Настанови з кібербезпеки від експертів

НАСТАНОВИ З

КІБЕРБЕЗПЕКИ ВІД

ЕКСПЕРТІВ

3

3

ПЕРЕДМОВА

КIБЕРБЕЗПЕКА: КРИТИЧНО ВАЖЛИВЕ ЗАВДАННЯ ДЛЯ КОЖНОЇ ОРГАНIЗАЦIЇ

Шановний читачу!

Створюючи цю брошуру, ми прагнули, аби ви

відчули себе більш комфортно в тому, що

стосується вкрай важливого та актуального

аспекту: інформаційної безпеки.

Кожного дня у свiтi стається безлічвсіляких

кiберзлочинiв або

випадківнедобросовісноїповедінки в

кiберпросторi. Багато хто просто ігнорує або не

розголошує це, в той час як у iнших таке викликає

значну занепокоєність. Кілька серйозних

інцидентів кiбербезпеки нещодавно мали місце

також i в нашійкраїні.

Стає все бiльш очевидним, що уряди деяких країн

готовi iнвестувати значнi кошти в збирання цiнної

iнформацiї, адже мова заходить про таке явище

як кiберзлочиннiсть, панiка, невiгластво або

недбалiсть є геть недоречними.

Сподiваємося, що настанова принесе користь всiм

вiдповiдальним керiвникам компанiй в нашiй

країнi.

Надiя Васильєва

Директор

ТОВ «Майкрософт Україна»

До того ж, таке управління допоможе запобігти

нанесенню компанії значної шкоди через усе

види недбалої поведінки, що поширюються в

сьогоденному кiберсвiтi соціальних мереж та

персоналізованих пристроїв i додатків.

Ми бажаємо, щоб завдяки вашому прагненню до

більшого захисту було досягнуто нового рівня

корпоративної культури та ефективності

забезпечення інформаційної безпеки вашої

організації в сучасному цифровому середовищі,

що постійнозмінюється.

Ця брошура ознайомить вас із ключовими

аспектами інформаційної безпеки та

міститьперелік контрольних питань, які було

розроблено задля сприяння більш легкому

впровадженню наданих рекомендацій.

Олексiй Янковський

Президент

Київське відділення міжнародної професійної

асоціації ISACA

9

ЗМIСТ

ПЕРЕДМОВА 3

ЯКА МЕТА СТВОРЕННЯ НАСТАНОВ З КIБЕРБЕЗПЕКИ? 5

ЯК КОРИСТУВАТИСЯ ЦIЄЮ НАСТАНОВОЮ? 10

9 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ 13

А. БАЧЕННЯ 13

Принцип 1: Не обмежуйтесь лише технологiєю 13

Принцип 2: Звичайного забезпечення вiдповiдностiнедостатньо 14

Принцип 3: Сформулюйте ваше прагнення до безпеки як полiтику в галузi iнформацiйної

безпеки

14

А.ОРГАНIЗАЦIЯ ТА ПРОЦЕСИ 15

Принцип 4: Створіть роль відповідального за забезпечення безпеки і визначте

персональну відповідальність

15

Принцип 5: Підтримуйте належний рівень безпеки у разі використання послуг аутсорсингу

Принцип 6: Зробіть вимоги безпеки рушійною силою для інновацій

16

Принцип 7: Регулярно перевiряйте себе 17

А.КОНЦЕПЦIЯ МИСЛЕННЯ 17

Принцип 8: Вiрно розставляйте акценти 17

Принцип 9: Будьте пiдготовленi до реагування на iнциденти iнформацiйної безпеки 18

10 ОСНОВНИХ ДIЙ IЗ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ 19

Дiя 1: Обiзнанiсть та iнструктування користувачiв 19

Дiя 2: Оновлення систем 20

Дiя 3: Захист iнформацiї 20

Дiя 4: Система безпеки мобiльних пристроїв 21

Дiя 5: Надання доступу до даних виключно за принципом службової необхiдностi 22

Дiя 6: Запровадження правил безпечного користування мережею Iнтернет 22

Дiя 7: Використання надiйних паролiв та їхнє збереження 23

Дiя 7: Використання надiйних паролiв та їхнє збереження 24

Дiя 8: Створення та перевiрка резервних копiй корпоративних даних та iнформацiї 25

Дiя 9: Застосування багаторiвневого пiдходу до захисту вiд вiрусiв та iнших шкiдливих

програм

26

Дiя 10: Попереджуйте, виявляйте та дiйте 27

АНКЕТА САМООЦIНКИ РIВНЯ БЕЗПЕКИ 30

ПРИКЛАДИ З ПРАКТИКИ В ГАЛУЗIIНФОРМАЦIЙНОЇ БЕЗПЕКИ 46

Приклад 1: Велика нацiональна компанiя (промислова), задiяна в мiжнароднiй торгiвлi 47

Приклад 2: Компанiя роздрiбної торгiвлi з представництвом в мережiIнтернет 47

Приклад 3: Бухгалтерська контора 48

Приклад 4: Стартап 49

КОНТАКТИ ОРГАНIЗАЦIЙ З IНФОРМАЦIЙНОЇ БЕЗПЕКИ 50

НАЙБIЛЬШ ПОШИРЕНI КЕРIВНI ПРИНЦИПИ ТА СТАНДАРТИ З 58

КIБЕРБЕЗПЕКИ ТА IНФОРМАЦIЙНОЇ БЕЗПЕКИ 59

ПЕРЕЛIК ВИКОРИСТАНОЇ ЛIТЕРАТУРИ 59

10

ЯКА МЕТА СТВОРЕННЯ НАСТАНОВИ З КІБЕРБЕЗПЕКИ?

ЦЕЙ РОЗДIЛ НЕ ПРИЗНАЧЕНИЙ ДЛЯ ТОГО, ЩОБ НАЛЯКАТИ ВАС, ПРОТЕ ТАКЕ МОЖЕ СТАТИСЯ!

Ризики для безпеки на підйомі

Кожного дня всi ми як на особистому, так i на корпоративному рiвнi пiддаємося загрозам, що виходять з

кiберпростору. У бiльшостi випадкiв ми навiть не усвiдомлюємо наявнiсть таких загроз або не реагуємо на них

вiдповiдним чином. Засоби масової iнформацiї щодня звiтують про рiзнiiнциденти, пов’язанi з iнформацiйною

безпекою, та про їхнiй вплив на нас як на окремих людей або як на юридичнi особи. Такiiнциденти є лише

верхiвкою айсберга, i ми всi набагато бiльше пiдданi їхньому впливу, нiж ми власне вважаємо, i, на жаль, ризики

для безпеки в мережiIнтернет невпинно зростають. Ризик для iнформацiйної безпеки можна розглядати як

результат поєднання трьох чинникiв: наявнiсть активiв, їхня уразливiсть i загрози для них (при цьому ступiнь

уразливостi активiв обумовлює рiвень їхньої потенцiйної вiдкритостi до загроз).

На жаль, за останнi роки значення всiх трьох чинникiв iстотно зросло:

1. Iнформацiя1 та iнформацiйнi системи є активами. Ми маємо бiльше iнформацiї в електронному виглядi,

нiж будь-коли ранiше, та залежимо вiд коректного, тобто безпечного функцiонування систем, якi її зберiгають i

обробляють.

2. Ми винайшли та використовуємо "хмарнi" середовища зберiгання та обмiну даними, соцiальнi мережi,

мобiльний зв'язок та iншi новiiнструменти i новi технологiї.

Ця еволюцiя технологiй триватиме та надалi збiльшуватиме нашу залежнiсть вiд нормального функцiонування

рiзних систем. Тим не менше, цi технологiї також приносять з собою новiвразливостi, з якими компанiї не

завжди готовi мати справу.

3. Останнiм, але не менш важливим фактором є те, що кiлькiсть кiберзагроз зросла, так само як їхня

витонченiсть та ефективнiсть, що не може не викликати загального занепокоєння.

Отже, маємо тiльки поганi новини? Не зовсiм.

Доброю новиною є те, що протягом останнiх кiлькох рокiв було сформоване бiльше розумiння

проблеми кiберзагроз, що призвело до розробки та вжиття вiдповiдних контрзаходiв. Вже розпочато

безлiч ефективних iнiцiатив на урядовому iiнституцiональному рiвнях, але вони ще не в достатнiй мiрi

взятi на озброєння представниками корпоративного свiту. У корпоративному свiтi все ще панує

невизначенiсть стосовно того, "що" i "як робити", аби знизити ризики, що надходять вiд кiберзагроз.

Зазвичай, бiльшу iнiцiативу проявляють великi мiжнароднi компанiї, хоча тi самi загрози та ризики в

рiвнiй мiрi поширюються також на представникiв середнього i сiмейного бiзнесу. Однак, навiть у

великих компанiях iнiцiативи з iнформацiйної безпеки часто не отримують належної пiдтримки на

найвищому рiвнi керiвництва. Тим не менш, ми вважаємо, що питання iнформацiйної безпеки повинні

бути у порядка денному кожного пiдприємства незалежно вiд його масштабiв, рiвня складностi та

характеру комерцiйної дiяльностi, а також має бути усвiдомлене кожним спiвробiтником пiдприємства.

Багато компанiй забезпечують надiйний захист своїх реальних активiв – обладнання, устаткування,

персоналу. Найчастiше це є питанням здорового глузду i навiть звичаєм, що передбачає використання

пiдприємством служби фiзичної безпеки та охорони здоров'я персоналу в своїй дiяльностi. Тим не

менш, iнформацiя також є цiнним активом, та її крадiжка, втрата, неправильне використання,

несанкцiоноване змiнення i розкриття можуть мати серйозний вплив та наслідки. Ноу-хау організації та

дані є найбiльш важливими активами будь-якої компанiї.

Організації мають забезпечити конфіденційність, цілісність та доступність своїх даних. Цi три цiлi безпеки

спiввiдносяться з трьома основними питаннями: "Хто бачить данi?", "Чи було данi пошкоджено?" та "Чи

можу я отримати доступ до даних, коли менi це потрiбно?"

11

Персонал має бути вiдповiдальним

Вiд керiвникiв пiдприємства не вимагається ставати експертами в галузi кiбербезпеки. Тим не менш, вони мають

за обов'язок захищати корпоративнi активи. Таким чином, директори мають делегувати вiдповiдальнiсть за

корпоративну кiбербезпеку керiвникам нижчих рiвнiв пiдприємства i зовнiшнiм експертам, якi повиннi

забезпечити, щоб корпоративна кiбербезпека залишалася постiйним питанням для контроля з боку вищого

керiвництва i постiйно вживалися необхiднi заходи для захисту корпоративної iнформацiї.

Зберiгання та обробка особистих даних в електронному форматi передбачає значнi зобов'язання для

пiдприємства, адже саме воно несе вiдповiдальнiсть за управлiння даними i, отже, має забезпечити вiдповiдний

рiвень безпеки. Тому пiдприємство має вжити вiдповiдних заходiв для захисту даних вiд випадкового або

незаконного знищення i задля запобiгання їхньому несанкцiонованому використанню або змiнi.

На додаток до iнших санкцiй законодавством передбаченi певнi мiри покарання. Проект Регламенту ЄС щодо

Захисту Даних встановлює бiльшу суворiсть санкцiй, i пiдприємству може бути наказано виплатити значну

компенсацiю збиткiв особам, чиї персональнi данi не було збережено належним чином. Вiдповiдно до

Проекту Регламенту ЄС щодо Захисту Даних у разi несанкцiонованого використання третiми особами

персональних даних, що зберiгаються пiдприємством або компанiєю, у разi втрати даних або будь-якого

iншого вiдповiдного порушення, компанiя повинна негайно iнформувати Уповноважений державний орган iз

захисту прав суб'єктiв персональних даних, а також вiдповiдну особу, якщо iснує вiрогiднiсть, що витiк даних

може негативно вплинути на недоторканнiсть приватного життя такої особи.

Час дiяти

Iнциденти, пов’язанi з iнформацiйною безпекою, можуть мати безлiч наслiдкiв, не обмежуючись втратою

даних або iнформацiї. Негативний вплив на репутацiю вашої компанiї може бути довготривалим i мати

серйознi фiнансовi наслiдки.

ЧОМУ?

Просто офiцiйно декларувати, що захист iнформацiї компанiї є обов'язком кожного спiвробiтника не

достатньо. Необхiдно забезпечити усвiдомлення цього обов’язку персоналом всiх рiвнiв вашої компанiї та

запровадити ефективнi принципи безпеки в повсякденнiй роботi. Такi принципи мають базуватися на

пiдходi здорового глузду i вiдповiдати специфiцi конкретної компанiї для забезпечення їхньої стабiльної

ефективностii можливостi впровадження як в межах великих, так i малих компанiй, уникаючи

"унiверсального" пiдходу.

Запровадження професiйного управлiння iнформацiйною безпекою передбачає здiйснення

наступних шагiв:

(A) розробка корпоративного бачення та принципiв управлiння iнформацiйною безпекою, якi

повиннi бути iнтегрованi в полiтицi iнформацiйної безпеки;

(B) запровадження зазначеної полiтики в межах органiзацiї та поширення на її структуру i процеси шляхом

визначення вiдповiдних повноважень та обов'язкiв персоналу;

(C) створення належної корпоративної культури, концепцiї мислення та принципiв поведiнки шляхом

впровадження принципiв належної iнформацiйної безпеки. Комбiнацiя зазначених дiй дозволить вашiй компанiї досягнути стiйких результатiв в галузiiнформацiйної

безпеки. Iндивiдуальна вiдповiдальнiсть та звичайна дисциплiнованiсть, а не складнi технологiї захисту, є

найпершими i найпростiшими дiями, якi можуть значно полiпшити вашу iнформацiйну безпеку. Ми нiколи

не зможемо досягти стовiдсоткової безпеки, але це не повинно змусити нас припиняти спроби. Ця

настанова, написана представниками корпоративного свiту, має допомогти компанiям у їхньому прагненнi

до забезпечення бiльш ефективної та сталої iнформацiйної безпеки.

1Конфiденцiйна iнформацiя про компанiю може включати в себе фiнансовi данi, данi спiвробiтникiв, клiєнтiв та постачальникiв, прайс-листи, протоколи засiдань Ради Директорiв.

ЯК КОРИСТУВАТИСЯ ЦIЄЮ НАСТАНОВОЮ?

