системы менеджмента информационной безопасности — Требования ). Ниже приведены краткие описания трех часто используемых моделей:

• Современный статистический контроль процессов предполагает, что более качественные продукты можно производить с меньшими затратами, делая упор на качество процессов, которые их производят, и зрелость организационных практик, присущих этим процессам. Более эффективные процессы необходимы с учетом увеличения затрат и времени, необходимых для разработки безопасных систем и надежных продуктов.Эксплуатация и обслуживание защищенных систем зависят от процессов, связывающих людей и технологии. Этими взаимозависимостями можно управлять более рентабельно, уделяя особое внимание качеству используемых процессов и зрелости организационных практик, присущих процессам. ИСО / МЭК 21827 предоставляет эталонную модель процесса, которая сосредоточена на требованиях для реализации безопасности в системе или серии связанных систем, которые находятся в домене ITS. В области ITS стандарт ISO / IEC 21827 сфокусирован на процессах, используемых для достижения ITS, в частности, на зрелости этих процессов. ²¹
• Защита представляющих интерес активов является обязанностью владельцев, которые оценивают эти активы. Владельцы активов могут нести (считаться) ответственными за эти активы и, следовательно, должны иметь возможность защищать решение о принятии риска подвергнуть активы угрозам. Многим владельцам активов не хватает знаний, опыта или ресурсов, необходимых для оценки достаточности и правильности контрмер, и они могут не захотеть полагаться исключительно на утверждения разработчиков контрмер.Таким образом, эти потребители могут захотеть повысить свою уверенность в достаточности и правильности некоторых или всех своих контрмер, заказав оценку этих контрмер. ИСО / МЭК 15408 предоставляет общий набор требований к функциональным возможностям безопасности ИТ-продуктов и к мерам доверия, применяемым к этим ИТ-продуктам во время оценки безопасности. Продукты ИТ могут быть реализованы в виде оборудования, встроенного ПО или программного обеспечения. Процесс оценки устанавливает уровень уверенности в том, что функциональные возможности безопасности этих ИТ-продуктов и меры обеспечения безопасности, применяемые к этим ИТ-продуктам, соответствуют этим требованиям.Результаты оценки могут помочь потребителям определить, удовлетворяют ли эти ИТ-продукты их потребностям в безопасности. ²²
• «Информационная безопасность» — это защита информации от широкого спектра угроз для обеспечения непрерывности бизнеса, минимизации бизнес-рисков и максимизации возврата инвестиций и бизнес-возможностей. ²³ Информационная безопасность достигается за счет реализации подходящего набора средств управления, включая политики, процессы, процедуры, организационные структуры, а также функции программного и аппаратного обеспечения.Эти средства управления необходимо установить, внедрить, контролировать, анализировать и улучшать, где это необходимо, чтобы гарантировать достижение конкретных целей безопасности и бизнеса организации. Это следует делать в сочетании с другими процессами управления бизнесом. ²⁴ ISO / IEC 27001 определяет требования для создания, внедрения, эксплуатации, мониторинга, анализа, поддержки и улучшения документированной системы менеджмента информационной безопасности (СМИБ) в контексте общих бизнес-рисков организации.СМИБ разработана для обеспечения выбора адекватных и соразмерных мер безопасности, которые защищают информационные активы и вселяют уверенность в заинтересованные стороны. ISO / IEC 27001 может использоваться для оценки соответствия заинтересованными внутренними и внешними сторонами. ²⁵

Выбранный метод доверия должен быть совместим со средой организации и должен быть способен исследовать желаемые атрибуты и стадии жизненного цикла результатов поставки. При выборе метода доверия необходимо учитывать доступные ресурсы (например,g., время, персонал, бюджет), чтобы убедиться, что затраченные ресурсы соответствуют типу и количеству полученных гарантий.

Подходы к доверию

Методы доверия можно разделить на три высокоуровневых подхода: ²⁶

1. Оценка результатов, т. Е. Посредством оценки и тестирования
2. Оценка процессов, используемых для разработки или производства результатов
3. Оценка окружающей среды, например персонала и помещений

ISO / IEC TR 15443 определяет эти три подхода высокого уровня следующим образом.Оценка результата поставки включает в себя изучение результата поставки (например, продукта, системы, услуги). В этом случае эти методы доверия исследуют конечный результат и связанную с ним проектную документацию безопасности независимо от процессов разработки.

Оценка процесса включает изучение организационных процессов, используемых при производстве и эксплуатации конечного результата на протяжении его жизненного цикла (т. Е. Разработки, развертывания, доставки, тестирования, сопровождения, утилизации).Уверенность достигается путем вывода о том, что процессы, реализуемые людьми, влияют на качество разработки и реализации результатов поставки и, следовательно, обеспечивают гарантии безопасности при применении к результатам ИТС.

