Главная » Разное

Учет как способ защиты информации

Содержание
  1. Технологии защиты информации в компании
  2. Базовые элементы информационной безопасности
  3. Разновидности угроз информационной безопасности
  4. Угрозы доступности
  5. Угрозы целостности
  6. Базовые угрозы конфиденциальности
  7. Методы защиты информации
  8. Инструменты организационно-правовой защиты
  9. Инструменты инженерно-технической защиты
  10. Криптографические инструменты защиты
  11. Программно-аппаратные инструменты для защиты сведений
  12. Информационная безопасность. Как бухгалтер может потерять данные в один клик
  13. Мотив воровства
  14. Кто отвечает в компании за защиту?
  15. Как происходит взлом?
  16. Как еще обезопасить важную информацию?
  17. Можно ли научиться информационной безопасности?

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Читайте также:  Традиционным способам получения электроэнергии относятся

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Источник

Информационная безопасность. Как бухгалтер может потерять данные в один клик

Больше материалов по теме «Говорит бухгалтер» вы можете получить в системе КонсультантПлюс .

Информационная безопасность — это создание системы защиты в организации для любых данных, особенно тех, что представляют коммерческую тайну или содержат личные данные (в том числе доступ к счетам, картам и т.п.) физических лиц, поиск и устранение уязвимостей защиты.

Мотив воровства

Иногда воры действуют группой, иногда поодиночке. Если они собираются, то обычно их объединяет какой-то общий стимул:

  1. Быстрые большие деньги. Период подготовки к взлому и краже может проходить долгое время, но само воровство — быстрый процесс, иначе утечку заметят и канал перекроют. Что касается похищения информации, то и здесь мотив — продажа ее на черном рынке. Сколько заплатят конкуренты, чтобы узнать первыми о прогрессивных разработках или перехватить выгодный тендер? А если удалось получить компромат (данные “серой бухгалтерии”), это, по мнению грабителей, отличный повод для шантажа. Мошенники никогда не размениваются на мелочи. Если взломали систему банка, из нее выведут миллионы, причем не рублей. Когда получили доступ к счету компании — его обнулят. Выгоднее, конечно, так поступать с крупными организациями или сразу снимать деньги со счетов сотен или тысяч клиентов банка, но и тогда взломают не сами фирмы (слишком трудоемко), а кредитную организацию.
  2. Базы данных. Они есть фактически у каждой компании. Ведете учет в специальной программе, где собраны сведения о ваших сотрудниках (ФИО, паспортные данные, номера телефонов, реквизиты счетов и т.д.), — вот вам и база. Здесь интерес похожий — получить деньги за возврат сведений или продать в даркнете. Вот откуда про вас узнают настойчиво звонящие спамщики.
  3. Промышленный шпионаж. О нем я уже сказала, но речь скорее о конкретном заказе, грабители идут и взламывают компанию целенаправленно, по предварительному сговору с заказчиком-конкурентом.
  4. Любопытство, желание выделиться. Хакеры могут вообще не иметь цели что-то похитить, просто показывают мастерство и превосходство над службой безопасности.

Кстати! Есть легальные соревнования, которые проводятся ежегодно с 2007 года — Pwn2Own. Участники соревнования тестируют программы и гаджеты, ищут уязвимости. Победители получают денежные призы и подарки.

  • Активистское движение. Выражение протеста оппозиционеров. Атакуемая компания, по их мнению, загрязняет окружающую среду, нарушает права работников или совершает другие незаконные действия.
  • Политика. Видели фильм с Брюсом Уиллисом (“Крепкий орешек 4”), где хакеры взламывают все сети: воду, электричество, сотовую связь и т.д.? Там, конечно, речь о террористах, но суть одна: если захотеть, можно взломать целый город или даже страну, и там воцарится хаос. Кибервойна давно не киносценарий, а реальность.

    • Кто отвечает в компании за защиту?

    Специалист по информационной безопасности имеет много специализаций. Есть те, кто отвечают за защиту облачных технологий, за безопасность сервисов и приложений, сетевую структуру и т.д. В общем, его функция — находить, уничтожать, предотвращать угрозы изнутри и извне, разрабатывать и внедрять систему безопасности.

    Существуют тестеры — они проводят тестовые взломы и пытаются проникнуть в системы так же, как это делают настоящие злоумышленники.

    Чтобы правильно организовать работу, специалист должен:

    • Мониторить информацию о тех, кто потенциально заинтересован во взломе (конкуренты, группировки, недовольные действия организации, бывшие сотрудники, уволенные за противоправные действия и т.п.).
    • Изучать имеющуюся систему безопасности и искать в ней бреши.
    • Разрабатывать новый алгоритм защиты или дорабатывать старый.
    • Проводить тестирование.
    • Отслеживать функционирование системы постоянно.
    • Действовать по принципу “никому не доверяй”, т.е. подозревать в потенциальной угрозе всех — от сотрудников до разработчиков ПО.