ПОЧНІТЬ З ЦЬОГО

12

1) ПРОЧИТАЙТЕ розділ про10 основних принципів безпеки та 10 найпростіших заходів безпеки

2) НАДАЙТЕ ВІДПОВІДІ на16 питань анкети самооцінки рівня безпеки

3) ПЕРЕГЛЯНЬТЕ питання із контрольного переліку із «червоними» чи помаранчевими» відповідями

4) ВПРОВАДЖУЙТЕ дії із підвищення рівня безпеки

5) РЕГУЛЯРНО здійснюйте оцінку стану інформаційної безпеки

(A) БАЧЕННЯ

(B) ОРГАНІЗАЦІЯ ТА ПРОЦЕСИ

(C) КОНЦЕПЦІЯ МИСЛЕННЯ

13

14

15

10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ Iснує низка ключових принципiв, якi необхiдно розглядати в якостi основи для ефективного забезпечення

iнформацiйної безпеки. Пiдхiд до iнформацiйної безпеки у рiзних компанiй може вiдрiзнятися в залежностi вiд

характеру дiяльностi, рiвня ризику, факторiв навколишнього середовища, нормативних вимог та масштабу

компанiї. Отже, основнi принципи поширюються на всi компанiї незалежно вiд їхнього розміру або галузi, в якiй

вони здiйснюють дiяльнiсть. В цiй настановi представленi 10 основних принципiв, якi вiдносяться до трьох

напрямкiв управлiння iнформацiйною безпекою:

(A) бачення

(B) органiзацiя та процеси

(C) концепцiя мислення

доповнені переліком обов’язкових обов’язкових заходiв iз забезпечення безпеки. Дотримання

принципiв та здiйснення дiй, запропонованих в цiй настановi, значно пiдвищить стiйкiсть компанiї до

кiбератак i знизить негативнi наслiдки у разi останнiх.

1.– НЕ ОБМЕЖУЙТЕСЬ ЛИШЕ ТЕХНОЛОГIЄЮ – Iнформацiйну безпеку слiд розглядати в найширшому сенсi, а не тiльки з точки зору iнформацiйних технологiй.

Виходячи з даних дослiджень1, 35% iнцидентiв iнформацiйної безпеки є радше результатом людської помилки,

анiж навмисної кiбератаки. Бiльше половини з решти 65% iнцидентiв, якi власне є наслiдком навмисної

кiбератаки, можна було б уникнути, якби постраждалi особи працювали з iнформацiєю в бiльш безпечний

спосiб.

Це очевидно вказує на необхідність розгляду інформаційної безпеки як сукупність факторів, як люди,

процеси та технологiї. Важливо усвiдомлювати, що iнформацiйна безпека є не лише питанням, пов’язаним

iз iнформацiйними технологiями, а натомiсть є суттєвим аспектом, що поширюється на дiяльнiсть всiєї

компанiї в цiлому.

Реалiзацiя заходiв безпеки не повинна бути обмеженою лише IТ-вiддiлом, а

радше здiйснюватися в масштабi всiєї компанiї, охоплюючи всi процеси. Таким

чином, сфера застосування i власне концепцiя iнформацiйної безпеки

поширюються на людськi ресурси, продукти компанiї, обладнання, процеси,

корпоративнi полiтики, процедури, системи, технологiї, мережi та данi. Зрiлi

компанiї розглядають iнформацiйну безпеку як бiзнес-вимогу, безпосередньо

пов'язану зi стратегiчними цiлями, завданнями пiдприємства, корпоративними

полiтиками, управлiнням ризиками, вимогами щодо дотримання вiдповiдностi

тапоказникамипродуктивностi. Керiвний персонал компанiї на всiх рiвнях має

усвiдомлювати, яким чином iнформацiйна безпека сприяє подальшому

стимулюванню ефективної дiяльностi компанiї.

Серед переваг компанiї, яка розглядає iнформацiйну безпеку як

iнструмент пiдвищення ефективностi дiяльностi та не обмежується

виключно IТ-технологiями, можна визначити такi:

Стратегiчнi: вдосконалення процесу корпоративного прийняття рiшень завдяки бiльш чiткiй

"видимостi" ризикiв.

Фiнансовi: зменшення витрат, яке дає позитивний економічний ефект.

Оперативнi: ефективне планування забезпечення безперервної роботи i вiдновлення

функцiонування.

10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ

1 Згiдно iз результатами дослiдження "Глобальне дослiдження 1111iнформацiйної безпеки-2012 – Прагнення лiквiдувати недолiки",

.

16

A. БАЧЕННЯ

2.– ЗВИЧАЙНОГО ЗАБЕЗПЕЧЕННЯ

ВIДПОВIДНОСТI НЕДОСТАТНЬО –

Компанiї мають забезпечувати вiдповiднiсть численним законам i

нормативним актам, багатьма з яких регламентоване запровадження

вiдповiдних заходiв безпеки. Відповідність цим законам, нормативним

актам і стандартам сприяє поліпшенню рівня інформаційної безпеки.

Однак, занадто часто єдиною метою залишається виключно забезпечення

відповідності нормативним вимогам. Оскільки забезпечення

відповідності нормативним вимогам завжди пов’язане з конкретними

аспектами, комплексний підхід на основі оцінки ризиків часто не

застосовується. Наприклад, в процесі забезпечення відповідності

вимогамщодо забезпечення конфіденційності даних, компанія зосереджує

зусилля лише на забезпеченні захисту персональних даних, а при

виконанні вимог щодо контролю за процесом складання фінансової звітності організація буде

зосереджена на забезпеченні цілісності фінансових даних.

У зв’язку з цим, необхiдно усвiдомлювати два важливих аспекта:

Перш за все, забезпечення вiдповiдностi нормативним вимогам не обов'язково означаєзабезпечення

інформаційної безпеки. Цiлi в галузi безпеки, зазначенi в законах, нормативних актах i стандартах, є завжди

частиною загальних цiлей в сферi корпоративної безпеки компанiї. Тому запровадження передових практик

безпеки комерцiйної дiяльностiнапевно буде сприяти забезпеченню або забезпечить вiдповiднiсть

нормативним вимогам, одночасно задовольняючи власні бізнес-потреби.

По-друге, дiї компанiї, спрямованi на забезпечення безпеки, повиннi бути гармонiзованi та, якщо можливо,

інтегровані з діями щодо забезпечення відповідності нормативним вимогам та з іншими подібними діями. Це

дозволить уникнути дублювання численних різноманітних корпоративних заходів та зобов’язань.

3. – СФОРМУЛЮЙТЕ ВАШЕ ПРАГНЕННЯ ДО БЕЗПЕКИ

ЯК ПОЛIТИКУ В ГАЛУЗIIНФОРМАЦIЙНОЇ БЕЗПЕКИ – Забезпечення інформаційної безпеки є бізнес потребою, а не обмежується лише технологічними аспектами.

Необхідність захисту інформації та інформаційних систем викликана необхідністю забезпечувати підтримку

бізнес-цілей. Дотримання керівних принципів, викладених у політиці безпеки, забезпечує практичну реалізацію

концепції безпеки. Як правило, це забезпечується політиками верхнього рівня та відповідними настановами і

стандартами, положення яких з рештою впроваджуються в операційні процедури.

Розробка корпоративної полiтики в галузiiнформацiйної безпеки є вiдправним пунктом для застосування

пiдходу до забезпечення iнформацiйної безпеки та здiйснення супутнiх видiв дiяльностi.

Наявність корпоративних політик інформаційної безпеки забезпечуєнизку переваг:

• допомога компанії у демонструванні відповідального підходу до забезпечення захисту

найважливіших інформаційних активів;

• забезпечення базового рiвня iнформацiйної безпеки для всіх підрозділів та персоналу в межах

всієї компанії, а також;

• пiдвищення рiвня обiзнаностi щодо вимог iнформацiйної безпеки.

17

До захисту корпоративної iнформацiї має в достатнiй мiрi долучатися персонал на всiх рiвнях компанiї, з тим

щоб забезпечити адекватне реагування на поточнii потенцiальнi загрози безпецi в масштабi всiєї компанiї.

Отже, вищому керiвництву необхiдно наочно демонструвати свою участь в управлiннi процесом дотримання

полiтики iнформацiйної безпеки компанiї.Вище керiвництво має забезпечити наявнiсть достатнiх ресурсiв – як

фiнансових, так i людських, якi мають бути видiленi з метою iнформацiйного захисту компанiї. Офіційне

затвердження полiтики iнформацiйної безпеки компанiї є демонстрацiєю її активної підтримки з боку вищого

керiвництва. Вищому керівництву необхiдно усвiдомлювати i декларувати важливiсть зниження кiберризикiв в

якостi суттєвої умови успiшної дiяльностi компанiї i убезпечення iнтелектуальної власностi. Захищенiсть

корпоративної iнформацiї є ключовим фактором, що впливає на здатнiсть компанiї реалiзовувати продукцiю

або послуги своїм клiєнтам на конкурентнiй основi. Належно оформлені звіти щодо ефективності та

адекватності виконання заходів інформаційної безпеки мають надаватися:

найвищому органу з питань безпеки у вашiй компанiї на регулярнiй основi;

вищому керiвництву та радi директорiв принаймнi один раз на рiк.

Звіти повинні базуватися на декількох індикаторах інформаційної безпеки і метриках та мають показати

наскільки ефективно компанія захищає свої активи. Крiм того, оцінка успішності та ефективності заходiв має

важливе значення для прийняття зважених рiшень щодо полiтики надаються достатні повноваження, засоби та

необхідна підготовка. Вони повинні також виконувати функцію координації та сприяння впровадженню

ініціатив стосовно забезпечення інформаційної безпеки, в той час відповідальність за безпеку має залишатися

спільним завданням для всього персоналу компанії. Навiть у невеликих компанiях має бути призначена особа з

числа спiвробiтникiв або позаштатна, яка буде регулярно оцiнювати достатність заходів інформаційної безпеки

та яка формально прийме на себе зобов’язання із інформаційної безпеки. Незважаючи на те, що в невеликих

компанiях така особа може бути зайнята не повний робочий день, тим не менш, її функції можуть виявитися

критично важливими для існування компанії. У великих компанiях розподiл функцiй, ролей та обов'язкiв має

бути здiйснений помiж окремими посадовими особами i робочими групами та командами (можливо,

вiртуальними). Кожний член групи або команди повинен чiтко знати власнi обов'язки i усвiдомлювати рiвень

вiдповiдальностi. У випадку запровадження такої схеми важливе значення матимуть належне документування

та внутрiшня комунiкацiя.

4.– СТВОРІТЬ РОЛЬ ВІДПОВІДАЛЬНОГО ЗА

ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ І ВИЗНАЧТЕ ПЕРСОНАЛЬНУ

ВІДПОВІДАЛЬНІСТЬ –

Необхiдним є також проведення пiдготовки персоналу та iнформування членiв робочого колективу щодо їхнiх

обов'язкiв, а також кiберзагроз, з якими вони можуть зiткнутися.

Оберіть окремих співробітників та надайте їм повноваження обмінюватися певною інформацію з

представниками інших компаній вашої галузі та іншими зацікавленими сторонами з метою сприяння розробці

передових методик попередження та запобігання потенційним атакам.

Незважаючи на те, персонал компанiї часто характеризується, як найслабша ланка, коли мова йде про

забезпечення інформаційної безпеки, керiвникам рекомендується прикласти зусилля для перетворення

персоналу у найзначніший актив для забезпечення безпеки шляхом створення програми

підвищенняобізнаності з питань інформаційної безпеки, що в результаті має привести до набуття дієвих

навичок. Результатами аудитів, які організація проводить власними силами, чи шляхом запитів до

сервіспровайдера щодо наявності належно оформленого звіту незалежного аудитора, який включає в себе, в

тому числі, оцінку методів забезпечення інформаційної безпеки. Особливу увагу слід приділити аналізу угод

про рівні обслуговування, провести оцінку показників доступності систем та відновлення їх функціонування.

У нинiшню епоху використання "хмарних" сервiсiв вищезазначена практика має дуже важливезначення.

"Хмарнi" сервiси є технiчними рiшеннями, що дозволяють вам користуватися послугами зовнiшнього

постачальника для зберiгання, обробки або керування даними.

18


B. ОРГАНIЗАЦIЯ ТА ПРОЦЕСИ

5. – ПІДТРИМУЙТЕ НАЛЕЖНИЙ РІВЕНЬ БЕЗПЕКИ У РАЗІ

ВИКОРИСТАННЯ ПОСЛУГ АУТСОРСИНГУ– Завдяки засобам зв'язку та комунікації, які постійно

вдосконалюються, цінні зв`язки призводять до тісної інтеграції, що

приносить компаніям низку додаткових переваг. Аутсорсинг,

перенесення виробничих процесів за кордон, а також новi моделi

спiвпрацi з третiми сторонами стають стандартною частиною схем

здiйснення комерцiйної дiяльностi.

Тим не менш, третi сторони, якi не забезпечують адекватний захист

iнформацiї або iнформацiйних систем, можуть пiддати серйознiй

загрозi дiяльнiсть, репутацiю i цiннiсть бренду компанiї. Вважається

доцільною практикою заохочувати постачальників, а особливо

постачальників ІТ послуг, дотримуватись, принаймнi, принципiв

захисту iнформацiї та iнформацiйної безпеки, якi застосовуються

власне в компанiї, , яка замовляє послуги, та разом з цим вимагати

надання доказiв, інформація захищена належним чином.Такі докази

можуть бути отримані за мережу, подiбну мережi Iнтернет, з дуже високим ступенем гнучкостi та

можливостями монiторингу в реальному часi. Провайдери ІТ сервісів можуть так само надавати рішення із

забезпечення інформаційної безпеки. Ви можете дiзнатися про додатковi послуги послуги третіх сторін із

забезпечення інформаційної безпеки, які можуть запропонувати сервіс-провайдери та, особливо,

провайдери "хмарних"сервісів. Такi послуги можуть бути актуальними для невеликих компанiй та включати

в себе резервне копiювання, вiдновлення i шифрування даних. Крiм цього, необхiдно забезпечити

можливiсть доступу до журналiв операцiй (протоколiв) по послугах, які надаються зовнішніми

постачальниками. Такий доступ має важливе значення для проведення відповідного аналiзу та

ефективного оцiнювання загроз.

6.– ЗРОБІТЬ ВИМОГИ БЕЗПЕКИ РУШІЙНОЮ СИЛОЮ

ДЛЯ ІННОВАЦІЙ –

Належний пiдхiд до забезпечення безпеки не тiльки захищає

компанiю, але також надає можливiсть використання нових

технологiй. Прагнення уникнути ризику не повинне заважати

впровадженню нових технологій. Але необхідно адекватно

оцінити співвідношення потенційних загроз та переваг, які

можуть бути здобуті із використанням нових технологій.