Оценка окружающей среды включает в себя изучение факторов окружающей среды, которые способствуют качеству процессов и производству конечного результата (при этом не проверяется результат или процесс напрямую). Эти факторы включают персонал и физические возможности (например,г., разработка, изготовление, доставка, эксплуатация).

Методы доверия создают определенные типы доверия в зависимости от их технической направленности и жизненного цикла. Вот некоторые из наиболее широко известных методов обеспечения уверенности для данного фокуса: ²⁷

• ISO / IEC 21827 —Обеспечение внимания к качеству и процессу разработки
• Родословная разработчика —Уверенность в том, что брендинг; признание того, что компания производит качественные результаты (на основе исторических отношений или данных)
• Гарантия — Страхование, ориентированное на страхование, подкрепленное обещанием производителя исправить недостаток в результатах
• Декларация поставщика — Гарантия сосредоточена на самодекларации
• Профессиональная сертификация и лицензирование — Гарантия, основанная на опыте и знаниях персонала
• ISO / IEC 14598-1 Информационные технологии — Оценка программного продукта — Часть 1: Общий обзор — Гарантия сосредоточена на прямой оценке результатов поставки
• ISO / IEC 27001 — Гарантия, ориентированная на управление безопасностью

Свойства корректности и эффективности

Уверенность можно рассматривать как уверенность в том, что меры безопасности будут работать так, как задумано.Эта уверенность проистекает из свойств правильности и эффективности. ²⁸

«Обеспечение правильности» относится к оценке результатов для проверки правильности реализации в соответствии с проектом. Напротив, «гарантия эффективности» относится к пригодности функций безопасности результата для противодействия предполагаемым или выявленным угрозам. ²⁹

Концепцию можно проиллюстрировать двумя примерами из ISO / IEC TR 15443: ³⁰

• Если функциональность безопасности ИТ-системы направлена ​​на устранение потенциальных угроз, но эта функциональность не была проанализирована для определения ее правильной конструкции и реализации, нельзя быть уверенным в том, что продукт выдержит атаку.В этом примере видно, что гарантия эффективности была установлена, но гарантия правильности не была установлена ​​из-за отсутствия проверенных функциональных возможностей безопасности.
• Аналогичным образом, если анализ показал, что дизайн и реализация функций безопасности ИТ-системы являются правильными, но проект не содержит соответствующих функций для устранения вероятных угроз, нельзя быть уверенным в том, что результат выдержит атаку со стороны этих угроз. угрозы.В этом примере, несмотря на наличие гарантии правильности, отсутствует гарантия эффективности из-за реализации неэффективных функций безопасности против вероятных угроз. Для достижения всесторонней уверенности необходимо провести оценку ИТ-системы, чтобы убедиться в правильности ее проектирования, реализации и эксплуатации (элемент корректности), а результат должен обеспечивать соответствующие функции безопасности для противодействия выявленным угрозам (элемент эффективности).

Заключение

Традиционно гарантия ассоциировалась только с ИТ-продуктами и системами, состоящими из аппаратного или программного обеспечения, и называлась «гарантия продукта» или «гарантия системы».«В настоящее время признано, что для устранения более широкого диапазона рисков необходимо обеспечить выполнение других задач безопасности, таких как служба безопасности, процесс, персонал, организация или другие факторы окружающей среды.

Подтверждение может запрашиваться заинтересованными сторонами ИТ-систем, которые имеют активы в ИТ-системах, подверженные риску. Следовательно, определение приемлемого метода и уровня уверенности может потребоваться / или на которое могут повлиять заинтересованные стороны.

Assurance не добавляет каких-либо мер предосторожности или услуг к результату поставки.Таким образом, сотрудникам, не связанным с безопасностью, иногда трудно понять, какую выгоду они получают от вложения ресурсов в обеспечение уверенности.

Непросто выполнить прямую квалификацию или оценку вклада уверенности или повышенного доверия в организацию. Однако повышенная уверенность в средствах управления безопасностью снижает неопределенность, связанную с риском, в частности с компонентами уязвимости риска, для устранения которых реализуется средство управления.

Необходимо понимать, как каждый метод доверия устанавливает доверие, чтобы решить, будет ли тот или иной метод доверия удовлетворять требованиям доверия организации.

