Безопасность данных
Конспект DAMA DMBOK2 на русском языке
Глава 7
Вебинар-обсуждение
Конспект каждой главы мы сопровождаем онлайн-дискуссией с экспертами по теме
Введение в тему: ключевые понятия
Требования по обеспечению информационной безопасности обусловлены ключевыми факторами:
→ Интересы заинтересованных сторон
→ Нормативно-правовое регулирование
→ Законные интересы бизнеса
→ Потребности в санкционированном доступе к данным
→ Интересы заинтересованных сторон
→ Нормативно-правовое регулирование
→ Законные интересы бизнеса
→ Потребности в санкционированном доступе к данным
Основной драйвер ИБ — стремление минимизировать риски и обеспечить устойчивый рост бизнеса. Обеспечение безопасности данных снижает риски и дает дополнительные конкурентные преимущества. Это ценный актив компании.
Информационная безопасность начинается с классификации данных, которыми располагает организация, и выявления тех их категорий, которые нуждаются в защите. Этот процесс включает следующие основные этапы:
→ Выявление и классификация информационных активов с чувствительными данными
→ Определение расположения чувствительных данных в организации
→ Определение мер по защите
→ Определение характера взаимодействия чувствительных данных с бизнес-процессами
→ Выявление и классификация информационных активов с чувствительными данными
→ Определение расположения чувствительных данных в организации
→ Определение мер по защите
→ Определение характера взаимодействия чувствительных данных с бизнес-процессами
Принципы безопасности данных
сотрудничество
четкое распределение ответственности
корпоративный подход
управление на основе метаданных
проактивное управление
снижение риска за счет уменьшения объема распространяемых данных
Ключевая роль
Как правило ИБ — зона ответственности директора по информационной безопасности (Chief Information Security Officer, CISO), подчиняющегося либо CIO, либо CEO. В небольших компаниях, где нет штатных специалистов по ИБ, этими вопросами занимаются сотрудники, отвечающие за управление данными.
Защита данных должна обеспечиваться не только в местах хранения (data-at-rest — «данные в покое»), но и при их передаче из системы в систему (data-in-motion — «данные в движении»). Передача данных требует наличия сети, которая должна быть надежно защищена.
Основные понятия
Уязвимость
Слабое место или дефект в системе, которое может создать условия для успешной атаки извне и раскрытия или потери информации.
Угроза
Потенциальное атакующее воздействие, которое может быть предпринято против организации. Угрозы бывают внешние (хакерские атаки, криминальные взломы и т. п.) и внутренние (обусловленны ошибками или злонамеренными действиями сотрудников или недостатками процессов).
Риск
Это одновременно возможность ущерба и источник (предмет или объект) или причину (условие) возможного ущерба. В зависимости от уровня риска данные могут классифицироваться на данные критического риска (Critical Risk Data, CRD), данные высокого риска (High Risk Data, HRD) и данные умеренного риска (Moderate Risk Data, MRD).
Факторы оценки риска
- Вероятность реализации угрозы и возможная частота ее реализации.
- Характер и размер ущерба, включая репутационный, который может причинить реализация угрозы.
- Влияние понесенного ущерба на размер дохода и бизнес-операции.
- Затраты на устранение последствий понесенного ущерба.
- Затраты на предотвращение угрозы, включая исправление уязвимостей.
- Цели или намерения потенциального злоумышленника.
Целостность данных
Это невредимое цельное состояние данных, предполагающее защиту от несанкционированного изменения, удаления или добавления данных.
Шифрование данных
Процесс преобразования открытого текста в сложные коды с целью сокрытия информации ограниченного доступа, подтверждения передачи передаваемой информации или удостоверения личности отправителя. Зашифрованные данные невозможно прочесть без ключа или алгоритма для дешифрования, который обычно хранится отдельно и не может быть вычислен на основе других элементов данных в том же наборе. Четыре основных метода шифрования включают:
Межсетевой экран
(firewall)
(firewall)
Программное и/или аппаратное средство фильтрации сетевого трафика, призванное защитить отдельный компьютер или локальную сеть от попыток несанкционированного доступа или взлома.