У разі ухвалення рішення щодо впровадження інноваційних

рішень та обладнання, відповідні заходи безпеки мають бути

передбаченими якомога раніше. В ідеалі це має бути зроблено на

етапі визначення бізнес-вимог компанії. З метою забезпечення

достатнього рівня безпеки із найперших етапів розробки та придбання нових інструментів та додатків,

слід застосовувати принцип «безпека на етапі розробки».

19

Персонал, вiдповiдальний за впровадження iнновацiйних рiшень в компанiї, має бути достатньо

обiзнаним в галузi безпеки або треба залучати стороннiх експертiв з безпеки задля забезпечення

найкращого рiвня захисту iнформацiї при впровадженнi кожного нового рiшення.


C. КОНЦЕПЦIЯ МИСЛЕННЯ

7.– РЕГУЛЯРНО ПЕРЕВIРЯЙТЕ СЕБЕ – Загрози безпецi постiйно змiнюються, являючи собою "рухому мiшень".

Корпоративні полiтики та процедури можуть ставати застарiлими або

просто неефективними на практицi. Перiодичне оцiнювання стiйкостi

компанiї до кiберзагроз i виявлення вразливих мiсць дозволяють

вимiрювати прогрес в галузi корпоративної безпеки та адекватнiсть

вживаних заходiв. Таке оцiнювання може здiйснюватися шляхом

внутрiшнiх та/або незалежних аудитiв та перевiрок, таких як тестування на

проникнення i виявлення вторгнень. Крiм того, такi заходи сприятимуть

полiпшенню корпоративної культури. Компанії мають дозволяти

персоналу робити помилки і заохочувати відкрите обговорення інцидентів

інформаційної безпеки з тим, щоб співробітники не боялися повідомляти про них в разі виникнення. Разом

iз проведенням зазначених перевiрок сприяти полiпшенню обiзнаностi щодо поточних i виникаючих загроз

допоможе активна спiвпраця iз iншими компанiями галузi, представниками бiзнесспiльноти та

правоохоронними органами.

8.– ВIРНО РОЗСТАВЛЯЙТЕ АКЦЕНТИ – В умовах сьогоденної економiки, заснованої на знаннях,

iнформацiя є особливо цiнним активом. Чiтке визначення

складу цього активу та прагнення захистити його вразливiсть i

запобiгти загрозам можуть виявитися титанiчним завданням.

Вам слiд зосередити свої зусилля щодо забезпечення безпеки

найбiльш цiнної iнформацiї, втрата конфiденцiйностi, цiлiсностi

або доступностi якої може серйозно нашкодити компанiї.

Це не означає, що iншiiнформацiйнi активи можуть бути

проiгнорованi з точки зору безпеки, а радше свiдчить про те,

що пiдхiд до iнформацiйної безпеки на основi аналiзу ризику з

акцентом на найцінніших активах компанії є найбільш ефективним і результативним для

використання у сфері інформаційної безпеки.

Одночасно визнається, що стовідсоткове усунення ризику є неможливим і, власне, непотрібним.

20


C. КОНЦЕПЦIЯ МИСЛЕННЯ

9. – БУДЬТЕ ПIДГОТОВЛЕНI ДО РЕАГУВАННЯ НА

іНЦИДЕНТИ IНФОРМАЦIЙНОЇ БЕЗПЕКИ – Факт виявлення інциденту інформаційної безпеки не обов'язково буде оцінено погано. Все залежить від того, як

ви на нього відреагуєте. Все залежить від того, як ви на нього відреагуєте. У сьогоденному світі, де повно загроз

та вразливостей, ви маєте думати не за принципом "мою компанію це омине", а за принципом "якщо це

станеться, я знаю, що робити", тобто ви маєте бути добре підготовлені до інцидентів інформаційної безпеки.

Все залежить від того, як ви на нього відреагуєте. У сьогоденному

світі, де повно загроз та вразливостей, ви маєте думати не за

принципом "мою компанію це омине", а за принципом "якщо це

станеться, я знаю, що робити", тобто ви маєте бути добре

підготовлені до інцидентів інформаційної безпеки. Як з

організаційної точки зору, так і з технічної, ваша компанія

повинна бути добре підготовленою до реагування на інциденти

безпеки з метою мінімізації негативного впливу на власну

діяльність. В ідеалі, відповідні спеціалізовані треті сторони, які

зможуть допомогти в локалізації та усуненні інциденту(-ів)

безпеки, мають бути заздалегідь визначені до того, як щось

погане станеться.

Належне реагування на інциденти, в тому числі відповідна

стратегія комунікації, може призвести до різниці між

часом простою бізнес-процесу від менш ніж однієї доби

та декількома днями, між коротким повідомленням з 10

строчок на сторінці 7 та заголовком на сторінці 1 в

газетах. Дуже важливо здiйснювати внутрiшнє

iнформування щодо iнцидентiв, а також (залежно вiд

обставин) – зовнiшнє. Крiм того, необхiдно пам’ятати, що

iнформування вiдповiдних органiв є способом полiпшити

загальну ситуацiю в галузi кiбербезпеки, i до того ж в

деяких випадках таке iнформування є обов'язковим.

20

20

10 НЕОБХІДНИХ ЗАХОДІВ БЕЗПЕКИ

Описані надалі заходи в основному спрямовані на захисткомпанії відінцидентів інформаційної безпеки.

Звісно, виявлення, локалізація, реагування та ліквідаціяінцидентів також є важливі. Для отримання

практичних консультацій пропонуємо переглянути перелік контактів та посилань, наведений в цій

настанові

1. – ОБІЗНАНІСТЬ ТА ПИЛЬНІСТЬ

КОРИСТУВАЧІВ ТА ОБIЗНАНIСТЬ – Інформаційна безпекає важливим питанням для всієї компанії. Ті ж самілюди, які створюють

іобробляють дані про компанію, відіграють важливуроль у забезпеченні захисту цієїінформації.

Працюючи з даними неналежним чином, вони не тільки провокують інциденти інформаційної

безпеки, але й значно полегшують атаки зловмисникам.

Забезпечення поінформованості персоналу компанії щодо найнебезпечнішихкіберзагроз та

найважливіших питань безпеки має здійснюватися на постійній основі, в тому числі за наступними

темами:

• Відповідальний підхід до спілкування з дотриманням вимог безпеки

• Зважене використання можливостей соціальних мереж

• Передачацифрових файлівбезпечнимспособом

• Належне використанняпаролів

• Запобігання втратіважливої інформації

• Гарантування того, що тільки відповідальні особи можуть читати вашу інформацію

• Запобіганняпроникненнювірусів таінших шкідливих програм в систему

• Кого сповіщувати в разіпідозри наінцидент інформаційної безпеки

• Методи запобігання розголошенню інформації в результаті шахрайських дій (обману)

Поiнформованiсть персоналу гарантуватиме, що всi спiвробiтники, якi мають доступ до iнформацiї та

iнформацiйних систем, усвiдомлюватимуть свої щоденнi обов'язки iз участi та пiдтримки

корпоративної дiяльностi щодо забезпечення iнформацiйної безпеки i захисту компанiї. Робота iз даними з

дотриманням вимог безпеки та вiдповiдна мотивацiя персоналу має розглядатися як належна

корпоративна культурна норма. Регулярне iнформування спiвробiтникiв щодо корпоративної кiбербезпеки

є найкращим способом розвинути у персонала потрiбнi навички та умiння iз забезпечення безпеки.

Оскiльки бiльшiсть спiвробiтникiв також використовує Iнтернет для приватних цiлей, їхнiй iнструктаж iз

кiбербезпеки не повинен обмежуватися лише питаннями, пов’язаними iз корпоративною iнформацiєю.

Важливо забезпечити їхнє розумiння того, як захистити своюприватнiсть при використаннi мережiIнтернет

в особистих цiлях. Загальну iнформацiю щодо кiбербезпеки та рекомендацiї для кiнцевих користувачiв

можна знайти на вебсайтi http://www.enisa.europa.eu/media/ multimedia/material, створеному

Європейським Агентством з Мережевої та Інформаційної Безпеки (ENISA). Ви можете використовувати всю

цю iнформацiю, вiдеоматерiали, iнфографiку та iнше для цiлей iнформування та iнструктування персоналу

вашої компанiї.

10 ОСНОВНИХ ДIЙ IЗ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ

20

2. – ОНОВЛЕННЯ СИСТЕМ –

Багато успiшних спроб стороннього втручання i ураження вiрусами було зареєстровано по вiдношенню до

вразливих iнформацiйних систем, рiшення для оновлення та корекцiї яких часто були доступнi ранiше, нiж за

рiк до iнциденту. Системи та програмне забезпечення, у тому числi мережеве устаткування, повиннi

оновлюватися, як тiльки стають доступними так звані "патчі" та оновлення мiкропрограмного забезпечення.

Такi оновлення i патчi безпеки виправляють системнi вразливостi, якими можуть скористатися зловмисники.

Рекомендовано завжди, коли це є можливим i прийнятним

з точки зору витрат, використовувати автоматизованi

сервiси оновлення, особливо для систем безпеки, до

склада яких входять антивiруснi, веб-фiльтрацiйнi додатки

та iнструменти виявлення вторгнень.

Для забезпечення того, що всi необхiднi системи

матимуть найкращий захист, доцiльно скласти перелiк

всiх систем iз зазначенням мiнiмального базового рiвня

безпеки, який має бути до них застосований.

Користувачам слiд приймати тiльки актуальнi оновлення

для систем безпеки, надiсланi безпосередньо

оригiнальним виробником. Отже, вони нiколи не повиннi

здiйснювати будь-якi дiї з оновлення програмного

забезпечення, запропонованi, наприклад, в

електронному листi, надiсланому сторонньою фiрмою чи

особою.

3.– ЗАХИСТ IНФОРМАЦIЇ – В умовах сьогодення бiльш нiж коли-небудь стратегiя

iнформацiйної безпеки повинна бути зосереджена на

захистi даних, а не власне на технологiї безпеки.

Традицiйнi методи захисту мережевого периметру та

контролю доступу вже не є достатнiми, особливо коли

iнформацiя зберiгається в менш надiйних середовищах,

таких як мережа Iнтернет або портативнi носiї даних.

Iснують рiзнi методи шифрування, ефективнiсть яких в

конкретних умовах було вже доведено (при зберiганнi,

передачi або переносi даних), наприклад:

• Листи електронної пошти, що вiдправляються через мережу Iнтернет дiловим партнерам,

клiєнтам та iншим особам, завжди написанi вiдкритим текстом. Тому компанiям слiд

використовувати методи шифрування електронної пошти, коли передається найбільш

важлива iнформацiя

• Портативнi пристрої, такi як ноутбуки, карти пам’ятiUSBi смартфони, можуть стати легкою

мiшенню для крадiя або можуть бути загубленi. Тому компанiям слiд забезпечити

ифрування даних на таких пристроях за замовчуванням (для ноутбукiв та смартфонiв), або

надати можливiсть шифрування даних користувачам (наприклад, для карт пам’ятi USB).

21

4. – СИСТЕМА БЕЗПЕКИ МОБIЛЬНИХ

ПРИСТРОЇВ –

Використання мобiльних пристроїв може створювати значнi загрози безпецi та управлiнню справами

компанiї, особливо, якщо на них зберiгається конфiденцiйна чи важлива iнформацiя, або якщо за їхньою

допомогою можливо отримати доступ до корпоративної мережi.

Серед iншого, iснують такi ризики:

• Втрата даних

• Соціальна інженерія

• Вiруснi програми

• Загрози цiлiсностi даних

• Зловживання ресурсами

• Атаки через Iнтернет чи локальну мережу

Концепцiя використання власних пристроїв спiвробiтникiв (англ.: Bring Your Own Device, BYOD) є дуже

привабливою для багатьох органiзацiй i спiвробiтникiв, але має суттєвий недолiк, який полягає у

зростаннi ризику розкриття важливої iнформацiї компанiї. Тому рекомендовано чiтко регламентувати,

якi пристрої можуть отримати доступ до локальної

мережi компанiї та/або iнформацiї, а також запровадити

вiдповiдну полiтику i процедури в галузi iнформацiйної

безпеки. Користувачам слiд завжди захищати свої

мобiльнi пристрої, використовуючи складний пароль.

Компанії мають забезпечити та/або надати можливiсть

користувачам налаштовувати вiдповiднi параметри

захисту мобiльного пристрою з метою запобiгання

викрадення злочинцями iнформацiї за допомогою пристрою. Програмне забезпечення на

таких пристроях має пiдтримуватися в актуальному станi, особливо, що стосується програмного

забезпечення системи безпеки, з тим, щоб пристрiй завжди залишався захищеним вiд новiтнiх

версiй шкiдливих програм i вiрусiв. Крiм того, необхiдно запровадити процедури звiтування

щодо загубленого або вкраденого обладнання i за можливостi передбачити функцiю

дистанцiйного видалення всiєї корпоративної iнформацiї з пам’ятi загубленого або вкраденого

пристрою.

Користувачi мають розвинути в собi звичку аналiзувати своє оточення перед тим, як

використовувати або пiд час використання своїх мобiльних пристроїв, а також

дотримуватися наступних вимог:

• Встановити надiйний додаток для системи безпеки електронної пошти

• Не вiдкривати неочiкуванi текстовi повiдомлення вiд невiдомих вiдправникiв

• Не переходити за невiдомими посиланнями

• Не спiлкуватися за допомогою чат-служб незнайомими людьми

22

5.– НАДАННЯ ДОСТУПУ ДО ІНФОРМАЦІЇ

ВИКЛЮЧНО ЗА ПРИНЦИПОМ СЛУЖБОВОЇ

НЕОБХIДНОСТI –

З метою забезпечення конфiденцiйностi, цiлiсностi та збереження інформації доступ до них повинен

надаватися виключно за принципом службової необхiдностi. Жодна особа ворганізації не

повиннамати доступдо всіх системобробки даних. Спiвробiтники повиннi мати доступ до специфічних

даних та інформаційних систем, якi їм потрiбнi для здiйснення своїх службових обов’язкiв.