Примечания

¹ Международная организация по стандартизации (ISO), ISO / IEC 13335-1: 2004 Информационные технологии — Методы безопасности — Управление безопасностью информационных и коммуникационных технологий — Часть 1: Концепции и модели для управления безопасностью информационных и коммуникационных технологий , Швейцария, 2004 г.
² ISO, ISO / IEC TR 15443-1: 2005 Информационные технологии — Методы безопасности — Основа для обеспечения безопасности ИТ — Часть 1: Обзор и структура , Швейцария, 2005
³ Там же .
⁴ Дражен, Драгичевич; Компьютерные преступления и информационные системы , Информатор Загреб (на хорватском языке), 1999
⁵ ISO, ISO / IEC 27002: 2005 Информационные технологии — Методы безопасности — Свод правил управления информационной безопасностью , Швейцария, 2005
⁶ Op cit , ISO / IEC TR 15443-1: 2005
⁷ Там же .
⁸ Там же .
⁹ Там же .
¹⁰ Национальный институт стандартов и технологий США (NIST), Внутренний отчет NIST (NISTIR) 5472 Начало уверенности: материалы приглашенного семинара по обеспечению и надежности информационных технологий (ИТ) , США, 1994
¹¹ ISO, ISO / IEC 21827: 2002 Информационные технологии — Разработка системной безопасности — Модель зрелости возможностей ^® (SSE-CMM ^® ) , Швейцария, 2002
¹² Op cit , ISO / IEC TR 15443-1: 2005
¹³ Там же .
¹⁴ Там же .
¹⁵ ISO, ISO / IEC 15408-1: 2009 Информационные технологии — Методы безопасности — Критерии оценки ИТ-безопасности — Часть 1: Введение и общая модель , Швейцария, 2009
¹⁶ Там же .
¹⁷ Op cit , ISO / IEC TR 15443-1: 2005
¹⁸ Ibid .
¹⁹ Например, хотя ISO 9000 Системы менеджмента качества является стандартом обеспечения качества, первоначально предназначенным для производственных организаций, он также содержит свойства обеспечения процесса, применимые к программному обеспечению и, как таковые, к программным продуктам и системам ИТС.
²⁰ Op cit , ISO / IEC TR 15443-1: 2005
²¹ Op cit , ISO 2002
²² Op cit , ISO 2009
²³ Op cit , ISO / IEC 27002: 2005
²⁴ Там же .
²⁵ ISO, ISO / IEC 27001: 2005 Информационные технологии — Методы безопасности — Системы управления информационной безопасностью — Требования , Швейцария, 2005
²⁶ Op cit , ISO / IEC TR 15443-1: 2005
²⁷ Там же .
²⁸ Op cit , ISO 2002
²⁹ Op cit , ISO / IEC TR 15443-1: 2005
³⁰ Там же .

Харис Хамидович, ЦРУ, ISMS IA, IT Project + , главный специалист по информационной безопасности в Microcredit Foundation EKI Сараево, Босния и Герцеговина. До своего нынешнего назначения Хамидович работал специалистом по информационным технологиям в Силах по стабилизации под руководством Организации Североамериканского договора в Боснии и Герцеговине. Он является автором пяти книг и более 70 статей для деловых и IT-изданий.Хамидович — сертифицированный ИТ-эксперт, назначенный Федеральным министерством юстиции Боснии и Герцеговины и Федеральным министерством физического планирования Боснии и Герцеговины. Он является докторантом по защите критически важной информационной инфраструктуры в Университете Джемаля Биедича в Мостаре, Босния и Герцеговина.

Функции и обязанности по обеспечению информационной безопасности: Медицинская школа UMass

Миссия по информационной безопасности

Задача информационной безопасности — разработать, внедрить и поддерживать программу информационной безопасности, которая защищает системы, услуги и данные Медицинской школы от несанкционированного использования, раскрытия, модификации, повреждения и потери.Департамент информационной безопасности стремится привлечь сообщество Medical Schhol к созданию соответствующей структуры управления информационной безопасностью, которая позволяет сотрудничать и поддерживать новые инициативы в области информационной безопасности.

Подход к информационной безопасности

• Содействовать культуре расширения прав и возможностей, подотчетности и постоянного совершенствования
• Продемонстрируйте последовательную информационную безопасность и соответствие требованиям посредством эффективного взаимодействия и партнерских отношений
• Приоритет информационных активов и процессов
• Стремиться повлиять на позитивные и значимые изменения в ИТ и UMMS в целом
• Выявление и приоритезация рисков
• Внедрить базовые меры безопасности для ключевых активов
• Создание целевой модели возможностей безопасности
• Разработайте план улучшения безопасности
• Обеспечение корпоративного управления и взаимодействия с организацией

Объем информационной безопасности

• Защитите активы Медицинской школы с помощью безопасного проектирования, операций и управления
• Согласование работы и рабочих продуктов в соответствии с действующими в UMMS законами, постановлениями и требованиями
• Применять подход, основанный на оценке рисков, к разработке, рекомендациям и решениям в области безопасности
• Постоянная защита от текущих и потенциальных угроз

Информация Важность безопасности

Важность проактивной группы информационной безопасности состоит в том, чтобы обеспечить основу для сохранения конфиденциальности конфиденциальных данных и их доступности для авторизованного использования при построении эффективных отношений с нашими бизнес-партнерами и ИТ-партнерами.