VPN-подключения (виртуальные частные сети)
Выделенные защищенные каналы (или «туннели») обмена данными между клиентами корпоративной сети в небезопасном интернете. Высокая надежность шифрования данных в «туннеле» дополнена контролем доступа пользователей к среде организации с использованием многофакторной аутентификации и защитного межсетевого экрана. После подключения все данные передаются в зашифрованном виде.
Конфиденциальные и регламентируемые данные
Степень конфиденциальности данных может варьироваться от самой высокой до низкой. Вот пример шкалы конфиденциальности, включающей 5 уровней — у вас может быть их больше или меньше.
1
Строго конфиденциальная, под подписку о неразглашении
2
Конфиденциальная, ограниченного доступа
3
Конфиденциальная
4
Для внутреннего пользования
5
Для всеобщего пользования
Регламентируемые данные
Данные, обращение с которыми регламентируется извне — законами, отраслевыми стандартами или действующими договорами и соглашениями.
Для регламентируемых данных предписываются:
→ порядок использования данных,
→ порядок доступа к ним,
→ круг лиц, имеющих право доступа,
→ допустимые цели использования данных.
Для регламентируемых данных предписываются:
→ порядок использования данных,
→ порядок доступа к ним,
→ круг лиц, имеющих право доступа,
→ допустимые цели использования данных.
Проводимые работы по управлению безопасности данных
1
Выявление требований по безопасности данных
Важно проводить различие между бизнес-требованиями (формируются исходя из потребностей, миссии, стратегии и масштабов бизнеса, отраслевой принадлежности и т.д.), ограничениями правового характера и правилами, которые связаны с используемыми прикладными программными продуктами.
Важно проводить различие между бизнес-требованиями (формируются исходя из потребностей, миссии, стратегии и масштабов бизнеса, отраслевой принадлежности и т.д.), ограничениями правового характера и правилами, которые связаны с используемыми прикладными программными продуктами.
2
Определение политики безопасности данных
Определение на уровне корпоративной политики безопасности, политика безопасности ИТ, политика безопасности данных.
Определение на уровне корпоративной политики безопасности, политика безопасности ИТ, политика безопасности данных.
3
Определение стандартов в области безопасности данных
Политики определяют общие правила поведения, а стандарты детализируют порядок действий в различных случаях, чтобы итоговый результат действий в случае нештатных ситуаций (и не только) максимально соответствовал намерениям, заявленным в политиках.
Политики определяют общие правила поведения, а стандарты детализируют порядок действий в различных случаях, чтобы итоговый результат действий в случае нештатных ситуаций (и не только) максимально соответствовал намерениям, заявленным в политиках.
Инструменты для обеспечения информационной безопасности
Антивирусное ПО
Защищает компьютеры от вирусов, часто встречающихся в интернете. Обновления антивирусного ПО крайне важны, поскольку новые виды вредоносных программ появляются ежедневно.
Протокол HTTPS
Если URL-адрес начинается с https://, это указывает на защиту обмена данными посредством шифрования
Технологии управления идентификацией
Обеспечивают хранение реквизитов пользователей и их выдачу по запросам систем, например при попытке в них войти. Некоторые приложения ведут собственные репозитории реквизитов пользователей, но часто используется централизованный репозиторий реквизитов, чтобы облегчить работу пользователей.
Системы обнаружения (IDS) и предотвращения вторжений (IPS)
IDS моментально уведомляет ответственных сотрудников о любом выявленном случае несанкционированного доступа, IPS автоматически реагирует как на известные атаки, так и на нелогичные сочетания команд, поступающих от пользователей.
Межсетевые экраны (firewalls)
Осуществляют высокоскоростную передачу данных и одновременно проводят детализированный анализ сетевых пакетов.
Отслеживание метаданных
Мониторинг перемещения чувствительных данных. Риск использования таких инструментов связан с возможностью для шпионских программ выявить внутренние данные организации по метаданным, связанным с документами.