Повноваження адмiнiстратора (права "суперкористувача") повиннi бути наданi лише кiльком

довiреним спiвробiтникам з числа IТ-персоналу. Наразi вже iснують схеми, за допомого яких системнi

адмiнiстратори мають можливiсть виконувати свої обов’язки без необхiдностiотримання доступу до

даних. Крiм того, всі керівникипідрозділів повинні (принаймніщорічно) отримувати, переглядати та

затверджувати перелiки всiх користувачiв (внутрiшнiх та зовнiшнiх), якi мають доступ до програмних

продуктiв та даних свого вiддiлу.

До того ж, спiвробiтники не повиннi мати можливiсть

встановлювати

будь-яке програмне забезпечення на корпоративнi

ноутбуки та стацiонарнi комп’ютери без попереднього дозволу.

Також вони не

повиннi мати можливiсть змiнювати попередньо

встановленi налаштування безпеки i параметри

програмного забезпечення

системи безпеки. Наявнiсть такої можливостi створює

дуже високий

ризик виникнення iнцидентiв iнформацiйної безпеки i, отже, вона

має розглядатися як привiлейоване право i надаватися виключно

коли це дiйсно необхiдно.

КОРИСТУВАННЯ МЕРЕЖЕЮ IНТЕРНЕТ–

Користувачi локальної мережi компанiї повиннi мати можливiсть отримання доступу тiльки до

таких сервiсiв та ресурсiв в мережiIнтернет, якi необхiднi для здiйснення дiяльностi компанiї та

виконання службових обов’язкiв спiвробiтниками. Хоча використання мережiIнтернет в

особистих цiлях не повинно обов'язково блокуватися повнiстю, такi можливостi мають бути

обмеженi сервiсами та веб-сайтами, що, як правило, не представляють загрози безпецi. Сервiси

та вебсайти, якi створюють пiдвищений ризик проникнення шкiдливих програм на комп'ютер

або до корпоративної мережi (наприклад, сервiси обмiну файлами мiж користувачами та

66. – ЗАПРОВАДЖЕННЯ ПРАВИЛ БЕЗПЕЧНОГО

31

порнографiчнi сайти), повиннi бути заблокованi. Iснують простi у використаннiiнструменти

монiторингу веб-сайтiв в мережiIнтернет, якi застосовують функцiю автоматичної категоризацiї i

регламентують надання доступу в рiзних режимах (нiколи, завжди, в певний промiжок часу, до

моменту досягнення певного обсягу трафiку i т.п.). Важливо забезпечити, щоб такi правила

використання мережiIнтернет були доведенi до вiдома всiх користувачiв в органiзацiї, а також

необхiдно передбачити механiзм розблокування бізнес веб-сайтiв, потрiбних для здiйснення

дiяльностi органiзацiї, в доступi до яких могло бути вiдмовлено.

Ризики, пов'язанiiз вiдвiдуванням шкiдливих вебсайтiв, не обмежуються загрозами атаки вiрусу

або шпигунської програми. Така дiяльнiсть також зробить компанiю бiльш вразливою для

фiшингу через зростання ризику того, що буде викрадена персональнаiнформацiя

спiвробiтника. Ще один ризик полягає у можливому порушеннi авторських прав, пов'язаному

iз незаконним копiюванням або скачуванням програмного забезпечення, вiдеоматерiалiв,

музичних файлiв, фотографiй або документiв, захищених авторським правом. Деякi браузери

також мають можливiсть iдентифiкувати шахрайськi веб-сайти за замовчуванням.

На кожному пристрої, з якого здiйснюється вихiд в Iнтернет, повинна бути встановлена

остання версiя використовуваного браузера, та користувач має засвоїти основнi поради

з виявлення пiдозрiлих веб-сайтiв, такi як:

• Перевiрте наявнiсть у веб-сайта роздiлу з контактною iнформацiєю, що мiстить адресу, номер

телефону та/або адресу електронної пошти, справжнiсть яких може бути перевiрено, а також

полiтику конфiденцiйностi.

• Перевiрте адресу переходу за гiперпосиланням шляхом наведення курсору на текст

посилання i дивлячись в лiвий нижнiй куток вiкна браузера (в бiльшостi випадкiв), де буде

вiдображено реальну адресу веб-сайту за гiперпосиланням.

• Перевiрте наявнiсть скорочення ‘https://’ на початку веб-адреси перед введенням особистої

iнформацiї.

7. – ВИКОРИСТАННЯ НАДIЙНИХ ПАРОЛIВ ТА

ЇХ ЗБЕРЕЖЕННЯ –

Паролi є головним засобом, за допомогою яких ми захищаємо нашу

iнформацiю. Таким чином, дуже важливо, щоб паролi, якi

використовуються, були "сильними". Для забезпечення цього слiд

запровадити низку правил:

▪ Кожен користувач повинен мати свiй власний

унiкальний iдентифiкатор користувача та пароль

i нiкому їх не повiдомляти.

▪ Пароль має бути довгим та/або складним з тим,

щоб його було важко вгадати, але завжди було

легко пам'ятати.

▪ Користувачi повиннi перiодично змiнювати свої паролi рекомендована перiодичнiсть –

кожнi 3 мiсяцi).

31

▪ Користувачi повиннi мати рiзнi паролi для використання рiзних додаткiв.

▪ Користувачi не повиннi використовувати особистi паролi в якостiробочих i навпаки.

Доцiльно також розглянути запровадження багатофакторноїавтентифікації, якавимагаєнадання

додаткової iнформацiї, окрiм пароля, для отримання доступу, особливо коли такий доступ пов'язаний

iз пiдвищеним рiвнем ризику (наприклад, привiддаленому доступi до системи).При багатофакторнiй

автентифiкацiї компанiї можуть використовувати комбiнацiю iдентифiкуючих елементiв за таким

принципом: "те, що користувач знає" (пароль або PIN-код), "те, чим користувач користується"

(наприклад, смарт-карта або смартфон), та "те, ким користувач є" (наприклад, вiдбитки пальцiв

або результат сканування райдужної оболонки). При вирiшеннi, яку комбiнацiю слiд застосовувати,

керiвництво компанiї має враховувати нормативнi обмеження та фактор прийнятностi автентифiкацiї

за такою схемою для персонала.

8. – СТВОРЕННЯ ТА ПЕРЕВIРКА РЕЗЕРВНИХ

КОПIЙ КОРПОРАТИВНИХ ДАНИХ ТА

IНФОРМАЦIЇ –

Створення резервних копiй iнформацiї є так само критично

важливим, як i захист конфiденцiйностi та цiлiсностi даних. У випадку,

якщо iнформацiя буде вкрадена, змiнена, стерта або загублена,

наявнiсть резервної копiї буде мати вирiшальне значення.

Рекомендовано запровадити корпоративну полiтику, якою буде

визначено наступне:

▪ резервнi копiї яких саме даних будуть створюватися i яким

чином;

▪ як часто будуть створюватися резервнi копiї даних;

▪ хто буде вiдповiдальною особою за створення резервних копiй даних;

▪ де та в який спосiб будуть зберiгатися резервнi копiї даних; та

▪ хто матиме доступ до резервних копiй даних.

Ухвалюючи цi рiшення, необхiдно переконатися, що буде належним чином дотримано

правових та нормативних вимог до зберiгання iнформацiї. Разом з цим слiд мати на увазi,

що фiзичнi носiї, такi як компакт-диск, магнiтна стрiчка або жорсткий диск, якi

використовуються для зберiгання резервних копiй даних, є також вразливими. Отже,

стосовно резервних копiй має бути забезпечений такий саме рiвень захисту, як i для

оригiнальних даних, особливо в планi фiзичної безпеки, оскiльки зазначенi носiї легко

31

перемiщуються. Одним з головних аспектiв управлiння резервними копiями даних є

перевiрка змiсту корпоративних даних та iнформацiї, що мiстяться в резервних файлах.

Рекомендовано запровадити практику регулярного відновлення резервних файлів з

метою встановлення ефективності, повноти та швидкості відновлення даних. У разi

користування послугами третiх сторiн для зберiгання iнформацiї (наприклад, при

використаннi "хмарних" сервiсiв), необхiдно пересвiдчитися, що такий постачальник

послуг застосовує вiдповiдне резервне копiювання згiдно iз вимогами.

9. – БАГАТОРIВНЕВИЙ ПIДХІД ДО

ЗАХИСТУ ВIД ВIРУСIВ ТА IНШИХ

ШКIДЛИВИХ ПРОГРАМ –

Беручи до уваги використання рiзних типiв обладнання i

наявнiсть користувачiв з рiзними потребами, забезпечення

ефективного захисту вiд вiрусiв, шпигунських програм та iншого

шкiдливого програмного забезпечення в межах компанiї

потребує застосування багаторiвневого пiдходу. Використання

антивiрусного програмного забезпечення є, безумовно,

обов'язковим, однак це не повинно бути єдиною лiнiєю

корпоративного захисту. Для забезпечення належного рiвня

безпеки необхiдно поєднання декiлькох методик захисту проти

комп'ютерних вiрусiв. Сумiсне застосування засобiв веб-

фiльтрацiї, антивiрусного захисту, iнструментiв попереджувального захисту вiд

шкiдливих програм i брандмауерiв, а також дотримання корпоративної полiтики в галузi

iнформацiйної безпеки та навчання користувачiв значно знижує ризик ураження

шкiдливими програмами або вiрусами. Доцiльно розглянути можливiсть використання

рiзних технологiй для здiйснення однакових функцiй (наприклад, використання рiшень

антивiрусного захисту вiд рiзних виробникiв). Крiм того, пiдтримання програмного

забезпечення захисту, компонентiв операцiйної системи i програмних додаткiв в

актуальному станi сприяє бiльш ефективному захисту систем.

10. – ПОПЕРЕДЖУЙТЕ, ВИЯВЛЯЙТЕ ТА ДIЙТЕ –

Нерiдко компанiї навiть не усвiдомлюють, що трапився iнцидент iнформацiйної безпеки. Iнколи

системи компанiї залишаються зламаними та зараженими вiрусами впродовж мiсяцiв або рокiв, перш

нiж факт зовнiшнього втручання буде виявлено4, якщо це взагалi вiдбудеться. Компанії

слідінвестуватив запровадження комбінації системвиявлення і запобігання зовнішнім вторгненням.

При цьому ефективнiсть застосовних iнструментiв залежатиме вiд якостi їх впровадження та рiвня

пiдготовки користувачiв. У разi, коли ваша компанiя не має в своєму розпорядженнi вiдповiдних

експертiв, слiд звернутися за консультацiєю та технiчною пiдтримкою до зовнiшнiх спецiалiстiв. Разом

iз використанням ефективних сучасних технологiй, пiдтримка з боку досвiдчених фахiвцiв в галузi

кiбербезпеки є значною перевагою, оскiльки такi експерти пiдтримують партнерськi вiдносини на

31

рiзних рiвнях – з представниками промислових секторiв економiки, урядовими органiзацiями та на

глобальному рiвнi: зокрема, спiвпрацюючи iз партнерами в межах таких iнiцiатив, як Всесвiтнiй

економiчний форум "Партнерство заради протистояння кiберзагрозам". Компанії мають завжди

розглядати доцiльнiсть iнформування про iнциденти iнформацiйної безпеки CERT-UA (Команда

Реагування накомп’ютерні надзвичайні події в Україні Держспецзв’язкуадреса електронної пошти:

[email protected]), а також Департаменту Кіберполіції Національної Поліції України

(https://www.cybercrime.gov.ua). Таке звiтування є критично важливим для встановлення того, є такий

iнцидент поодиноким чи нi. Кiбератака може бути "горизонтальною" (жертвами стають компанiй тiєї

ж галузi) або "вертикальною" (атака спрямована також на субпiдрядникiв компанiї). або атака може

являти собою загрозу безпеці, пов’язану із конкретним програмним забезпеченнямабо апаратними

засобами. Група реагування на надзвичайнi ситуацiї CERT в змозi надати певну пiдтримку та

консультацiю у зв'язку з iнцидентом, що може допомогти жертвi атаки вжити ефективних

контрзаходiв.

Органiзацiям, якi стають жертвами (кібер)злочинців, слiд також звертатися до правоохоронних

органів. Мiж тим, місцева поліція часто не спеціалізується на розслiдуваннi подiбних злочинiв i в

цiлому є органом, що протидiє "традицiйнiй" злочинностi. У випадку кiберзлочину (злом системи,

саботаж, шпигунство) рекомендовано звернутися безпосередньо до Департаменту Кіберполіції

Національної Поліції України. В разі атаки на організацію, яку віднесено до критичної інфраструктури

України, необхідно звернутися до гарячої лінії Служби Безпеки України, та CERT-UA (Команда

Реагування на комп’ютерні надзвичайні події в Україні Держспецзв’язку). Щодо випадків шпигунства,

необхідно звертатися до гарячої лінії Служби Безпеки України. Крiм того, доцiльно також звернутися

до прокуратури, оскiльки такi звернення допомагають правоохоронним органам сформулювати

краще уявлення щодо кiберзагроз для бiзнесу в Україні. У разi виникнення iнциденту безпеки i,

зокрема, якщо мова йде про кiберзлочин, вiдповiдальний IТ-персонал повинен з самого початку

забезпечити належне збереження доказiв iнциденту. Керiвнi принципи щодо збору даних

IТперсоналом у разi iнцидентiв iнформацiйної безпеки5 або в разi ураження шкiдливим ПЗ6 для цiлей

розслiдування доступнi в мережi Iнтернетi на веб-сайтi групи комп'ютерного реагування CERTEU

Євросоюзу.

4 http://www.verizonenterprise.com/DBIR/2013/ - звіт компанії Verizon щодо розслідувань інцидентів витоку даних "Verizon

2013 Data Breach Investigations Report"

5 http://cert.europa.eu/static/WhitePapers/CERT-EUSWP_12_004_v1_3.pdf 6 http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_11_003_v2.pdf

31

31

АНКЕТА САМООЦIНКИ РIВНЯ БЕЗПЕКИ

Наступний роздiл надає перелiк контрольних питань, надання вiдповiдей на якi допоможе керiвництву

компанiй здiйснити внутрiшнiй аналiз можливостей кiберзахисту своєї компанiї i сприятиме визначенню

актуальних завдань, що постають перед персоналом, вiдповiдальним за реалiзацiю iнiцiатив з кiберзахисту.

Вiдповiдi на питання дозволяють визначити сильнii слабкi сторони системи захисту, а також шляхи її

вдосконалення в масштабi всiєї компанiї.