Принципы и цели информационной безопасности

• Защита конфиденциальности данных
• Сохранение целостности данных
• Обеспечение доступности данных для авторизованного использования
• Заблаговременно выявлять риски и предлагать действенные меры по их снижению
• Развивать культуру активного управления рисками
• Внедрение «передовых» стратегий управления угрозами и процессов для уменьшения угроз

Система управления

• Разработка политики
• Информация о безопасности
• Внутренняя оценка рисков
• Оценка рисков третьей стороной
• Поддержка устранения рисков
• Безопасный SDLC
• Управление графиком хранения записей
• SOC 2 Упрощение формальностей
• Защита от угроз и мониторинг
• Обнаружение вредоносных программ (ePO)
• Корреляция угроз и отчетность
• Реагирование на инцидент
• Компьютерная криминалистика
• Управление уязвимостями
• Сканирование приложений
• Тестирование на проникновение
• Сотрудничество кампусов и промышленных угроз
• Управление обучением по вопросам безопасности

Законодательные, нормативные, договорные требования и другие требования, связанные с политикой — Информационная безопасность тесно сотрудничает с несколькими отделами, включая Управление управления (OOM) и Совет по институциональной проверке (IRB), чтобы гарантировать, что конфиденциальная информация будет надлежащим образом защищен.

• Сотрудник по вопросам конфиденциальности и соблюдения нормативных требований
• Офис президента UMass и Юридический отдел UMMS
• Поддержка запросов на повестки и публичные записи
• Участие в внутреннем и внешнем аудите и ответные меры
• Нормативные указания и указания
• Надзор за безопасностью анализа / оценки HIPAA
• Поддержка IRB

Чтобы узнать больше о конфиденциальности, посетите страницу конфиденциальности UMMS.

Архитектура безопасности предприятия

— подход сверху вниз

Реализация архитектуры безопасности на предприятиях часто сбивает с толку.Традиционно архитектура безопасности состоит из некоторых превентивных, обнаруживающих и корректирующих элементов управления, которые реализованы для защиты инфраструктуры предприятия и приложений. Некоторые предприятия лучше справляются с архитектурой безопасности, добавляя директивные элементы управления, включая политики и процедуры. Многие профессионалы в области информационной безопасности с традиционным мышлением рассматривают архитектуру безопасности как не что иное, как наличие политик безопасности, средств управления, инструментов и мониторинга.

Мир изменился; безопасность уже не та зверюга как раньше.Сегодняшние факторы риска и угрозы уже не те, и не такие простые, как раньше. Новые развивающиеся технологии и возможности, например Интернет вещей, сильно меняют то, как компании работают, каковы их цели и их цели. Для всех специалистов по безопасности важно понимать бизнес-цели и пытаться поддерживать их, внедряя надлежащие меры контроля, которые могут быть просто обоснованы для заинтересованных сторон и связаны с бизнес-риском. Корпоративные инфраструктуры, такие как Sherwood Applied Business Security Architecture (SABSA), COBIT и The Open Group Architecture Framework (TOGAF), могут помочь в достижении этой цели согласования потребностей безопасности с потребностями бизнеса.

SABSA, COBIT и TOGAF и их отношения

SABSA — это бизнес-среда безопасности для предприятий, основанная на рисках и связанных с ними возможностях. SABSA не предлагает какого-либо конкретного контроля и полагается на другие процессы, такие как Международная организация по стандартизации (ISO) или процессы COBIT. Это чисто методология обеспечения согласованности бизнеса.

Методология SABSA состоит из шести уровней (пять горизонтальных и один вертикальный). Каждый слой имеет разное назначение и вид.Контекстный слой находится наверху и включает бизнес-требования и цели. Второй уровень — это концептуальный уровень, представляющий собой архитектурное представление. На рис. 1 показаны шесть уровней этого каркаса.

COBIT 5 от ISACA — это «комплексная структура, которая помогает предприятиям в достижении их целей в области управления корпоративными ИТ и управления ими». ¹ Эта структура включает наборы инструментов и процессы, которые устраняют разрыв между техническими проблемами, бизнес-рисками и требованиями к процессам.Целью концепции COBIT 5 является «создание оптимальной ценности от ИТ путем поддержания баланса между получением выгод и оптимизацией уровней риска и использования ресурсов». COBIT 5 объединяет ИТ-инфраструктуру с бизнесом, обеспечивая при этом управление.

В семействе продуктов COBIT 5 есть множество документов, из которых можно выбирать, и иногда бывает трудно точно знать, где искать конкретную информацию. На рис. 2 кратко показано семейство продуктов COBIT 5. ² Факторы, способствующие развитию COBIT, — это факторы, которые индивидуально и в совокупности влияют на то, будет ли что-то работать.

