To main content
Безопасность данных
Конспект DAMA DMBOK2 на русском языке
Глава 7
Вебинар-обсуждение
Конспект каждой главы мы сопровождаем онлайн-дискуссией с экспертами по теме
Введение в тему: ключевые понятия
Требования по обеспечению информационной безопасности обусловлены ключевыми факторами:
→ Интересы заинтересованных сторон
→ Нормативно-правовое регулирование
→ Законные интересы бизнеса
→ Потребности в санкционированном доступе к данным

Основной драйвер ИБ — стремление минимизировать риски и обеспечить устойчивый рост бизнеса. Обеспечение безопасности данных снижает риски и дает дополнительные конкурентные преимущества. Это ценный актив компании.

Информационная безопасность начинается с классификации данных, которыми располагает организация, и выявления тех их категорий, которые нуждаются в защите. Этот процесс включает следующие основные этапы:
→ Выявление и классификация информационных активов с чувствительными данными
→ Определение расположения чувствительных данных в организации
→ Определение мер по защите
→ Определение характера взаимодействия чувствительных данных с бизнес-процессами
Принципы безопасности данных
сотрудничество
четкое распределение ответственности
корпоративный подход
управление на основе метаданных
проактивное управление
снижение риска за счет уменьшения объема распространяемых данных
Ключевая роль
Как правило ИБ — зона ответственности директора по информационной безопасности (Chief Information Security Officer, CISO), подчиняющегося либо CIO, либо CEO. В небольших компаниях, где нет штатных специалистов по ИБ, этими вопросами занимаются сотрудники, отвечающие за управление данными.

Защита данных должна обеспечиваться не только в местах хранения (data-at-rest — «данные в покое»), но и при их передаче из системы в систему (data-in-motion — «данные в движении»). Передача данных требует наличия сети, которая должна быть надежно защищена.

Основные понятия
Уязвимость
Слабое место или дефект в системе, которое может создать условия для успешной атаки извне и раскрытия или потери информации.
Угроза
Потенциальное атакующее воздействие, которое может быть предпринято против организации. Угрозы бывают внешние (хакерские атаки, криминальные взломы и т. п.) и внутренние (обусловленны ошибками или злонамеренными действиями сотрудников или недостатками процессов).
Риск
Это одновременно возможность ущерба и источник (предмет или объект) или причину (условие) возможного ущерба. В зависимости от уровня риска данные могут классифицироваться на данные критического риска (Critical Risk Data, CRD), данные высокого риска (High Risk Data, HRD) и данные умеренного риска (Moderate Risk Data, MRD).
Факторы оценки риска
Целостность данных
Это невредимое цельное состояние данных, предполагающее защиту от несанкционированного изменения, удаления или добавления данных.
Шифрование данных
Процесс преобразования открытого текста в сложные коды с целью сокрытия информации ограниченного доступа, подтверждения передачи передаваемой информации или удостоверения личности отправителя. Зашифрованные данные невозможно прочесть без ключа или алгоритма для дешифрования, который обычно хранится отдельно и не может быть вычислен на основе других элементов данных в том же наборе. Четыре основных метода шифрования включают:
Межсетевой экран
(firewall)
Программное и/или аппаратное средство фильтрации сетевого трафика, призванное защитить отдельный компьютер или локальную сеть от попыток несанкционированного доступа или взлома.
VPN-подключения (виртуальные частные сети)
Выделенные защищенные каналы (или «туннели») обмена данными между клиентами корпоративной сети в небезопасном интернете. Высокая надежность шифрования данных в «туннеле» дополнена контролем доступа пользователей к среде организации с использованием многофакторной аутентификации и защитного межсетевого экрана. После подключения все данные передаются в зашифрованном виде.
Конфиденциальные и регламентируемые данные
Степень конфиденциальности данных может варьироваться от самой высокой до низкой. Вот пример шкалы конфиденциальности, включающей 5 уровней — у вас может быть их больше или меньше.
1
Строго конфиденциальная, под подписку о неразглашении
2
Конфиденциальная, ограниченного доступа
3
Конфиденциальная
4
Для внутреннего пользования
5
Для всеобщего пользования
Регламентируемые данные
Данные, обращение с которыми регламентируется извне — законами, отраслевыми стандартами или действующими договорами и соглашениями.

Для регламентируемых данных предписываются:
→ порядок использования данных,
→ порядок доступа к ним,
→ круг лиц, имеющих право доступа,
→ допустимые цели использования данных.