Також цю анкету самооцiнки може бути використано в якостi перелiку контрольних питань компанiями, якi

тiльки розпочинають реалiзацiю iнiцiатив з iнформацiйної безпеки i бажають використати отриману

iнформацiю як основу для планування своєї системи кiберзахисту.

При наданнi вiдповiдi на кожне з питань, наведених нижче, слiд вибрати один з варiантiв, що найкраще

вiдображає iснуючу практику в компанiї. Кожен з варiантiв вiдповiдi позначений окремим кольором, де:

Найменш бажаний варiант вiдповiдi – вкрай

✘Важливо розглянути шляхи полiпшення

✔Можливе запровадження додаткових полiпшень з метою бiльш ефективного захисту компанiї

Найкращий варiант вiдповiдi, що вiдображає стiйкий захист вiд кiберзагроз. Крiм того, пiд кожним

контрольним пунктом наведенi бiльш детальнi питання, якi допоможуть визначити i задокументувати

статус базових компонентiв управлiння iнформацiйною безпекою вашої компанiї. Компанiї також можуть

застосовувати принципи та дiї, викладенi у двох попереднiх роздiлах настанови, на якi наданi посилання в

кожному контрольному пунктi, для вдосконалення своєї системи захисту.

АНКЕТА САМООЦIНКИ

32

ШВИДКО I ЛЕГКО

1. ВИ ЗДIЙСНЮЄТЕ ОЦIНКУ РIВНЯ

КОНФIДЕНЦIЙНОСТIIНФОРМАЦIЇ У ВАШIЙ КОМПАНIЇ?

✘ Нi, але ми використовуємо брандмауер для захисту iнформацiї вiд викрадення. Так, ми розумiємо важливiсть нашої iнформацiї та вживаємо загальнi заходи безпеки.

✔Так, ми використовуємо модель класифiкацiї iнформацiї i знаємо, де зберiгаються та опрацьовуються

нашi конфiденцiйнi данi. Ми вживаємо заходи безпеки вiдповiдно до рiвня конфiденцiйностi iнформацiї.

2.ВИ ЗДIЙСНЮЄТЕ ОЦIНКУ РИЗИКIВ, ПОВ'ЯЗАНИХ З

IНФОРМАЦIЙНОЇ БЕЗПЕКОЮ?

✘ Ми не здiйснюємо оцiнку ризикiв.

Ми здiйснюємо оцiнку ризикiв, але не стосовно питань, пов'язаних з iнформацiйної безпекою

✔ Ми здiйснюємо оцiнку ризикiв стосовно питань, пов'язаних з iнформацiйної безпекою

Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої компанiї.

Так Нi

Чи iдентифiкованi та класифiкованi вашi конфiденцiйнi данi?

Чи визначена вiдповiдальнiсть щодо певних важливих даних?

Чи забезпечено надiйний захист i шифрування найбiльш важливих даних?

Чи регламентоване управлiння персональними даними та найбільш цінною iнформацiєю

відповідними процедурами

Чи всi спiвробiтники в змозi iдентифiкувати i забезпечити належний захист конфiденцiйних

та не конфiденцiйних даних?

ПОСИЛАННЯ НА ВIДПОВIДНИЙ

ПРИНЦИП

МОЖЛИВI ЗАХОДИ ДЛЯ

ВДОСКОНАЛЕННЯ

45


Чи ви усуваєте вразливості за результатами сканування, послідовно в порядку від

високого рівня ризикудо низького?

Чи iдентифiкуються подiї, якi можуть призвести до збоїв у бiзнес-процесах, та чи

здiйснюється оцiнка наслiдкiв потенцiйних збоїв?

Чи є у вашої компанiї актуальний план забезпечення безперервної роботи i

вiдновлення функцiонування, який регулярно перевiряється i оновлюється?

Чи здiйснюється регулярна оцiнка ризикiв з метою актуалiзацiї рiвня захисту, якого

потребують данi та iнформацiя?

Чи iдентифiкованi областi ризику стосовно всiх бiзнес-процесiв вашої

компанiї з метою запобiгання пошкодженню iнформацiї при обробцi або її

навмисному неналежному використанню?

3.НА ЯКОМУ РIВНI РЕАЛIЗОВАНО УПРАВЛIННЯ

IНФОРМАЦIЙНОЮ БЕЗПЕКОЮ?

✘ Управлiння iнформацiйною безпекою не здiйснюється. Управлiння iнформацiйною безпекою здiйснюється на рiвнiIТ-вiддiлу, оскiльки саме цей пiдроздiл вiдповiдає за

безпеку даних.

✔ Управлiння iнформацiйною безпекою реалiзовано на корпоративному рiвнi з метою забезпечення

iнформацiйної безпеки в межах всiєї компанiї.


Так Ні

Так Нi

ПОСИЛАННЯ НА ВIДПОВIДНИЙ ПРИНЦИП

МОЖЛИВI ЗАХОДИ ДЛЯ ВДОСКОНАЛЕННЯ

45

Чи виділяєправління компанії у бюджеті кошти на забезпечення інформаційної безпеки?

Чи є інформаційнабезпека одним з елементів поточного процесу управління ризиками з

боку керівництва?

Чизатверджена вищим керівництвом політика інформаційної безпеки компанії та чи

було її належним чином доведено до відома працівників?

Чи інформуються члениправлінняівище керівництво компанії на регулярній основі щодо

останніх змін розробокв області стандартів, процедурта керівних принципів

інформаційної безпеки?

Чи призначено принаймні одну особу зі складу керівного персоналу яквідповідальнуза

захистінформації таконфіденційність персональних даних?

4.ЧИ Є У ВАШОЇ КОМПАНIЇ РОБОЧА ГРУПА З ІНФОРМАЦIЙНОЇ БЕЗПЕКИ АБО

ПРИЗНАЧЕНА ОСОБА, ВIДПОВIДАЛЬНА ЗА IНФОРМАЦIЙНУ БЕЗПЕКУ?

✘ У нас немає робочої групи з iнформацiйної безпеки або спецiально призначених осiб, вiдповiдальних за

iнформацiйну безпеку.

У нас немає робочої групи з iнформацiйної безпеки, але призначенi особи, вiдповiдальнi за корпоративну


✔ У нас немає робочої групи з iнформацiйної безпеки чи спецiально призначена особа, вiдповiдальна за



Так Ні

Чи здійснює спеціально призначена особа, відповідальна за інформаційну безпеку,

або робоча група з інформаційної безпеки аналіз та координацію обізнаності

персоналу та чинадає допомогу керівництву впроцесі прийняттярішень?

Чи є спеціально призначена особа, відповідальна за інформаційну безпеку, або

робоча групи з інформаційної безпеки відповідальноюза аналіз та систематичне

оновлення політики інформаційноїбезпекинаосновісуттєвих змінабоінцидентів?

Чи достатньо інформована та чи має достатні повноваження спеціально призначена

особа, відповідальна за інформаційну безпеку, або робоча групи з інформаційної

безпеки щоб втручатисяв процес реалізації будь-якої ініціативи, пов'язаною з

інформацієюкомпанії?

Чи призначені різніадміністратори, які відповідають заокремі видиданих?

Чи здійснюється незалежниморганом регулярний аналіз ефективності та

дотриманняполітикиінформаційної безпеки, а також аналіз ефективності діяльності

робочої групи з інформаційної безпеки?

45

5.ЯК ВАША КОМПАНIЯ ЗДIЙСНЮЄ УПРАВЛIННЯ РИЗИКАМИ, ПОВ'ЯЗАНИМИ З

IНФОРМАЦIЙНОЮ БЕЗПЕКОЮ, ПРИ РОБОТI З ПОСТАЧАЛЬНИКАМИ, ЯКI МОЖУТЬ

ОТРИМАТИ ДОСТУП ДО ВАШОЇ КОНФIДЕНЦIЙНОЇ IНФОРМАЦIЇ? ✘ Вiдносини з нашими постачальниками заснованi на взаємнiй довiрi.

В деякi контракти ми включаємо положення, пов'язанi з iнформацiйною безпекою.

✔ Ми запровадили затверджену процедуру надання доступу постачальникiв до iнформацiї та застосовуємо вимоги

до безпеки, яких письмово зобов'язуються дотримуватися нашi постачальники.


Чи здiйснюєте ви iдентифiкацiю пiдрядникiв i постачальникiв шляхом оформлення

вiдповiдного посвiдчення з актуальною фотографiєю?

Чи застосовуєте ви практику перевiрки iнформацiї щодо пiдрядникiв i постачальникiв?

Чи скасовується автоматично доступ до об'єктiв та iнформацiйних систем компанiї по

закiнченнi виконання робiт пiдрядником або постачальником?

Чи iнструктуються постачальники щодо того, як i кого необхiдно негайно повiдомити

у вашiй компанiї в разi будь-якої втрати або викрадання iнформацiї?

Чи передбачена вашою компанiєю вимога до постачальникiв стосовно пiдтримання

їхнього програмного забезпечення в актуальному станi шляхом оновлення патчiв

безпеки?

6.ЧИ ЗДIЙСНЮЄ ВАША КОМПАНIЯ ОЦIНКУ РIВНЯ КОМП'ЮТЕРНОЇ ТА МЕРЕЖЕВОЇ

БЕЗПЕКИ НА РЕГУЛЯРНIЙ ОСНОВI? ✘ Ми не проводимо аудити або тести на проникнення, щоб оцiнити нашу комп'ютерну i мережеву безпеку.

Ми не маємо систематичного пiдходу для проведення аудитів безпеки та/або тестiв на проникнення, але

перiодично здiйснюємо певнi перевiрки.

✔Регулярнi аудити системи безпеки та/або тести на проникнення є частиною нашого систематичного пiдходу до

оцiнки нашої комп'ютерної та мережевої безпеки.


Так Ні

Чи здійснюєте ви регулярні перевіркита чи ведете обліквиявленихзагроз?

Так Нi

45

Чи запроваджено вашою компанією процедурудляоцінки загроз до

вашихінформаційнихсистем через людський фактор, у тому числі через шахрайство,

соціальну інженерію та зловживання довірою?

Чи вимагає ваша компанія надання аудиторських звітів щодо інформаційної безпеки

відсвоїх постачальниківінформаційнихпослуг?

Чи оцінюєтьсяцінністькожного типуданих, що зберігаються, вході аудитів безпеки?

Чи перевіряєте вивласні процеси та процедури, пов'язані з використанням інформації,

на відповідність іншимвстановленимполітикамі стандартам укомпанії?

7. ЧИ ЗДIЙСНЮЄ ВАША КОМПАНIЯ ОЦIНКУ ПОТЕНЦIЙНИХ РИЗИКIВ IНФОРМАЦIЙНОЇ

БЕЗПЕКИ ПРИ ЗАПРОВАДЖЕННI НОВИХ ТЕХНОЛОГIЙ?

✘ Iнформацiйна безпека не є частиною процесу впровадження нових технологiй. Оцiнка iнформацiйної безпеки здiйснюється в процесi запровадження нових технологiй на

перiодичнiй основi.

✔Iнформацiйна безпека є частиною процесу впровадження нових технологiй.


Так Ні

Прирозгляді питання впровадження нових технологій, чи оцінюєтеви їхнійпотенційний

впливна затверджену політику інформаційної безпеки?

Чи вживаютьсяпревентивні заходидля зниження ризикупривпровадженні

новихтехнологій?

Чи оформленідокументально процеси впровадженнянових технологій?

Чи можевашакомпаніяпривпровадженні новихтехнологій довіряти партнерампід

часдокладання спільнихзусиль таобміну критичною інформацією з питань безпеки?

Чичасторозглядаєтьсяполітикаінформаційноїбезпекивашої компаніївякості бар'єрудля

нових технологічнихможливостей?

8.ЧИ ЗДIЙСНЮЄТЬСЯ У ВАШIЙ КОМПАНIЇ ЗАХИСТ IНФОРМАЦIЇ?

✘ Ми довіряємонашимспівробітникам іне розглядаємо настанови з інформаційної безпеки як додаткову цінність Тiльки IТ-спiвробiтники нашої компанiї проходять спецiальну пiдготовку для забезпечення iнформацiйної безпеки.

✔Для всiх спiвробiтникiв регулярно здiйснюється навчання з обiзнаностi щодо iнформацiйної безпеки.

45


Так Ні

Чиздійснюється навчання з обізнаності щодо інформаційної безпеки, адаптоване до

областідіяльності співробітників?

Чи здійснюється навчання співробітниківз метою забезпечення їхньоїготовностідо

інцидентівінформаційної безпеки?

Чи запроваджено ввашійкомпаніїпроцедурудлякористувачів стосовно інформування про

виявлені вразливості або загрози до систем абосервісів?

Чи обізнані співробітникищодо того, якправильноуправляти данимикредитних карт іприватною

персональною інформацією?

Чиотримують треті стороні стороннікористувачі (у відповідних ситуаціях) також належну

підготовку щодо інформаційної безпеки тарегулярне інформування щодо

оновленьворганізаційнихполітиках іпроцедурах?

9.ЯК ВИКОРИСТОВУЮТЬСЯ ПАРОЛI В КОМПАНIЇ?

✘ Ми повiдомляємо паролiiншим колегам та/або нашою компанiєю не запроваджено полiтику безпечного

використання паролiв та їхньої регулярної змiни.

Всi працiвники, у тому числi керiвний персонал, мають унiкальнi паролi, але правила щодо складностi паролю не

застосовуються. Змiна паролiв користувачами можлива, але не є обов'язковою.

✔ Всi працiвники, у тому числi керiвний персонал, мають особистi паролi, якi мають вiдповiдати певним вимогам до

паролiв i повиннi регулярно змiнюватися.

10.ЧИ ЗАПРОВАДЖЕНО КОМПАНIЄЮ ПОЛIТИКУ ЩОДО НАЛЕЖНОГО ВИКОРИСТАННЯ

МЕРЕЖI IНТЕРНЕТ ТА СОЦIАЛЬНИХ МЕРЕЖ?

✘ Нi, відсутня політика щодо належного використання мережiIнтернету не запроваджено.

Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної

безпеки для вашої компанiї.

Так Ні

Чи запровадженовашоюкомпанієюглобально-визнану політику щодопаролів,

дотримання якої обов'язкове?

Чи можете ви із впевненістю стверджувати, що пароліу вашійкомпанії

незберігаютьсявлегкодоступних файлах, не є відсутніми чи встановленими за

замовчуванням або рідко змінюються навіть на мобільних пристроях?

Чи відчуваєте ви себе добрезахищеними від несанкціонованогофізичногодоступу до

системи?

