1. Вступ
2. Що таке аудит внутрішньої інформаційної безпеки
3. Етапи та кроки внутрішнього аудиту інформаційної безпеки
4. Як проходить аудит внутрішньої інформаційної безпеки з програмою StaffCop Enterprise
5. Інформаційна безпека
6. Облік і контроль робочого часу
7. Адміністрування робочих місць
8. висновки

Аудит внутрішньої інформаційної безпеки за допомогою системи моніторингу дій користувачів StaffCop Enterprise дозволяє визначити слабкі місця системи захисту інформації та побачити картину інформаційних потоків в компанії, а також отримати статистику трудової дисципліни і використання робочого часу.

1. Вступ
2. Що таке аудит внутрішньої інформаційної безпеки
1. 2.1. Етапи та кроки внутрішнього аудиту інформаційної безпеки
3. Як проходить аудит внутрішньої інформаційної безпеки з програмою StaffCop Enterprise
1. 3.1. Інформаційна безпека
2. 3.2. Облік і контроль робочого часу
3. 3.3. Адміністрування робочих місць
4. висновки

Вступ

У загрози інформаційній безпеці більшість керівників до пори до часу не вірять. Звичайно, вони чули про витоки, скандалах, але вважають, що до них це не відноситься, у них все в порядку, державної таємниці немає, антивірус є. Але в тому-то і справа, що мова зовсім про віруси. Згідно зі статистикою останнього часу, зовнішні загрози, які б вони не були, наносять компаніям менше шкоди, ніж свої власні співробітники. Своїми умисними і ненавмисними діями вони можуть заподіяти компанії як великої матеріальної, так і нематеріальний збиток - втрату репутації.

Якщо ми не бачимо загроз, це не означає, що їх немає. Ми часто робимо помилку, думаючи, що, напевно, інші теж знають те, що знаємо ми. Наприклад, що не варто користуватися особистою поштою на безкоштовному сервері для відправки робочих документів або що не варто їх викладати в хмарні сховища. Крім того, якщо у нас все в порядку з моральними нормами, нам складно підозрювати інших людей, особливо своїх співробітників, в моральній неохайності. Тому виявлення неприємних фактів викликає подив. Але, оскільки ми тут говоримо про організації, то не хотілося б стикатися з такими фактами, як судові витрати, недоотримання прибутку, псування і розкрадання обладнання. І, тим більше, небажано ризикувати репутацією і втрачати довіру клієнтів і партнерів. Від таких дій хотілося б захиститися, попередити їх. Але інша крайність - тотальна захист - призводить до величезних витрат на забезпечення безпеки. Як дотримати баланс: не впасти в параною, але захиститися на випадок зловмисних або просто несвідомих дій? Потрібно визначити можливі ризики: що може трапитися, а що не може. Для цієї мети служить аудит інформаційної безпеки.
Що загрожує інформаційній безпеці зсередини

Інтерес керівників до інформаційної безпеки найчастіше починається тоді, коли трапляється щось, наприклад, звільняється продажник і забирає з собою клієнтську базу. Але це далеко не єдина і не найнебезпечніша загроза. У будь-якої компанії є комерційна таємниця - інформація, яка, потрапляючи в чужі руки, позбавляє компанію переваги на ринку або в своєму сегменті. Інформацію не обов'язково навіть викрадати, іноді досить її пошкодити або зробити недоступною, і вона вже обнуляється, оскільки її не можна використовувати. Можна навіть її злегка змінити, наприклад, в свою користь, і компанія, не підозрюючи про каверзу, перераховує кошти замість постачальника своєму спритному співробітнику. Трапляються менш небезпечні, але хворобливі проступки: використання дорогого ліцензійного програмного забезпечення в особистих цілях або в роботі на іншого роботодавця, Майнінг криптовалюта, сторонні заняття в робочий час. Все це так чи інакше завдає компанії збитки. Крім того, в компаніях, як правило, є інформація, яка, будучи вирвана з контексту або неправильно витлумачена, може заподіяти збиток репутації.

Є кілька основних видів інформаційних активів, які слід захищати: це власне інформація, інфраструктура, персонал, імідж і репутація компанії. Відповідно, внутрішні загрози ІБ - це можливі дії співробітників з інформаційними активами, умисні чи ні, які можуть мати негативні наслідки для компанії. До таких дій відносяться, наприклад, передача інформації тим, від кого хотілося б її приховати, - зловмисникам або конкурентам, шахрайські дії з грошима компанії, реалізація товару в свою користь тощо.