Структура COBIT основана на пяти принципах ( рис. 3 ). Применение этих принципов к любой архитектуре обеспечивает поддержку бизнеса, согласование и оптимизацию процессов. ³

Используя комбинацию структур SABSA и принципов, механизмов реализации и процессов COBIT, нисходящую архитектуру можно определить для каждой категории в рис. 2 . Например, при разработке архитектуры компьютерной сети нисходящий подход от контекстных к компонентным уровням может быть определен с использованием этих принципов и процессов (, рис. 4, ).

TOGAF — это платформа и набор вспомогательных инструментов для разработки корпоративной архитектуры. ⁴ Цикл разработки архитектуры TOGAF отлично подходит для любого предприятия, которое начинает создавать архитектуру безопасности предприятия. Подобно другим структурам, TOGAF начинается с бизнес-представления и уровня, за которыми следуют технология и информация (, рис. 5, ). ⁵

TOGAF — полезный каркас для определения архитектуры, целей и видения; завершение анализа пробелов; и мониторинг процесса.

Используя вместе SABSA, COBIT и TOGAF, можно определить архитектуру безопасности, которая соответствует потребностям бизнеса и удовлетворяет все требования заинтересованных сторон. После того, как архитектура и цели определены, структуру TOGAF можно использовать для создания проектов и шагов, а также для мониторинга реализации архитектуры безопасности, чтобы привести ее туда, где она должна быть.

Использование структур для разработки архитектуры безопасности предприятия

Всегда справедливый вопрос: «С чего начать предприятие?»

Если посмотреть на эти фреймворки, процесс довольно ясен.Это должен быть подход «сверху вниз» — начните с рассмотрения бизнес-целей, задач и видения.

Первыми шагами упрощенного гибкого подхода к запуску программы архитектуры безопасности предприятия являются:

• Определите бизнес-цели, задачи и стратегию
• Определите бизнес-атрибуты, необходимые для достижения этих целей
• Определите все риски, связанные с атрибутами, которые могут помешать бизнесу достичь своих целей
• Определите необходимые средства контроля для управления риском
• Определите программу для разработки и реализации этих элементов управления:
  • Определите концептуальную архитектуру бизнес-рисков:
    • Управление, политика и архитектура домена
    • Архитектура управления операционным риском
    • Информационная архитектура
    • Архитектура управления сертификатами
    • Архитектура контроля доступа
    • Архитектура реагирования на инциденты
    • Архитектура безопасности приложений
    • Архитектура веб-сервисов
    • Архитектура безопасности связи
  • Определите физическую архитектуру и карту с концептуальной архитектурой:
    • Безопасность платформы
    • Аппаратная безопасность
    • Сетевая безопасность
    • Безопасность операционной системы
    • Безопасность файлов
    • Безопасность баз данных, практика и процедуры
  • Определите компонентную архитектуру и карту с физической архитектурой:
    • Стандарты безопасности (e.g., Национальный институт стандартов и технологий США [NIST], ISO)
    • Продукты и инструменты безопасности (например, антивирус [AV], виртуальная частная сеть [VPN], брандмауэр, безопасность беспроводной сети, сканер уязвимостей)
    • Безопасность веб-служб (например, протокол HTTP / HTTPS, интерфейс прикладных программ [API], межсетевой экран веб-приложений [WAF])
  • Определите операционную архитектуру:
    • Руководства по внедрению
    • Администрации
    • Конфигурация / управление исправлениями
    • Мониторинг
    • Лесозаготовки
    • Проверка пера
    • Управление доступом
    • Управление изменениями
    • Криминалистика и др.

Это так просто. После выявления и оценки всех рисков предприятие может приступить к проектированию компонентов архитектуры, таких как политики, осведомленность пользователей, сеть, приложения и серверы.

На рис. 6 показан упрощенный Agile-подход к запуску программы архитектуры безопасности предприятия.

Пример из реальной жизни

В этом разделе описывается простой и практичный пример шагов, которые можно предпринять для определения архитектуры безопасности для предприятия.

Предприятие в этом примере — это финансовая компания, и их цель — увеличить количество пользователей на один миллион в течение следующих двух лет. Вот некоторые из необходимых бизнес-атрибутов:

• Доступность —Системы должны быть доступны клиентам в любое время.
• Конфиденциальность клиентов — Необходимо обеспечить конфиденциальность клиентов.
• Точность —Информация о клиентах и ​​компании должна быть точной.
• Нормативный акт — Компания находится в соответствии с нормативными актами (в данном случае индустрия платежных карт [PCI]) и должна соответствовать нормативным требованиям.