Чи усвідомлюютькористувачіта підрядникисвою відповідальність щодо захисту

обладнання, яке працює у автоматичному режимі (необхідність здійснення виходу

користувача із системи)?

Чи проведено навчання співробітниківщодо розпізнавання загроз соціальної інженерії і

реагуваннянатакі загрози?

45

Так, полiтику запроваджено та розмiщено у мiсцi з можливiстю централiзованого доступу для всiх працiвникiв, але

ознайомлення персоналу з нею документально не оформлене.

✔ Так, полiтика щодо належного використання мережiIнтернету є частиною трудової угоди/ознайомлення всiх

спiвробiтникiв з полiтикою оформлене документально у письмовому виглядi.


Так Нi

Так Ні

Чи запроваджені загальніпринципи тапроцедури щодо комунікації для співробітників

компанії, у тому числі стосовно спілкування із пресоюта в соціальнихмережах?

Чи існує дисциплінарна процедурадляперсоналу, який порушує корпоративні принципи

щодо комунікації?

Чи здійснює спеціально призначена особа аборобоча група аналіз даних про компанію

в мережі Інтернетз метою оцінки іміджевих ризиківістатусу компанії?

Чи здійснено вашоюкомпанією оцінку рівня своєївідповідальності за

діїпрацівниківабоінших внутрішніхкористувачів абозловмисників у разі вчинення ними

протиправних дій з використанням систем компанії?

Чи вжито вашою компанією заходівщодо запобігання можливості співробітниківабо

іншихвнутрішніхкористувачів здійснювати атакинаінші сайти?

11.ЧИ ЗАБЕЗПЕЧЕНО ВАШОЮ КОМПАНIЄЮ ВИМIРЮВАННЯ, ЗВIТНIСТЬ ТА ВЖИВАННЯ

ВIДПОВIДНИХ ПОДАЛЬШИХ ЗАХОДIВ З ПИТАНЬ, ПОВ'ЯЗАНИХ IЗ IНФОРМАЦIЙНОЮ

БЕЗПЕКОЮ? ✘ Монiторинг, звiтування або подальшi заходи iз забезпечення ефективностi та адекватностi наших заходiв безпеки

не здiйснюються.

Нашою компанiєю запроваджено iнструменти та методи монiторингу, звiтування та здiйснення

подальших дiй iз забезпечення ефективностi та адекватностi вибору певних заходiв безпеки.

✔ Нашою компанiєю запроваджено iнструменти та методи монiторингу, звiтування та здiйснення

подальших дiй iз забезпечення ефективностi та адекватностi всiх заходiв безпеки.


Так Ні

Чи ведутьсяжурналиаудиту тареєстри подій стосовно інцидентів інформаційної безпеки,

та чи вживаються превентивні заходи, спрямовані на попередження повторення

інцидентів?

Чи здійснюєвашакомпаніяперевірку дотриманнянормативно-правових вимог

(наприклад, щодо конфіденційності даних)?

Чи запроваджено вашоюкомпанією власніметодики для сприяння керівництвувоцінці

рівнябезпеки таполіпшення здатності компанії знижуватипотенційніризики?

45

Чи існує в вашій компанії план забезпечення інформаційної безпеки, включаючицілі,

методи оцінки виконання іпотенційніможливості співпраці?

Чи надаються звітиз моніторингу та щодо інцидентіворганам владита іншим

зацікавленим особам, таким як, наприклад, асоціація компаній окремого сектору

економіки?

12.ЯКИМ ЧИНОМ СИСТЕМИ ВАШОЇ КОМПАНIЇ ПIДТРИМУЮТЬСЯ В АКТУАЛЬНОМУ

СТАНI?

✘ Ми покладаємося на автоматичне управлiння виправленнями з боку постачальника для бiльшостi наших рiшень.

Патчi безпеки застосовуються регулярно на щомiсячнiй основi.

✔ Нами запроваджено процес управлiння вразливостями та здiйснюється постiйний пошук iнформацiї щодо

можливих вразливостей (наприклад, завдяки пiдписцi на сервiс, який автоматично розсилає попередження про новi

вразливостi), а також застосовуються патчi безпеки задля зниження вiдповiдних ризикiв.


Так Ні

Чи єскануваннявразливостейрегулярним завданням з технічного

обслуговуваннявкомпанії?

Чи здійснюється аналіз та тестування прикладних програмпіслязмінвопераційній

системі?

Чи можутькористувачі власноруч перевірити наявністьневиправленихприкладних

програм?

Чи усвідомлюють користувачі, що вони також повинні забезпечувати актуальність

операційної системи і прикладних програм, у тому числі ПЗ безпеки насвоїх

мобільнихпристроях?

Чи проведено навчаннякористувачівщодо розпізнання офіційних попереджень (запити

дозволити встановленняоновленьабоповідомленняантивірусного ПЗ) та щодо

повідомлення робочої групи безпеки, якщо відбувається щосьпідозріле?

13.ЧИ ЗДIЙСНЮЄТЬСЯ РЕГУЛЯРНИЙ АНАЛIЗ ТА УПРАВЛIННЯ ПРАВАМИ ДОСТУПУ

КОРИСТУВАЧIВ ДО ДОДАТКIВ I СИСТЕМ?

✘ Права доступу до додаткiв i систем регулярно не аналiзуються та не змiнюються. Права доступу до додаткiв i систем скасовуються лише коли спiвробiтник звiльняється.

✔ Компанiєю запроваджено полiтику контролю доступу, що передбачає регулярний аналiз наданих прав доступу

користувачiв до всiх вiдповiдних бiзнес-додаткiв i супутнiх систем.


Так Ні

45

Чи обмеженийдоступдо електроннихінформаційних систем іфункціональних

можливостей у положеннях відповідних політик тапроцедур?

Чи має ваша компанія політику конфіденційності стосовно інформації, яку вона збирає

(наприклад, провашихклієнтів: фізичні адреси, адреси електронноїпошти, історія

перегляду в мережі, іт.ін.)?

Чи визначено відповідною політикоюіпроцедурамиметоди,

використовуванідляконтролюфізичного доступудо зон, що охороняються, наприклад,

електронні двернізамки, системи контролю доступу, відеоспостереження?

Чи скасовується автоматично доступдо приміщень та інформаційних систем, якщо

співробітник звільняється?

Чи класифікуютьсяконфіденційні дані ("строгоконфіденційна інформація",

"конфіденційна інформація", "тількидлявнутрішнього використання" тощо) та чи

ведеться обліккористувачів, яким надані відповідні права доступу?

14.ЧИ МАЮТЬ МОЖЛИВIСТЬ СПIВРОБIТНИКИ ВАШОЇ КОМПАНIЇ ВИКОРИСТОВУВАТИ

СВОЇ ОСОБИСТI ПРИСТРОЇ, ТАКI ЯК МОБIЛЬНI ТЕЛЕФОНИ ТА ПЛАНШЕТИ, ДЛЯ

ЗБЕРЕЖЕННЯ АБО ПЕРЕДАЧIКОРПОРАТИВНОЇ IНФОРМАЦIЇ?

✘ Так, в нашiй компанiї можна зберiгати або передавати корпоративну iнформацiю за допомогою особистих

пристроїв без реалiзацiї додаткових заходiв безпеки.

Нами запроваджено полiтику, що забороняє використання особистих пристроїв для зберiгання або

передачi корпоративної iнформацiї, але технiчно це є можливим без реалiзацiї додаткових заходiв безпеки.

✔ Особистi пристрої можуть використовуватися для збереження або передачi корпоративної iнформацiї

виключно пiсля реалiзацiї заходiв безпеки на такому пристрої та/або якщо було забезпечено встановлення на

пристрiй схваленого професiйного рiшення.


Так Ні

Чи запроваджено ввашій компанії ефективну політику

використаннявласнихпристроївспівробітників?

Чи захищені мобільні пристрої співробітників від несанкціонованого використання?

Чи здійснюється безперервна ідентифікація всіх пристроїві з'єднань вмережі?

Чи використовуються методишифруванняна кожномумобільному пристрої, щоб

забезпечення конфіденційності і цілісностіданих?

Чи існує корпоративна обізнаність, що втой час якокремий працівникможе нести

відповідальністьза пристрій, за корпоративні дані відповідальність нестиме так само

компанія?

15.ЧИ ВЖИВАЄ ВАША КОМПАНIЯ ЗАХОДИ ЩОДО ЗАПОБIГАННЯ ВТРАТIIНФОРМАЦIЇ,

ЯКА ЗБЕРIГАЄТЬСЯ?

✘ Ми не застосовуємо процедуру резервного копіювання/відновлення даних.

45

Ми застосовуємо процедуру резервного копіювання/відновлення даних, але перевiрка можливостi вiдновлення

даних не здiйснюється.

✔ Ми застосовуємо процедуру резервного копіювання/відновлення даних, яка також передбачає

проведення перевiрок можливостi вiдновлення даних та їхньої стiйкостi до пошкодження. Ми зберiгаємо резервнi

копiї в iншому безпечному мiсцi або застосовуємо iншi рiшення високої доступностi.

Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої

компанiї.

Так Ні

Чи є достатньою кількість співробітників, здатнихздійснювати резервне

копіюваннячиархівацію даних?

Чи захищене обладнаннявідзбоївелектроживленняза допомогою підключення до

декількох постачальників електроенергії, використання джерел безперебійного

живлення, резервних генераторівтощо?

Чи здійснюється регулярна перевірка резервних копій даних для забезпечення того, що

дані можутьбути відновленівтерміни, передбачені процедурою відновлення?

Чи застосовуєваша компаніяпроцедуризвітуваннящодо

загубленихабовикраденихмобільних пристроїв?

Чи здійснюється підготовка співробітниківщодо дій, яких необхідно вжити у випадку

випадкового видалення інформації, а також щодо відновлення інформаціїу

надзвичайній ситуації?

16.ЧИ Є ВАША КОМПАНIЯ ПIДГОТОВЛЕНОЮ ДО РЕАГУВАННЯ НА IНЦИДЕНТИ IНФОРМАЦIЙНОЇ

БЕЗПЕКИ?

✘ У нас не виникне жодних iнцидентiв, а навiть якщо таке матиме мiсце, нашi спiвробiтники достатньо

компетентнi, щоб впоратися iз проблемою.

Нами запроваджено процедури управлiння iнцидентами, однак вони не поширюються на iнциденти

iнформацiйної безпеки.

✔ Нами запроваджено спецiальну процедуру управлiння iнцидентами iнформацiйної безпеки, якою

передбачено необхiднi механiзми ескалації та внутрiшньої корпоративної комунiкацiї. Ми прагнемо здiйснювати

управлiння iнцидентами якомога ефективнiше та результативнiше, тому ми вивчаємо як краще захистити себе в

майбутньому.

Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої

компанiї.

Так Ні

Чи поширюється вашапроцедура нарізні типиінцидентів, починаючи від відмовив

обслуговуваннідо порушенняконфіденційності тощо, та чи передбачені процедурою

способи реагування на них?

Чи маєваша компаніяплан комунікації в процесі управлінняінцидентами?

45

Чи знаєте ви, якіорганитаяким чином необхідно повідомитиу випадкуінциденту?

Чи визначені у вашій компанії специфічні контактні дані для кожного типуінциденту?

Чи визначено особу, відповідальну за внутрішню комунікацію та за підтримку контактів

із працівникамита їхніми родинами?

46

47

ПРИКЛАДИ ІПРАКТИКИ В ГАЛУЗI

ІНФОРМАЦIЙНОЇ БЕЗПЕКИ Кожен із наведених прикладів з практики в галузі інформаційної безпеки є описом ситуації, коли певна

компанія застосувала (абоне застосувала) низку принципівта дій, зазначених вище в цій настанові. Описані

ситуації демонструють, що рекомендовані принципи тадії незалежать відмасштабів та

складностіорганізації.

1. – ВЕЛИКА НАЦIОНАЛЬНА КОМПАНIЯ

(ПРОМИСЛОВА), ЗАДIЯНА В МIЖНАРОДНIЙ

ТОРГIВЛI –

Компанія спеціалізується на формуванні та шліфуванні комплектуючих для машинобудування. Під час

виробництва компанія значною мірою покладається на використання спеціалізованого комп'ютерного

устаткування. У виробничому цеху знаходяться всього декілька стаціонарних комп'ютерів, безпосередньо

підключених до корпоративної внутрішньої мережі, які використовуються в основному для адміністративної

діяльності. Персонал зі служби підтримки обладнання почав використовувати стаціонарні комп'ютери для

більш ефективноїпередачі програмних оновлень навиробниче устаткування.

Однак, під час перерв у роботі співробітники також користовували ті самі комп’ютери для

переглядавебсайтів, гри та для особистої активності в соціальних ережах. Як можна було передбачити, один з

комп’ютерів був уражений шпигунською програмою, яка почала передавати на сторонній хост-вузол дані

про діяльність на комп'ютері. Програма також завантажила додаткове шкідливе ПЗ, яке було призначене для

розповсюдження шкідливого ПЗ та блокування завантаження заражених комп’ютерів через встановлений

зловмисниками період часу, і розблокування було можливим тільки після вводу певного пароля.

Служба підтримки продовжувала свою повсякденну робочу діяльність, встановлюючи програмні оновлення

на виробниче устаткування, такимчином, також поширюючи шкідливе ПЗ на всі виробничі машини компанії.

Через тиждень персоналу не вдалося запустити три спеціалізовані комп’ютери, а також усі заражені

стаціонарні комп'ютери у виробничому цеху.

Компанія звернулась до експерта-консультанта з питань технічної безпеки для встановлення причини

ситуації, що склалася. На стаціонарних комп’ютерах експертом було виявлено безліч різноманітних

шкідливих програм та засобів, які використовують шантажисти. В стороннє ПЗ було інтегровано програму-

клавіатурний шпигун ("кейлоггер"), який реєстрував всі натиски клавіш комп'ютера користувачем.

Саме через цю програму кіберзлочинці зуміли отримати доступ до системи та встановити так звану "часову

бомбу". Необхідно зазначити, що на комп'ютері було належним чином встановлено пакет ПЗ безпеки, який

включав в себе антивірусну програму та анти-шпигунське ПЗ. Однак, як виявилося, функцію автоматичного

оновлення ПЗ безпеки не було активовано і регулярне сканування системи на предмет "стану здоров'я

безпеки" не здійснювалося. У результаті інфекція поширилася на все комп’ютерне устаткування виробничого

цеху і стаціонарні комп’ютери.