Рекомендации
→
Оценка готовности и Оценка рисков
Организации могут повысить степень соответствия требованиям безопасности, прилагая усилия в следующих направлениях:
→ Обучение
→ Согласованные и последовательные политики
→ Измерение выгод от мер по обеспечению безопасности данных
→ Определение требований по безопасности данных для поставщиков
→ Формирование «чувства крайней необходимости»
→ Непрерывные коммуникации
Организации могут повысить степень соответствия требованиям безопасности, прилагая усилия в следующих направлениях:
→ Обучение
→ Согласованные и последовательные политики
→ Измерение выгод от мер по обеспечению безопасности данных
→ Определение требований по безопасности данных для поставщиков
→ Формирование «чувства крайней необходимости»
→ Непрерывные коммуникации
→
Организационные и культурные изменения
Политики в области данных должны, с одной стороны, позволить компании успешно достигать поставленных целей, а с другой — обеспечивать надежную защиту чувствительной и регламентированной информации от ненадлежащего использования или несанкционированного доступа. При этом учет интересов всех заинтересованных сторон и минимизация рисков не должны существенно осложнять доступ к данным, необходимым для текущей работы.
Политики в области данных должны, с одной стороны, позволить компании успешно достигать поставленных целей, а с другой — обеспечивать надежную защиту чувствительной и регламентированной информации от ненадлежащего использования или несанкционированного доступа. При этом учет интересов всех заинтересованных сторон и минимизация рисков не должны существенно осложнять доступ к данным, необходимым для текущей работы.
→
Доступность информации о наборах прав пользователей
Каждый набор прав (определяющий совокупность элементов данных, которые становятся доступными для пользователя после его авторизации) должен тщательно проверяться на стадии внедрения системы на предмет наличия в нем прав доступа к какой-либо регламентируемой информации.
Каждый набор прав (определяющий совокупность элементов данных, которые становятся доступными для пользователя после его авторизации) должен тщательно проверяться на стадии внедрения системы на предмет наличия в нем прав доступа к какой-либо регламентируемой информации.
→
Обеспечение безопасности данных в условиях аутсорсинга
На аутсорсинг может быть передано всё, за исключением ответственности за результаты деятельности организации.
Аутсорсинг ИТ-услуг сопряжен с дополнительными проблемами и обязанностями в отноше- нии безопасности данных. В такой ситуации считавшиеся ранее неформальными роли и обязанности должны быть точно определены в виде контрактных обязательств. Договоры аутсорсинга должны содержать подробные описания обязанностей и ожиданий по каждой роли, а также механизмов контроля (например, SLA, ограничения ответственности, независимые мониторинг поставщика услуг и т.д.)
На аутсорсинг может быть передано всё, за исключением ответственности за результаты деятельности организации.
Аутсорсинг ИТ-услуг сопряжен с дополнительными проблемами и обязанностями в отноше- нии безопасности данных. В такой ситуации считавшиеся ранее неформальными роли и обязанности должны быть точно определены в виде контрактных обязательств. Договоры аутсорсинга должны содержать подробные описания обязанностей и ожиданий по каждой роли, а также механизмов контроля (например, SLA, ограничения ответственности, независимые мониторинг поставщика услуг и т.д.)
→
Обеспечение безопасности данных в облачных средах
Облачные вычисления, обеспечивающие использование распределенных по сети ресурсов для обработки данных и информации, являются логичным завершением перехода к предоставлению «всего как услуги» (Anything-as-a-Service, XaaS).
Политики защиты данных в такой ситуации должны учитывать распределение данных по различным моделям услуг. Это подразумевает максимально возможное применение внешних стандартов в области безопасности данных.
Облачные вычисления, обеспечивающие использование распределенных по сети ресурсов для обработки данных и информации, являются логичным завершением перехода к предоставлению «всего как услуги» (Anything-as-a-Service, XaaS).
Политики защиты данных в такой ситуации должны учитывать распределение данных по различным моделям услуг. Это подразумевает максимально возможное применение внешних стандартов в области безопасности данных.
Подписывайтесь на новые выпуски проекта
Получайте обновления конспекта DMBOK2 себе на почту по мере их публикации
Подпишитесь на новые конспекты
И получайте их себе на почту по мере их выхода