Некоторые бизнес-риски включают:

• Отсутствие надлежащего плана аварийного восстановления для приложений (это связано с атрибутом доступности)
• Уязвимость в приложениях (это связано с атрибутами конфиденциальности и точности)
• Отсутствие разделения обязанностей (SoD) (это связано с атрибутом конфиденциальности)
• Не соответствует стандарту безопасности данных индустрии платежных карт (PCI DSS) (это связано с регулируемым атрибутом)

Некоторые элементы управления:

• Создание среды аварийного восстановления для приложений (включенных в процессы COBIT DSS04)
• Внедрить программу управления уязвимостями и брандмауэры приложений (включенные в процессы COBIT DSS05)
• Внедрить инфраструктуру открытых ключей (PKI) и средства управления шифрованием (включены в процессы COBIT DSS05)
• Внедрить SoD в необходимых областях (включенных в процессы COBIT DSS05)
• Внедрить элементы управления PCI DSS

Все элементы управления автоматически обосновываются, поскольку они напрямую связаны с бизнес-атрибутами.

Как и любой другой фреймворк, жизненным циклом архитектуры безопасности предприятия необходимо управлять должным образом. Важно постоянно обновлять бизнес-атрибуты и риски, а также определять и внедрять соответствующие меры контроля.

Жизненным циклом программы безопасности можно управлять с помощью инфраструктуры TOGAF. Это достигается путем создания представления архитектуры и целей, выполнения анализа пробелов, определения проектов, а также реализации и мониторинга проектов до их завершения и начала заново (, рис. 5, ).

Использование CMMI для мониторинга, измерения и отчетности о ходе разработки архитектуры

Наконец, должно быть достаточно средств контроля и ключевых показателей эффективности (KPI) для измерения зрелости архитектуры с течением времени.

На первом этапе измеряется текущая зрелость требуемых элементов управления в среде с использованием модели интеграции модели зрелости возможностей (CMMI). Модель CMMI имеет пять уровней зрелости, от начального уровня до уровня оптимизации. ⁶ Для целей этой статьи, несуществующий уровень (уровень 0) добавлен для тех элементов управления, которые отсутствуют ( рисунок 7 ).

Цель состоит в том, чтобы определить желаемый уровень зрелости, сравнить текущий уровень с желаемым уровнем и создать программу для достижения желаемого уровня.

Эту зрелость можно определить по ряду средств контроля. В зависимости от архитектуры у него может быть больше или меньше элементов управления.

Вот несколько примеров управления:

• Контроль процедур
  • Система управления рисками
  • Осведомленность пользователей
  • Управление безопасностью
  • Политики и стандарты безопасности
• Органы управления
  • Управление активами
  • Управление инцидентами
  • Управление уязвимостями
  • Управление изменениями
  • Средства контроля доступа
  • Управление событиями и мониторинг
• Элементы управления приложениями
  • Платформа безопасности приложений (брандмауэр веб-приложений [WAF], SIEM, защита от сложных постоянных угроз [APT])
  • Платформа безопасности данных (шифрование, электронная почта, мониторинг активности базы данных [DAM], предотвращение потери данных [DLP])
  • Управление доступом (управление идентификацией [IDM], единый вход [SSO])
• Элементы управления конечными точками
  • Безопасность хоста (AV, система предотвращения вторжений хоста [HIPS], управление исправлениями, настройка и управление уязвимостями)
  • Мобильная безопасность (принесите собственное устройство [BYOD], управление мобильными устройствами [MDM], контроль доступа к сети [NAC])
  • Аутентификация (аутентификация, авторизация и учет [AAA], двухфакторное, привилегированное управление идентификацией [PIM])
• Средства управления инфраструктурой
  • Распределенный отказ в обслуживании (DDoS), межсетевой экран, система предотвращения вторжений (IPS), VPN, Интернет, электронная почта, беспроводная связь, DLP и т. Д.

Результатом этого этапа является рейтинг зрелости для любого из элементов управления для текущего статуса и желаемого статуса. После разработки программы и внедрения средств контроля начинается второй этап управления зрелостью. На этом этапе рейтинги обновляются, и команда менеджеров видит прогресс.

На рис. 8 показан пример панели мониторинга зрелости для архитектуры безопасности.

Заключение

Независимо от используемой методологии или структуры, архитектура безопасности предприятия на любом предприятии должна определяться на основе имеющихся рисков для этого предприятия.Корпоративные структуры SABSA, COBIT и TOGAF гарантируют соответствие определенной архитектуры бизнес-целям и задачам.

Использование этих структур может привести к созданию успешной архитектуры безопасности, которая соответствует потребностям бизнеса:

• Принципы и инструменты COBIT предоставляют передовой опыт и рекомендации по согласованию бизнеса, максимальной отдаче и преимуществам.
• Модель оценки процесса COBIT (PAM) обеспечивает полное представление процессов требований и средств управления для архитектуры безопасности корпоративного уровня.
• Уровни и структура SABSA создают и определяют нисходящую архитектуру для всех требований, элементов управления и процессов, доступных в COBIT.
• Структура TOGAF полезна для определения целей, преимуществ и видения архитектуры, а также для создания и реализации проектов для достижения этих целей.
• Модель CMMI полезна для обеспечения определенного уровня видимости для руководства и платы архитектуры, а также для отчетности о зрелости архитектуры с течением времени.