2.– КОМПАНIЯ РОЗДРIБНОЇ ТОРГIВЛI– Назаражені стаціонарні комп’ютери було надіслане повідомлення, в якому зловмисники вимагали від

компанії переказати суму грошей на певнийбанківський рахунок, щоб отримати спеціальний цифровийключ,

який дозволить розблокуватиобладнання. Через те, що виробнича потужність компанії значно впала, а

розмір викупубув набагато меншим, ніж вартість установки запасних систем, керівництвом компанії було

оперативно ухвалено здійснити банківський переказ. Невдовзі після цього комп'ютерне обладнання було

48

розблоковано і згодом повністю"очищене" і перевстановлено для подальшого використання експертом з

технічної безпеки. Компанія вирішилане вживати подальшихправових дійта не повідомляти проподію

Правоохоронним органам. Ця компанія є доволі великим міжнародним рітейлером. Кількість клієнтів

компанії в Європі перевищує 6 мільйонів, і для них компанією створено окремі профілі, що містять

персональні дані, які зберігаються та класифікуються компанією на основі вподобань та інтересів

користувачів щодо продукції, а також історії здійснених покупок. З метою захисту конфіденційних даних від

хакерів і шкідливих програм, компанія запровадила практику захисту всіх своїх веб-сайтів. Персонал компанії

щоденно займається просуванням на ринку та збутом продукції компанії, обслуговуванням клієнтів, а також

здійснює пошук способів постійного вдосконалення функціональних можливостей і впровадження нових

видів послуг.

Операційний веб-сайт обробляє тисячі транзакцій на день з використанням різних технології для їхньої

обробки. Компанія застосовує механізми виявлення шахрайства з метою виявлення потенційних

шахрайських операцій і забезпечує безперервне тестування основних технологій із врахуванням відомих

загроз і вразливостей.

При виявленні загроз вони автоматично і миттєво знешкоджуються. Групи розробників, фахівців з безпеки та

представників компанії проводять на регулярній основі зустрічі для обговорення потенційних ризиків та

загроз і перевірки того, чи були вразливості, що були визначені, усунені шляхом вжиття відповідних заходів.

Компанiя вирiшила автоматизувати частину свого процесу управлiння безпекою у зв'язку iз характером своєї

дiяльностi та з врахуванням ризикiв, якi можуть їй загрожувати через власнi веб-сайти. Компанiя також

ухвалила здiйснення постiйного аналiзу додаткового програмування шляхом проведення аналiзу програмного

коду третiми сторонами i належного обсягу тестування навiть пiсля того, як функцiональнi можливостi вже

було запроваджено у використання. Інфраструктура регулярно адаптується відповідно до вимог та потреб, що

постійно змінюються, а також задля того, щоб компанія залишалася на позиції лідеру в своїй галузі. Системи

компанiї вимагають актуалiзацiї та запровадження виправлень (патчiв безпеки) майже на щоденнiй основi.

Компанiєю також запроваджено практику зовнішньої перевірки (сканування)

інфраструктури, що дозволяє виявити існуючі та потенційнівразливі місця. Компанія постійно має справу із

численними спробами отримати доступ до персональних даних або іншої конфіденційної інформації з боку як

хакерів, так і зареєстрованих користувачів. Компанія визнає, що із врахуванням характеру її діяльності настане

день, коли її систему також може бути зламано, та нею створено робочу групу і запроваджено відповідні

процедури із зниження ризиків, забезпечення ефективної комунікації та відновлення.

3. – БУХГАЛТЕРСЬКА КОМПАНІЯ –

Невелика сімейна бухгалтерська компанія довгі роки надає послуги з бухгалтерського

обліку для представників малого, середнього бізнесу, а також низцідужевеликих корпоративних клієнтів.

У 2012 році компанія була уражена шкідливим ПЗ, комбінацією вірусів та троянських програм, які

потрапили до системи разом із програмним забезпеченням, доступним для вільного завантаження.

Віруси інфікували файли, унеможлививши їхнє використання. В основному, жертвою вірусів стали

документи Microsoft Word і електронні таблиціExcel.Длякомпанії, діяльність якої залежить від

використання пакету ПЗ Microsoft Office, вірус виявився вкрай руйнівним. Крім того, вірусом було

відключенофункції безпеки встановленого антивірусного програмного забезпечення, що призвело до

подальшого інфікування системи іншими вірусами.

Було встановлено, що вірус потрапив у систему разом із програмним забезпеченням,

доступним для вільного завантаження під назвою Defense Center (укр.: центр захисту), яке удавало, що

було призначене для захисту користувача від шкідливих загроз. Програмне забезпечення було

завантажене з мережі Інтернет, і зараження локального комп’ютера розпочалось як тільки ПЗ було

інстальоване співробітником. В ПЗ було інтегровано фрагмент шкідливого коду (так званий "троянський

код"), що дозволило хакерам отримати доступ безпосередньо до комп’ютера користувача, оскільки

троянська програма надала їм всі дані, необхідні для підключення.

50

Кожен файл, який був відкритий користувачем, було інфіковано, і поширення вірусу

надалі продовжилось через відправку заражених файлів електронною поштою адресатам компанії.

Зазвичай отримувачі завжди відкривають вкладення до листа від особи, якій вони довіряють. Однак, на

щастя, в цій ситуації отримувачі, у яких антивірусні інструменти постійно підтримувалися в актуальному

стані, змогли виявити шкідливе ПЗ всередині вкладень. Компанію було проінформовано про зараження

її документів, з тим щоб уникнути завдання подальшої шкоди. Шкідлива програма швидко поширилася

по локальній мережі компанії, і незабаром всі без винятку комп'ютери були заражені. Вірус почав

знищувативсі файли.xls (електронні таблиці Excel) та файли .doc (документи Word), що зберігалися на

жорстких дисках, і на екранах моніторів замість файлів відображався напис "Помилка даних". Втрата

даних клієнтів могла призвести до повного краху і банкрутства компанії.

4. – СТАРТАП –

Молода компанія здійснює діяльність з регулювання попиту на електроенергію на

повністю автоматизованій основі та пропонує операторам мережі електропостачання можливість

зниження електроспоживання, що є доцільним для зниження навантаження на мережу при

надлишковому попиті на електроенергію, яке може ставити під загрозу стабільність мережі. Компанія

пропонує отримання електроенергії від промислових споживачів, які мають можливістьна невеликий

період часу знизити обсяг власного споживання під час виробничого процесу безнегативного впливу на

обсяги виробництва. Власна технологічна платформа стартапу дозволяє забезпечити повний цикл

автоматизації процесу.

На щастя, компанією було запроваджено ефективну систему резервного копіювання

даних: наприкінці кожного тижня всі дані з кожного робочого комп'ютерав мережі копіювалися на

новий DVD-диск, який підлягав належному маркуванню і подальшому зберіганню в надійному місці за

межами компанії. Незважаючи на те, що всі дані зкожного комп'ютера було втрачено, їх вдалося

відновити за допомогою резервних копій на DVD-дисках. Компанії вдалося відновити більшість файлів,

хоча вони все одно втратили дані за три повні дні роботи після останнього резервного копіювання.

Завантаження шкідливого ПЗ не було виявлено системою безпеки, оскільки операція була виконана

користувачем без використання брандмауера. Наслідки події підкреслили необхідність проведення

належної підготовки персоналу щодо роботи з Інтернет джерелами, а також нагальність перегляду

процедури резервного копіювання і проведення регулярної перевірки можливості відновлення файлів.

Потреба в безпеці

Необхідність забезпечення інформаційної безпекив роботі компанії обумовлена

двомаключовими аспектами:

1.Технологічна пов’язаністькритично важливих систем. Технологічна

платформаз'єднана із контрольнимицентрамиоператорів мережі, а також з системами

автоматизаціїкомунальних і промисловихоб'єктів, які розглядаютьсяяк критично важливі для здійснення

діяльності та вразливі докібератак. Неналежний рівеньбезпеки може серйозно зашкодити репутаціїта

подальшим перспективам стартапу.

2. Конфіденційність інформації та ноу-хау. Оскільки проект є технологічним, основна

перевага компанії забезпечується її фірмовою технологією та ноу-хау. Тому компанії слід ретельно

охороняти цю інформацію від конкурентів та інших сторін.

Активна участь з боку керівництва і персоналу

• Рада директорів неодноразово підкреслювала необхідність зосередитися на

питанні безпеки, заохочуючи керівний персонал до визначення чіткої політики та процедури з метою

захисту комерційних таємниць та інтелектуальної власності.

• Робота із конфіденційною інформацією: відповідні принципи та процедури

визначені та доведені до відома персоналу в межах всієї компанії.

50

• Персонал компанії з науково-дослідної та проектно-конструкторської роботи

дотримується належних керівних принципів строгої автентифікації, шифрування паролів і приділяє

належну увагу питанню безпекина кожному етапі процесу розробки.

Основні пункти програми дій компанії із забезпечення інформаційної безпеки

Поточний підхід:

1. Технічні заходи:

a. Технологічну платформу розміщенов центрах обробки даних, в яких реалізовано

найсучаснішізаходи безпеки.

b. Критичні клієнти підключаються через спеціалізовану мережу, в той час як інші

клієнти – через IPSec-тунелі із застосуванням суворих налаштувань брандмауера.

c. Контроль доступу до технологічної платформи забезпечується поєднанням

апаратних ключів та строгокерованих складних паролів.

2. Організаційні заходи: всі документи є маркованими відповідно до рівня

конфіденційності; запроваджено надання доступу до даних виключно за принципом службової

необхідності.

Процедурні заходи: різні рівні доступу до технологічної платформи визначені для

кожної групи користувачів. Особливою проблемою для невеликої компанії, що реалізує такий проект як

цей, є те, що вона не може дозволити собі спеціалізований штат служби безпеки. З цієї причини

протягом 2013 року також було організовано проведення зовнішнього аудиту з метою проведення

структурного аналізута оцінки ризиків в межах проекту.

Середньострокові цілі:

1. Експертом зенергетичної безпеки буде проведено комплексний аналіз

вразливостей та ризиків в сфері безпеки.

2. Протягом всього року компанія здійснюватиме ретельну підготовку до

сертифікації, зосереджуючи увагу на запровадженні процедур, забезпеченні корпоративної

поінформованості та розробці стабільної моделі регулярного аналізу стану інформаційної безпеки.

3. Стандарт ISO 2700X: в наступному році компаніяпрагне отриматисертифікат

відповідності вимогам стандарту ISO27001/2, що дозволить їй отримати статус більш "кіберзахищеного"

підприємства.

51

58

КОНТАКТИ

КОНТАКТИОРГАНIЗАЦIЙ

ЗIНФОРМАЦIЙНОЇБЕЗПЕКИ Всi контактнi данi пiдтримуються в актуальному станi на веб-сайтiwww.isaca.org.ua.

Перелiк контактiв мiстить данi щодо державних установ та органiзацiй, а також щодо певних некомерцiйних

органiзацiй.

НАЗВА КОНТАКТНА IНФОРМАЦIЯ ФУНКЦIЇ В ГАЛУЗIIНФОРМАЦIЙНОЇ БЕЗПЕКИ

ДЕРЖАВНI УСТАНОВИ ТА ОРГАНIЗАЦIЇ

СERT-UA http://cert.gov.ua/

CERT-UA (скор. – Computer

Emergency Response Team of Ukraine

– команда реагування на

комп’ютернi надзвичайнi подiї

України) – спецiалiзований

структурний пiдроздiл Державного

центру кiберзахисту та протидiї

кiберзагрозам (ДЦКЗ) Державної

служби спецiального зв’язку та

захисту iнформацiї України

(Держспецзв’язку)

04119, м. Київ, вул. Мельникова, 83Б.

Тел.: +38 (044) 281-88-25

Тел.(мiжн.): +38 (044) 439-31-33

E-mail: [email protected]

Основна мета CERT-UA – забезпечити захист державних

iнформацiйних ресурсiв та iнформацiйних i

телекомунiкацiйних систем вiд несанкцiонованого

доступу, неправомiрного використання, а також

порушень їх конфiденцiйностi, цiлiсностi та доступностi. Разом з тим, беручи до уваги транскордоннiсть

кiберзагроз, сфера дiяльностiCERT-UA включає, в тому

числi, заходи, спрямованi на лiквiдацiю iнцидентiв

iнформацiйної безпеки, якi виникають в

iнформацiйному (кiбер) просторi українського сегменту

мережiIнтернет.

Крiм того, зважаючи на членство в мiжнародних

iнституцiях, враховуючи взятi на себе зобов’язання i,

усвiдомлюючи важливiсть державно-приватного

партнерства у сферi кiбербезпеки, CERT-UA надає

сприяння в лiквiдацiї загроз українському приватному

сектору, а також закордонним державному i приватному

секторам.

НАЗВА КОНТАКТНА IНФОРМАЦIЯ ФУНКЦIЇ В ГАЛУЗIIНФОРМАЦIЙНОЇ БЕЗПЕКИ

58

ДЕРЖАВНI УСТАНОВИ ТА ОРГАНIЗАЦIЇ

Сфера вiдповiдальностi ДССЗЗI, до якої вiдноситься CERT-UA:

формування та реалiзацiя державної полiтики щодо захисту у

кiберпросторi державних iнформацiйних ресурсiв та iнформацiї, вимога

щодо захисту якої встановлена законом, кiберзахисту критичної

iнформацiйної

iнфраструктури, державний контроль у цих сферах; координацiя

дiяльностi iнших суб'єктiв кiбербезпеки щодо кiберзахисту; здiйснення

органiзацiйнотехнiчних заходiв iз запобiгання, виявлення та реагування

на кiберiнциденти i кiбератаки та усунення їх наслiдкiв, iнформування

про кiберзагрози та вiдповiднi методи захисту вiд них; забезпечення

функцiонування державного центру кiберзахисту; проведення аудиту

захищеностi об'єктiв критичної iнформацiйної iнфраструктури на

вразливiсть.

Департа мент

Кiберпол

iцiї

https://www.cybercrime.gov.ua/

Телефони:

Приймальня: +380 (44) 374 3713

Канцелярiя: +380 (44) 374 3751 Факс:

+380 (44) 374 3700 Юридична

адреса: вул.

Богомольця,10, м.Київ,

01601, Україна

Фактична адреса: вул.