Що таке аудит внутрішньої інформаційної безпеки

Аудит внутрішньої ІБ - це дії, що дозволяють визначити, які ризики мають місце або можливі, а які неактуальні для конкретної організації. В результаті виникає модель загроз, на основі якої можна провести ідентифікацію вразливостей. Розробка моделі загроз - це серйозна робота, яку може провести безпечники-професіонал або спеціалізована компанія. Можна також самостійно провести аудит для того щоб дізнатися, які первинні дії потрібно зробити для захисту інформації.

Етапи та кроки внутрішнього аудиту інформаційної безпеки

1. Інвентаризація активів. Для початку потрібно зрозуміти, що потрібно захищати, яка інформація обробляється в компанії, як і де вона обробляється, наскільки критичні її втрата або пошкодження, тобто в яких цифрах обчислюється збиток.
2. Ранжування загроз. Слід всі ризики вибудувати по частоті, можливості виникнення, величиною можливого збитку.
3. Ідентифікація вразливостей. Потрібно зрозуміти, в оточенні яких активів є уразливості, які варто захистити.
4. Побудова гіпотези. Потрібно уявити собі послідовність кроків, в результаті якої відбудеться порушення інформаційної безпеки.
5. Перевірка гіпотези: збір статистики, які інциденти мають місце, наскільки часто, де і яким чином.

Отримана інформація може бути використана для розробки політики інформаційної безпеки та комплексу технічних і організаційних заходів щодо її виконання.

Як проходить аудит внутрішньої інформаційної безпеки з програмою StaffCop Enterprise

Система моніторингу дій користувачів StaffCop Enterprise - це програма, яка дозволяє контролювати інформаційний обмін та стан інформаційних ресурсів. З її допомогою можна самостійно провести аудит внутрішньої інформаційної безпеки, отримати статистику вразливостей, а також повну інформацію про події, що інциденти. Система дозволяє на доступних ресурсах отримати найрізноманітніші дані і представити їх у вигляді, зручному для аналізу.

Архітектура. StaffCop Enterprise має клієнт-серверну архітектуру, тобто складається з серверної частини, яка розміщується у клієнта, і програм-агентів, які встановлюються на комп'ютерах користувачів і збирають інформацію про їхні дії. Інформація обробляється в серверній частині. Повнота збору даних про той чи інший користувача залежить від налаштувань.

Як налаштовувати? Для настройки системи компанія-розробник, «Атом Безпека», пропонує клієнтам запитальник, який можна заповнити письмово або відповісти на питання усно. Це допоможе адаптувати систему під специфіку вашої організації і під ваші завдання.

Збір інформації. Після розгортання програми і проведення настройки система починає збирати інформацію. Сигнали про інциденти надходять на комп'ютер відповідального співробітника або керівника негайно, інша інформація формується в звіти відповідно до настройками. При необхідності можна сформувати звіт будь-якої структури, використовуючи зібрану інформацію.

Інформація в StaffCop Enterprise структурується за трьома основними напрямками: власне інформаційна безпека, облік робочого часу і адміністрування робочих місць.

Інформаційна безпека

Звіти програми дозволяють побачити, як курсує інформація в компанії і в якому напрямку йде за її межі. Слід розуміти, що витік інформації виникає не тоді, коли папараці опублікували ваші конфіденційні документи в ЗМІ, а тоді, коли ці документи покинули захищається периметр компанії. Це може відбуватися через особисту пошту співробітників, форуми інших сайтів, хмарні сховища, месенджери, USB-носії і т. П. У багатьох компаніях є правила безпеки, які визначають, якими каналами можна користуватися, а які під забороною. Чи дотримуються співробітники ці правила? Спілкуються чи з конкурентами? Відводять чи інформацію для себе (наприклад, перед звільненням) або в інтересах третіх осіб? Не завжди ваші уявлення про це відповідають реальному стану справ. Система моніторингу покаже вам, що відбувається насправді.

Спостереження за групою ризику - особлива стаття. У співробітників безпеки завжди є інформація, на яких співробітників слід звернути підвищену увагу: вони помічені в непристойному поведінці або порушення трудової дисципліни. На них можна зібрати повне досьє: з якими документами працюють, з ким контактують, якими програмами і сайтами користуються, з якими співробітниками і третіми особами спілкуються. Часто буває, що вже в тестовий період служба безпеки отримує інформацію, що вимагає негайних дій.

Які події відображаються? Операції з файлами, знімок екрана, час активності, відвідування сайтів, використання месенджерів, відео робочого столу, заповнення веб-форм, підключення до FTP-серверів, пошукові запити, друк документів і ін.