Упрощенный гибкий подход к запуску программы архитектуры безопасности предприятия гарантирует, что архитектура безопасности предприятия является частью бизнес-требований, конкретно отвечает потребностям бизнеса и автоматически обосновывается.

Примечания

¹ ISACA, COBIT 5, США, 2012 г., www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx
² Thomas, M .; «Основные публикации COBIT: краткий обзор», COBIT Focus , 13 апреля 2015 г., www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-The-Core-COBIT-Publications-A-Quick-Glance_nlt_Eng_0415.pdf
³ Op cit , ISACA
⁴ Открытая группа Добро пожаловать в TOGAF 9.1, стандарт открытой группы, http://pubs.opengroup.org/architecture/togaf9-doc/arch/
⁵ The Open Group, «Цикл разработки архитектуры TOGAF 9.1», http: // pubs. opengroup.org/architecture/togaf9-doc/arch/chap05.html
⁶ Институт CMMI, «Уровни зрелости CMMI», http: // cmmiinstitute.com / возможность-зрелость-модель-интеграция

Расул Газнави-Заде , CISM, COBIT Foundation, SABSA, TOGAF
Консультант по ИТ-безопасности с 1999 года. Он начинал как специалист по компьютерным сетям и безопасности и развил свои знания в области корпоративного бизнеса, архитектуры безопасности и управления ИТ. Газнави-Заде — наставник и инструктор по ИТ-безопасности, а также автор нескольких книг об архитектуре корпоративной безопасности, этическом взломе и проникновении, которые можно найти в Google Play или в магазине Amazon.

Что такое информационная безопасность (информационная безопасность)?

Что такое информационная безопасность?

Информационная безопасность, часто сокращаемая до infosec, — это практика, политика и принципы защиты цифровых данных и других видов информации. В обязанности infosec входит создание набора бизнес-процессов, которые будут защищать информационные активы, независимо от того, как эта информация отформатирована, находится ли она в пути, обрабатывается или хранится в хранилище.

Как правило, организация применяет информационную безопасность для защиты цифровой информации как часть общей программы кибербезопасности. Три основных принципа infosec, называемые триадой CIA , — это конфиденциальность, целостность и доступность.

Короче говоря, информационная безопасность — это то, как вы гарантируете, что ваши сотрудники могут получать нужные им данные, при этом не позволяя никому получить к ним доступ. Это также может быть связано с управлением рисками и правовыми нормами.

Триада ЦРУ: конфиденциальность, целостность и доступность

Принципы информационной безопасности

Триада ЦРУ

Общая цель информационной безопасности — впустить хороших парней, но не допустить плохих.Три основных арендатора, поддерживающих это, — это конфиденциальность, целостность и доступность. Это называется триадой ЦРУ, или тремя столпами или принципами информационной безопасности.

Конфиденциальность — это принцип, согласно которому информация должна быть доступна только тем, у кого есть соответствующие права доступа к этим данным. Честность — это принцип, согласно которому информация является последовательной, точной и заслуживающей доверия. Доступность — это принцип, согласно которому информация легкодоступна для тех, у кого есть соответствующие полномочия, и останется таковой в случае неспособности свести к минимуму прерывания для пользователей.

Эти три принципа не существуют изолированно, но они влияют друг на друга. Следовательно, любая информационная система требует баланса этих факторов. В качестве крайнего примера, информация, доступная только в виде письменного листа, хранящегося в хранилище, является конфиденциальной, но получить ее нелегко. Информация, высеченная в камне, отображаемая в вестибюле, имеет полную целостность, но не является конфиденциальной и доступной.

Для более подробного обсуждения см .: конфиденциальность, целостность и доступность (триада CIA) .

Прочие принципы информационной безопасности

Хотя триада ЦРУ составляет основу политики и принятия решений в области информационной безопасности, другие факторы должны быть включены в полный план информационной безопасности.

Поскольку информационная безопасность включает баланс конкурирующих факторов, она связана с управлением рисками. Цель здесь — максимизировать положительные результаты и минимизировать отрицательные. Организации используют принципы управления рисками, чтобы определить уровень риска, который они готовы принять на себя при внедрении системы.Они также могут установить защитные устройства и средства защиты для снижения риска.

Классификация данных также должна приниматься во внимание с помощью infosec, чтобы уделять особое внимание информации, которая должна оставаться либо строго конфиденциальной, либо данным, которые должны оставаться высокодоступными.

Информационная безопасность не ограничивается цифровыми данными и компьютерными системами. Полная политика информационной безопасности будет также охватывать физическую информацию, печатную информацию и другие виды носителей. Он также может включать соглашения о конфиденциальности.