    Как происходит взлом?

    Способов очень много, но мы рассмотрим те, что касаются непосредственно работы бухгалтерии, кадров и иных аналогичных служб:

    1. “Вам письмо” — сообщает почтовый сервер и вы захотите проверить свой ящик. А там “Срочно! От ФНС города N, по возмещению НДС”. Разволновавшись, открываете письмо, где сказано, что вы отправили декларацию по НДС за второй квартал 2020 года с ошибками и список их прилагается в файле к письму. Открыв файл, вы запускаете вирус, попадающий на компьютер, его даже не заметит антивирусная программа (давно не обновляли, этот вид еще не попал в базу или маскируется очень хорошо). И пока вы разбираетесь, с жесткого диска скачивается информация и передается мошенникам по сети. Подобный способ использовали взломщики в 2016 году и позднее, рассылая письма крупным российским банкам, им удалось похитить немало денег со счетов. Как уберечься: проверяйте отправителя, не смотрите на надпись типа “ФНС” (т.е. имя отправителя), а именно на указанный почтовый ящик. Оригинальный, например, fns@nalog.ru, а поддельным окажется fns@nalog.com или fnc@nalog.ru. или вообще будет указан совершенно другой. Не открывайте спам-письма, а тем более приложения к ним из любопытства, надеясь на антивирус.
    2. Запаролено — защищено? Не совсем. С помощью писем пересылается программа-шпион, она станет считывать все нажатия клавиш, среди которых пароль. Вот вы садитесь за свой рабочий компьютер, включаете и вводите пароль к бухгалтерской программе и кто-то на другом конце страны узнает, как попасть в ваши базы. Удаленный доступ — дело техники. Как уберечься: сложно предотвратить целенаправленную атаку. Регулярно меняйте пароли к самым уязвимым базам, обновляйте антивирус ежедневно (лучше настроить автоматическое обновление). Вводите пароли с виртуальной клавиатуры. Сохраняйте информацию на недоступном из сети носителе — на флешке, внешнем жестком диске, чтобы осталась копия, если взломщики решат уничтожить изъятые сведения.
    3. Камеры мобильных или ноутбуков тоже могут быть опасны. Немало известно случаев, когда к ним подключались, записывали видео, выкладывали в сеть, получали компромат или узнавали ценные сведения. Чаще, правда, информация нужна для хулиганства. Как уберечься: самый простой способ — заклеить камеру кусочком непрозрачного скотча или стикером с картинкой, на телефоне носить чехол и держать его закрытым и камерой (если есть фронталка) вниз, пока не используете по назначению.
    4. Звонок. Звучит, как название фильма ужасов. На самом деле последствия действительно катастрофичны. Вам дозванивается “оператор колл-центра банка” или “представитель корпоративного мобильного оператора”, или даже “инспектор ПФР Иванов”. Дальше сценарии разные: сообщают о несхождении каких-то сведений, например, СНИЛС в СЗВ-М по сотруднику, подозрительных операциях по корпоративной карте, всем, что связано с персональными сведениями — данными карты, паспорта. Вас грамотно введут в заблуждение, предложат решить вопрос здесь и сейчас (“зачем вам слать уточненку по СЗВ-М, штраф получите, сейчас сверим СНИЛСы, я сама внесу правки”). Все полученные сведения используются для мошеннических целей. Как такового взлома здесь не происходит, но последствия настигнут именно в цифровом виде — в интернете пройдет оплата через корпкарту, сотрудники внезапно обнаружат — их накопления “переехали” из одного НПФ в другой, кто-то окажется обладателем микро-займа, полученного через сайт. Как уберечься: уточните, кто вам позвонил: должность, ФИО и конкретную организацию, откуда идет звонок, попросите оставить номер для связи (“я не могу сразу найти информацию, перезвоню через несколько минут”). В нормальном учреждении вам не откажут. Предупредите руководителя — данные корпоративной карты такие же секретные, как и личной.

    Важно! Если сидите за компьютером, а говорите по мобильному — наберите в поисковой строке браузера входящий номер (“кто звонит 81234567890”) и посмотрите на результат поиска. Существует много сайтов, где люди делятся информацией о мошеннических звонках, если там успел “засветиться” этот номер телефона, вы его найдете.

  • Отключенная защита. Удивительно, но иногда приходится отключать антивирус, чтобы настроить доступ к вполне обычным сайтам или сервисам: электронной торговой площадке, личному кабинету ЕИС или даже ФНС. Меня брандмауэр не хотел пускать на страницу поликлиники, самой настоящей. Потом проблему исправили (что-то с сертификатом сайта), но на время антивирус пришлось отключать. Как уберечься: за работой легко забыть о приостановке защиты — ставьте таймер на подключение антивируса, он восстановит обслуживание автоматически. Не отключайте его, если не уверены в подлинности сайта — проверьте еще раз адрес в браузерной строке.