Проводимые работы по управлению безопасности данных
1
Выявление требований по безопасности данных
Важно проводить различие между бизнес-требованиями (формируются исходя из потребностей, миссии, стратегии и масштабов бизнеса, отраслевой принадлежности и т.д.), ограничениями правового характера и правилами, которые связаны с используемыми прикладными программными продуктами.
2
Определение политики безопасности данных
Определение на уровне корпоративной политики безопасности, политика безопасности ИТ, политика безопасности данных.
3
Определение стандартов в области безопасности данных
Политики определяют общие правила поведения, а стандарты детализируют порядок действий в различных случаях, чтобы итоговый результат действий в случае нештатных ситуаций (и не только) максимально соответствовал намерениям, заявленным в политиках.
Инструменты для обеспечения информационной безопасности
Антивирусное ПО
Защищает компьютеры от вирусов, часто встречающихся в интернете. Обновления антивирусного ПО крайне важны, поскольку новые виды вредоносных программ появляются ежедневно.
Протокол HTTPS
Если URL-адрес начинается с https://, это указывает на защиту обмена данными посредством шифрования
Технологии управления идентификацией
Обеспечивают хранение реквизитов пользователей и их выдачу по запросам систем, например при попытке в них войти. Некоторые приложения ведут собственные репозитории реквизитов пользователей, но часто используется централизованный репозиторий реквизитов, чтобы облегчить работу пользователей.
Системы обнаружения (IDS) и предотвращения вторжений (IPS)
IDS моментально уведомляет ответственных сотрудников о любом выявленном случае несанкционированного доступа, IPS автоматически реагирует как на известные атаки, так и на нелогичные сочетания команд, поступающих от пользователей. 
Межсетевые экраны (firewalls)
Осуществляют высокоскоростную передачу данных и одновременно проводят детализированный анализ сетевых пакетов. 
Отслеживание метаданных
Мониторинг перемещения чувствительных данных. Риск использования таких инструментов связан с возможностью для шпионских программ выявить внутренние данные организации по метаданным, связанным с документами. 
Рекомендации
Оценка готовности и Оценка рисков

Организации могут повысить степень соответствия требованиям безопасности, прилагая усилия в следующих направлениях:
→ Обучение
→ Согласованные и последовательные политики
→ Измерение выгод от мер по обеспечению безопасности данных
→ Определение требований по безопасности данных для поставщиков
→ Формирование «чувства крайней необходимости»
→ Непрерывные коммуникации
Организационные и культурные изменения

Политики в области данных должны, с одной стороны, позволить компании успешно достигать поставленных целей, а с другой — обеспечивать надежную защиту чувствительной и регламентированной информации от ненадлежащего использования или несанкционированного доступа. При этом учет интересов всех заинтересованных сторон и минимизация рисков не должны существенно осложнять доступ к данным, необходимым для текущей работы.
Доступность информации о наборах прав пользователей

Каждый набор прав (определяющий совокупность элементов данных, которые становятся доступными для пользователя после его авторизации) должен тщательно проверяться на стадии внедрения системы на предмет наличия в нем прав доступа к какой-либо регламентируемой информации.
Обеспечение безопасности данных в условиях аутсорсинга

На аутсорсинг может быть передано всё, за исключением ответственности за результаты деятельности организации.

Аутсорсинг ИТ-услуг сопряжен с дополнительными проблемами и обязанностями в отноше- нии безопасности данных. В такой ситуации считавшиеся ранее неформальными роли и обязанности должны быть точно определены в виде контрактных обязательств. Договоры аутсорсинга должны содержать подробные описания обязанностей и ожиданий по каждой роли, а также механизмов контроля (например, SLA, ограничения ответственности, независимые мониторинг поставщика услуг и т.д.)
Обеспечение безопасности данных в облачных средах

Облачные вычисления, обеспечивающие использование распределенных по сети ресурсов для обработки данных и информации, являются логичным завершением перехода к предоставлению «всего как услуги» (Anything-as-a-Service, XaaS).
Политики защиты данных в такой ситуации должны учитывать распределение данных по различным моделям услуг. Это подразумевает максимально возможное применение внешних стандартов в области безопасности данных.
Подписывайтесь на новые выпуски проекта
Получайте обновления конспекта DMBOK2 себе на почту по мере их публикации