Малюнок 1. Типи подій в StaffCop Enterprise і їх відображення їх інтенсивності на теплової діаграмі

Облік і контроль робочого часу

Ви знаєте, скільки реально працюють ваші співробітники, яку частину робочого часу вони проводять у конструктивній діяльності відповідно до посадової інструкції? Змушені вас розчарувати. Ось результати опитування порталу «Хабрахабр», що показують, як люди говорять про себе:

Малюнок 2. Самооцінка людей по використанню робочого часу (статистика сайту habrahabr.ru)

У реальності картина інша. За даними системи StaffCop Enterprise, більше половини співробітників проводять за продуктивною діяльністю 50% часу і менше. На підставі яких даних?

Система аналізує не просто перебування співробітника на робочому місці, а його дії: мережеву активність, роботу з документами, комунікації. При цьому роботу з тими чи іншими додатками можна налаштовувати як продуктивну / непродуктивну. Наприклад, час у соцмережах для SMM-фахівця буде продуктивним, а для бухгалтера - немає.

За тестовий період можна зібрати статистику про використання робочого часу:

1. Про трудову дисципліну, запізнення і переробках, прихід і відхід. Програма фіксує не просто включення / вимикання обладнання, а активність співробітника: натискання клавіш або маніпуляції мишкою.
2. Якими мережевими ресурсами користуються співробітники. Ви побачите, скільки часу співробітники проводять в Мережі, на яких саме сайтах, дізнаєтеся топ продуктивних і непродуктивних додатків.
3. На що співробітники витрачають свій робочий час. Ви побачите статистику продуктивності по відділах, дізнаєтеся, якщо співробітники використовують ресурси компанії не за призначенням, зможете бачити виконання KPI.

Ви зможете отримати статистику по відділах і по кожному співробітнику, отримати середню продуктивність і порівнювати з цим показником дані кожного співробітника. Наприклад, робочий день менеджера з продажу - 9 годин, з яких 1 годину - це перерва на обід. В одному відділі середнє активне час - 5,5 годин, в іншому 4,5. Для того щоб правильно інтерпретувати цю статистику, її потрібно зіставляти з посадовими інструкціями. Але ви отримаєте повну базу для такого аналізу.

Малюнок 3. Звіт «Продуктивне час по відділах» в StaffCop Enterprise

Формуються звіти: облік робочого часу, зміна продуктивності, звіт по активності за період, продуктивне / активний час по відділах, зведений звіт, статистика по днях, звіт по запізнень, топ непродуктивності, табель активності, табель відсутності на робочому місці, табель використання принтера, стрічка подій, детектор аномалій та ін.

Малюнок 4. Звіт «Облік робочого часу» в StaffCop Enterprise

Адміністрування робочих місць

Система формує звіт про програми та обладнанні, встановлених на комп'ютерах співробітників, в тому числі на віддалених робочих місцях. Наприклад, вона дасть знати, якщо співробітник зняв з комп'ютера дорогу відеокарту і замість неї встановив дешеву. Також можна буде відстежувати запуск програм, які не мають відношення до роботи співробітника, спробу встановити неліцензійне програмне забезпечення та ін. Можна проводити інвентаризацію пристроїв і додатків на робочих станціях.

Малюнок 5. Приклад звіту «Інвентаризація - Пристрої» в StaffCop Enterprise

Малюнок 6. Спостереження за робочими столами співробітників в режимі реального часу в StaffCop Enterprise

Результати аудиту внутрішньої інформаційної безпеки можна отримати як у вигляді генералізованих звітів, так і з прицілом на конкретну проблему. У їх інтерпретації можуть допомогти як фахівці служби підтримки компанії «Атом Безпека» - розробника системи StaffCop Enterprise , Так і фахівці власної служби безпеки, HR-відділу, лінійні керівники. Отримані дані можна використовувати для розробки політики безпеки і супутніх документів і регламентів, а також для корекції бізнес-процесів, аналізу атмосфери в колективі, оцінки лояльності та ін.

висновки

Аудит внутрішньої інформаційної безпеки - це перше, з чого слід почати, якщо ви вирішили зайнятися інформаційною безпекою всерйоз. Це не те питання, яке можна закрити одноразовим простим дією. Доведеться перебудувати підходи до створення внутрішнього регламенту, відбору співробітників, проектування бізнес-процесів. Найкраще, якщо базові принципи інформаційної безпеки увійдуть в повсякденне життя на рефлекторному рівні, оскільки легше не буде. Розвиток технологій, разом з незаперечними перевагами, несе і нові ризики. І краще б нам усім бути професіоналами інформаційної безпеки.

Гарна новина полягає в тому, що при системному підході можна протистояти загрозам і вирішувати проблеми в міру їх надходження. Але готуватися до них слід з відкритими очима, тоді вдасться мінімізувати втрати або не допустити їх.