    • Аналогично с электронной почтой — адрес для рассылки может быть чуть-чуть измененным и вести на завирусованную страницу. Вас должно насторожить, если вы сохраняли пароли и логины в браузере, но у вас вдруг снова просят их ввести, возможно, вы попали на фальшивый сайт.

    Недавно я пыталась попасть в личный кабинет на сайте, где веду работу с заказчиками, и обнаружила, что страница просит логин и пароль. Меня одолели сомнения, оказалось — умудрилась попасть на клон-сайт с почти таким же названием и оформленным один в один с оригиналом. Злоумышленники клонируют государственные сайты и страницы банков.

    Это не все возможности, используемые хакерами и просто мошенниками. Оставайтесь бдительными, не забывайте регулярно сохранять данные на внешних носителях. Восстановление бухгалтерии за последние годы или кадровых документов — дорогое и хлопотное удовольствие.

    Жертвами взломщиков становятся как крупные компании (вспомните хотя бы кражу данных клиентов Сбербанка в 2019 году), так и небольшие.

    Вот еще один вариант обмана — подмена счетов. Вам приходит письмо, вроде бы от постоянного поставщика с информацией, что изменились реквизиты и новый счет на поставку. Тут обычно не трудно проверить подделку — изменятся не только банковские реквизиты (наименование подстановочной фирмы может быть совершенно таким же), но и ИНН. Созвонитесь с контрагентом по обычным каналам связи и уточните реальность изменений.

    Как еще обезопасить важную информацию?

    Про сохранение на внешних носителях уже сказано, как еще обезопасить и сохранить данные:

    • Облачные сервисы или приложения. Оттуда добыть вашу информацию намного сложнее, чем просто скачать с компьютера, к тому же операторы заботятся об обеспечении многоступенчатой обороны, а данные архивируются. В случае чего восстановление пройдет намного проще.
    • Шифрование. Если хотите отправить кому-то важные сведения (например, передать новому удаленному бухгалтеру архив кадров), зашифруйте их. Для этого есть специальные программы, ставьте пароль на сам архив, назвав его коллеге по телефону (отсылать пароль и документы одним письмом, как понимаете, небезопасно).
    • Электронные архивы. Тоже технология облака, но в данном случае вы не ведете в программе учет, а просто сохраняете сканы оригинальных документов. Высокая степень защиты и ограничение доступа (в зависимости от функционала настройка прав пользователя — загрузку/выгрузку, редактирование, удаление и т.д.).
    • Использование максимально сложных комбинаций паролей. Если боитесь забыть — записывайте в небольшой блокнотик и носите всегда с собой. Да, везде не рекомендуют этого делать, но нереально запомнить большое количество данных, если у вас не одна компания, счет, программа и т.д.

    Важно! Не храните подобную информацию рядом с объектом доступа (листочки — напоминалки в топку!) и не сообщайте всем и каждому, что там у вас записано. Говорите, что это любимые стихи, вы их регулярно перечитываете (для конспирации, кстати, запишите парочку).

    • Не выбрасывайте и не храните без защиты старые карты, ключи с сертификатами, карты внутреннего доступа, SIMки. При утере сразу сообщайте в соответствующее ведомство: банк, мобильному или ЭДО оператору и блокируйте. Даже устаревшие, они могут послужить для целей взломщиков и уничтожаются физически либо хранятся в сейфе.

    Можно ли научиться информационной безопасности?

    Да, бухгалтер может освоить при желании эту специальность. Придется пройти обучение (существуют даже онлайн-курсы), но оно достаточно дорогое и требует некоторых базовых навыков:

    • Знание английского, хотя бы на начальном уровне с последующим совершенствованием.
    • Преимущество — ориентированность в сфере IT, современных технологий, активное пользование различными системами, базами, сервисами и приложениями.
    • Умение настроить локальную сеть, операционную систему для безопасной работы (в зависимости от уровня курса — новичок, специалист, профессионал — это могут преподавать прямо на занятиях).
    • Знание законодательства в области защиты информации (Закон о персональных данных, О защите в области информационных технологий), требований государственных органов: ФНС, Ростехнадзора, Центробанка и т.д.

    Не выбирайте исключительно теоретические курсы, без практики от них нет толка, разве что они бесплатные. Иногда на учебе преподают поиск уязвимостей при помощи тестирования (это фактически тот же хакинг, но легальный), но не рассказывают о защите. Важно уметь не только искать баги в системе, но и защищать ее.

    Источник

    Оцените статью
    Разные способы
    © 2024 Разные способы.
    Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.