Компании также должны проводить обучение пользователей для защиты данных, а также как средства управления компьютерами, так и политику организации в качестве факторов снижения риска. Например, чтобы ограничить риск изменения финансовых данных специалистом по бухгалтерскому учету, организация может ввести технический контроль, ограничивающий права на внесение изменений и регистрацию изменений. В качестве альтернативы, этот риск также может снизить организационная политика, предусматривающая проведение аудита завершенными записями вторым лицом.

Еще одним важным фактором информационной безопасности является неотказ, то есть способность доказать, что информация не была подделана.Никто не должен вмешиваться в данные, находящиеся в состоянии покоя или в пути, их источник должен быть надежным и не должен быть случайно или злонамеренно изменен.

Непрерывность бизнеса и аварийное восстановление (BCDR) — дополнительные аспекты информационной безопасности. Данные должны оставаться доступными и неизменными в случае сбоя программного или аппаратного обеспечения. Организации могут сделать это с помощью резервных копий или резервных систем.

Планирование непрерывности бизнеса и аварийного восстановления как часть общей стратегии информационной безопасности состоит из нескольких уровней.

Считайте также управление изменениями политикой информационной безопасности. Плохо управляемые изменения могут вызвать сбои, влияющие на доступность системы. Системные изменения также могут повлиять на общую безопасность хранимых данных.

Местные законы и постановления правительства также влияют на решения информационной безопасности. Регулирующие органы часто регулируют информацию, позволяющую установить личность (PII), в зависимости от региона. Такие нормативные акты, как Закон о переносимости и подотчетности медицинского страхования (HIPAA) для медицинских данных, Стандарт безопасности данных индустрии платежных карт (PCI DSS) для платежной информации или Закон Европейского Союза (ЕС) о защите данных (GDPR), например, может потребовать, чтобы некоторая информация обрабатывалась иначе или имелись специальные меры контроля.

Работа в сфере ИБ

Большинство ролей, работающих с компьютерами, включают элемент информационной безопасности. Таким образом, должности в информационной безопасности могут различаться по названиям в разных организациях и быть междисциплинарными или межведомственными.

Директор по информационной безопасности (ИТ) или директор по информационной безопасности (CISO) в сотрудничестве с директором по информационным технологиям (CIO) отвечает за общую политику в области кибербезопасности и информационной безопасности.Инженер по безопасности или администратор системы безопасности (системный администратор) может нести ответственность за внедрение или оценку средств управления информационной безопасностью.

Аналитик по информационной безопасности или консультант по ИТ-безопасности может нести ответственность за оценку рисков, оценку эффективности средств контроля или анализ сбоя и его воздействия.

Специалисты в области информационной безопасности могут выбрать разные пути в своей карьере в области информационной безопасности.

Узнайте больше о доступных типах заданий информационной безопасности .

Сертификаты информационной безопасности

Ряд сертификатов доступен ИТ-специалистам, которые уже или хотели бы сосредоточиться на информационной безопасности и кибербезопасности в более широком смысле, включая следующие:

• CompTIA Security +. Эта сертификация охватывает основные знания в области кибербезопасности и используется для квалификации на должности начального уровня в области ИТ и информационной безопасности.
• Сертифицированный аудитор информационных систем ( CISA ). ISACA, некоммерческая и независимая ассоциация, которая защищает профессионалов, занимающихся информационной безопасностью, гарантией, управлением рисками и корпоративным управлением, предлагает эту сертификацию. Экзамен подтверждает знания и навыки профессионалов в области безопасности. Чтобы претендовать на эту сертификацию, кандидаты должны иметь пятилетний профессиональный опыт работы в области аудита, контроля или безопасности информационных систем.
• Сертифицированный менеджер по информационной безопасности ( CISM ). CISM — это расширенная сертификация, предлагаемая ISACA, которая проверяет лиц, продемонстрировавших глубокие знания и опыт, необходимые для разработки и управления корпоративными программами информационной безопасности. ISACA нацелена на эту сертификацию менеджеров по информационной безопасности, начинающих менеджеров или ИТ-консультантов, которые поддерживают управление программами информационной безопасности.
• Основы безопасности GIAC (GSEC). Созданный и управляемый организацией Global Information Assurance Certification (GIAC), этот сертификат предназначен для профессионалов в области безопасности, которые хотят продемонстрировать свою квалификацию для практических ролей в отношении задач безопасности, связанных с ИТ-системами.Экзамен требует, чтобы кандидаты продемонстрировали понимание информационной безопасности, выходящее за рамки простой терминологии и понятий.
• Сертифицированный специалист по безопасности информационных систем ( CISSP ). CISSP — это расширенная сертификация, предлагаемая (ISC) ², международным некоммерческим органом по сертификации кибербезопасности. Для опытных профессионалов в области кибербезопасности экзамен охватывает способность разрабатывать и внедрять программу информационной безопасности.

.