Бориспiльська 17-в, м.Київ,

02093, Україна

E-mail: [email protected] Для

написання заяв про вчинення

кримiнального правопорушення:

https://www.cybercrime.gov.ua/fee

dback5-ua

Сфера вiдповiдальностi Нацiональної Полiцiї України щодо

кiбербезпеки: забезпечення захисту прав i свобод людини та

громадянина, iнтересiв суспiльства i держави вiд злочинних посягань у

кiберпросторi; запобiгання, виявлення, припинення та розкриття

кiберзлочинiв; пiдвищення поiнформованостi громадян про безпеку в

кiберпросторi.

Кiберполiцiя — структурний пiдроздiл Нацiональної полiцiї України, що

спецiалiзується на попередженнi, виявленнi, припиненнi та розкриттi

кримiнальних правопорушень, механiзмiв пiдготовки, вчинення або

приховування яких, передбачає використання

електроннообчислювальних машин (комп'ютерiв), телекомунiкацiйних

та комп'ютерних iнтернет-мереж i систем.

Служба

Безпеки

України

http://www.sbu.gov.ua/

Цілодобова гаряча лінія: 0 800

501 482


Попередження, виявлення, припинення та розкриття злочинів проти

миру і безпеки людства, які вчиняються у кіберпросторі; здійснення контррозвідувальних та оперативно-розшукових заходів, спрямованих

на боротьбу з кібертероризмом та кібершпигунством, а також щодо

готовності об'єктів критичної інфраструктури до можливих кібератак та

кіберінцидентів; протидія кіберзлочинності, можливі наслідки якої

безпосередньо створюють загрозу життєво важливим інтересам

України; розслідування кіберінцидентів та кібератак щодо державних

електронних інформаційних ресурсів, інформації, вимога щодо захисту

якої встановлена законом, критичної інформаційної інфраструктури;

забезпечення реагування на комп'ютерні інциденти у сфері державної

безпеки.

58

Національний

Банк Укриаїни www.bank.gov.ua

Адреса Національного банку

України 01601, Київ, вул.

Інститутська, 9

Довідка телефонів НБУ: тел. 253-

01-80

(пн.-чт. - 9:00 - 13:00, 13:45 -

18:00, пт. - 9:00 - 13:00, 13:45 -

16:45)

Факс: 230-20-33, 253-77-50

(працює цілодобово)

Лінія "довіри": тел. 230-19-60

(працює автовідповідач –

цілодобово) Електронна адреса:

[email protected] Facebook:

https://www.facebook.com/Nation

alBankOfUkraine/ Youtube:

https://www.youtube.com/channel/

UCLWsi-3SHrFwwyb0AceOgHQ

НБУ відповідає за формування вимог щодо кіберзахисту критичної

інформаційної інфраструктури у банківській сфері. Національним банком

України розроблено докладні нормативні документи інформаційної

безпеки на основі міжнародних стандартів ISO-27001 та ISO-27002,

обов’язкові для впровадження всіма банківськими установами України.

ENISA

(організа ція

Євросою

зу)

www.enisa.europa.euhttp://cyberse

curitymonth.eu/

Європейське Агентство з

Мережевої та Інформаційної

Безпеки

(European Network &

Information Security Agency)

Науково-технологічний парк

Криту

(Science and Technology Park of

Crete)

Вассіліка Вутон, 700 13 Іракліон,

Греція

(Vassilika Vouton, 700 13 Heraklion

Greece)

+30 28 14 40 9710

[email protected]

Європейське Агентство з Мережевої та Інформаційної Безпеки (ENISA) є

відповіддю ЄС на проблеми кібербезпеки в Європейському Союзі.

Установа є головним центром експертизи в галузі інформаційної безпеки

в Європі.

ЄС встановлено за мету перетворити веб-сайт ENISA на європейський

центр обміну інформацією, досвідом передової практики і знаннями в

сфері інформаційної безпеки.

НАЗВА КОНТАКТНА IНФОРМАЦIЯ ФУНКЦIЇ В ГАЛУЗI IНФОРМАЦIЙНОЇ БЕЗПЕКИ

ISACA

Київське відділення міжнародної неприбуткової

професійної асоціації

ISACA

Київське відділення: www.isaca.org.ua Глобальна

ISACA: www.isaca.org Facebook:

https://www.facebook.com/Kyiv.ISACA

+38-050-315-7995


ISACA – міжнародна професійна асоціація яка

об’єднує професіоналів в галузі ІТ-аудиту,

кібербезпеки, інформаційної безпеки та ІТ-

управління. ISACA заснована в 1969 році і на

сьогодні об’єднує більш ніж 110 000 членів в 180-

ти країнах. Київське відділення ISACA ставить за

мету забезпечення розвитку українського

професійного співтовариства з ІТ, підвищення

рівня обізнаності та освіти, а також

впровадження кращих світових практик з ІТ-

управління, кібербезпеки, інформаційної безпеки

та управління ІТ-ризиками.

Пріоритетні напрямки роботи

• Сприяння реформам в Україні в частині

підвищення безпеки, ефективності та

контрольованості використання

інформаційних технологій

58

• Переклад та адаптація міжнародних

стандартів та кращих практик

• Сприяння створенню освітніх програм

для ВНЗ

• Організація навчання для підготовки до

сертифікаційних іспитів ISACA

• Проведення досліджень на актуальні

теми

Професійні Сертифікації

• CSX – Сертифікація з кібербезпеки

• CISA – Сертифікований Аудитор

Інформаційних Систем

• CISM – Сертифікований менеджер з

інформаційної безпеки

• CRISC – Сертифікований спеціаліст з

управління ІТризиками

• CGEIT – Сертифікований професіонал з

управління інформаційними

технологіями

Публікаціїукраїнською мовою

Настанови з управління ІТ - Cobit -

http://www.isaca.org/Knowledge-

НАЙБIЛЬШ ПОШИРЕНI КЕРIВНI ПРИНЦИПИ

ТА СТАНДАРТИ З КIБЕРБЕЗПЕКИ

ТА IНФОРМАЦIЙНОЇ БЕЗПЕКИ

ОГЛЯДОВИЙ ПЕРЕЛIК

Для того, щоб розпочати впровадження або додатково вдосконалити стан вашої iнформацiйної безпеки, ми

рекомендуємо ознайомитися з одним або декiлькома iз всесвiтньо визнаних стандартiв та керiвних

принципiв:

НАЙМЕНУВАННЯ ОРГАНIЗАЦIЯ ВЕБ-САЙТ

ISO 22301:2012 ISO (Мiжнародна органiзацiя iз

стандартизацiї)

http://www.iso.org/iso/home.html

Стандарти серії

ISO 27XXX ISO (Мiжнародна органiзацiя iз

стандартизацiї)

http://www.iso.org/iso/home.html

COBIT 5:

Контрольнi цiлi

для технологiї

обробки

iнформацiї та

сумiжної

технологiї для


безпеки

(COBIT 5

forinformationsec

urity)

Асоцiацiя аудиту та контролю

iнформацiйних систем ISACA

www.isaca.org/cobit

Український переклад Cobit 4:

http://www.isaca.org/KnowledgeCenter/cobit/Documents/COBIT-4-

1Ukrainian.pdf

58

Стандарти серiї

SP800 Настанови

з впровадження

кібербезпеки

Нацiональний iнститут стандартiв

i технологiї, США (National

Institute of

Standards and Technology, NIST)

www.isaca.org/cobit

Український переклад Cobit 4:

http://www.isaca.org/KnowledgeCenter/cobit/Documents/COBIT-4-

1Ukrainian.pdf

Стандарт

належної

практики з


безпеки

(Standard of Good

Practice for

Information

Security)

Форум Iнформацiйної

Безпеки (Information

Security Forum, ISF)

https://www.securityforum.org/tools/sogp/

Захист ключової


iнфраструктури

(CIIP) та

Програмне

забезпечення

NCSS для

статистичного

аналiзу даних

Європейське Агентство з

Мережевої та

Iнформацiйної Безпеки

(ENISA)

http://www.enisa.europa.eu/activities/Resilienceand-CIIP

Методи навчання

захисту

iнформацiї

(Information

security Training

Techniques)

Iнститут SANS http://www.sans.org/reading-room/

Модель

"Створення

безпеки в зрiлiй

моделi" (Building

Security In

Maturity Model,

BSIMM)

BSIMM http://www.bsimm.com

Загальноприйняті

принципи

інформаційної

безпеки

(Generally

Accepted

Information

Security

Principles, GAISP)

GAISP http://all.net/books/standards/GAISP-v30.pdf

Настанова з

належної

практики (Good

Practice

Guidelines)

Інститутбезперервностібізнесу

(Business

Continuity Institute, BCI)

http://www.thebci.org/index.php/resources/thegood-practice-

guidelines

Керівний

принцип DMBOK DAMA http://www.dama.org

Принципи SABSA

TOGAF

Оупен Груп (Open Group) http://www.opengroup.org/togaf/

58

Методика

OCTAVE CERT http://www.cert.org/octave/

Методика EBIOS НаціональнеАгентствозбезпекиін

формаці йнихсистем, Франція

(Agence nationale de la sécurité

des systèmes d'information, ANSSI)

http://www.ssi.gouv.fr/fr/bonnespratiques/outils-

methodologiques/

Специфікація PAS

555:2013

БританськийІнститутСтандартів

(British Standards Institute) http://www.itgovernance.co.uk/shop/p-1356pas-555-2013-cyber-

security-risk-governanceand-management.aspx

Критерії оцінки

безпеки

інформаційної

технології /

Настанова

(Information

Technology

Security

Evaluation Criteria

/Manual)

Федеральне управління з питань

безпеки інформаційних

технологій, Німеччина

(Bundesamt für Sicherheit in der

Informationstechnik)

https://www.bsi.bund.de/EN/Topics/topics_node.

html

Настанови з


систем

промислової

автоматизації

ANSII, Франція

http://www.ssi.gouv.fr/uploads/2014/01/industria

l_security_WG_detailed_measures.pdf

Стандарти з

кібербезпеки для

енергетики

NERC CIP, Америка http://www.nerc.com/pa/Stand/Pages/CIPStandar

ds.aspx

Станадрт з


систем

промислової

автоматизації для

енергетики

ISO (Міжнародна організація із

стандартизації)

http://www.iso.org/iso/home/store/catalogue_tc/

catalogue_detail.htm?csnumber=43759

Основні

положенні

професійної

практики аудиту

ІТ (Українською

мовою)

ISACA

http://www.isaca.org/KnowledgeCenter/Research/Documents/ITAF-

3rd-

Edition_fmk_Ukr_1214.pdf

Впровадження

європейської


(Українською

мовою)

ISACA

http://www.isaca.org/KnowledgeCenter/Research/Documents/Euro

peanCybersecurity-Implementation-

Overview_res_Ukr_1215.pdf

58

ПЕРЕЛIК ВИКОРИСТАНОЇ ЛIТЕРАТУРИ

Аллен енд Оверi (2012 р.). ЄС i США пропонують новi стратегiї кiбербезпеки. Лондон, Великобританiя Джерело: http://www.allenovery.com/publications/en-gb/Pages/EU-and-U-S-propose-new-cybersecurity-strategies.aspx Бергсма, К. (2011 р.). Управлiння iнформацiйною безпекою. Джерело: https://wiki.intemet2.edu/confluence/display/itsg2/Information+Security+Govemance

Захистiть свiй бiзнес. Джерело: http://www.beschermjebedrijf.nl

Група комп’ютерного реагування CERT-EU. (2012 р.). Реагування на iнциденти – Керiвнi принципи збору даних для цiлей розслiдування.

Версiя 1.3. Джерело: http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_12_004_v1_3.pdf

Група комп’ютерного реагування CERT-EU. (2011 р.). Експертна доповiдь з безпеки 2011-003 – Керiвнi принципи з лiкування загальних

заражень шкiдливим ПЗ робочих станцiй на базiWindows. Джерело: http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_11_003_v2.pdf

Група забезпечення прихованостi роботи засобiв зв'язку та електронного устаткування CESG. (2012 р). 10 крокiв до iнформацiйної безпеки.

Глостершир, Великобританiя. Джерело: https://www.gov.uk/government/uploads/system/uploads/attachment_data/fle/73128/12-1120-10-steps-to-cyber-securityexecutive.pdf

Стратегiя кiбербезпеки (2012 р.). Бельгiя. Джерело: http://www.b-ccentre.be

Ернст енд Янг Глобал Лiмiтед. (2012 р.). "Глобальне дослiдження iнформацiйної безпеки-2012 – Прагнення лiквiдувати недолiки" Джерело: http://www.ey.com/Publication/vwLUAssets/Fighting_to_close_the_gap:_2012_Global_Information_Security_Survey/ $FILE/2012_Global_

Information_Security_Survey_Fighting_to_close_the_gap.pdf

Федеральна Комiсiя Зв'язку. Настанова з планування iнформацiйної безпеки, 2012. Вашингтон, округ Колумбiя: Джерело: http://www.fcc.gov/cyber/cyberplanner.pdf

Настанова з управлiння iнформацiйною безпекою. Джерело: http://searchsecurity.techtarget.com/tutorial/Information-Security-Governance-Guide

Асоцiацiя аудиту та контролю iнформацiйних систем ISACA. (2013 р.). Трансформацiя кiбербезпеки: застосування COBIT® 5. США Джерело: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Transforming-Cybersecurity-Using-COBIT-5.aspx

Мiнiстерство безпеки i юстицiї. (2011 р.). Нацiональна стратегiя в галузi кiбербезпеки. Гаага, Нiдерланди Джерело: http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2011/02/22/nationale-cyber-security-

strategieslagkrachtdoor-samenwerking/de-nationale-cyber-security-strategie-definitief.pdf

Нацiональний центр кiбербезпеки. (2013 р.). Оцiнка стану кiбербезпеки Нiдерландiв. Гаага, Нiдерланди Джерело: https://www.ncsc.nl/binaries/nl/dienstverlening/expertise-advies/kennisdeling/trendrapporten/cybersecuritybeeldnederland-3/1/

NCSC+CSBN+3+3+juli+2013.pdf Проект щодо забезпечення безпеки вiдкритих веб-додаткiв (OpenWebApplicationSecurityProject, OWASP). Джерело: https://www.owasp.org

Безпека в Iнтернетi. Джерело: http://www.safeonweb.be.

Iнститут SANS, Управлiння iнформацiйною безпекою, ISO 17799 Контрольний перелiк питань пiд час аудиту 1.1, Серпень 2003 р.

Всесвiтнiй економiчний форум. (2012 р.). Партнерство заради протистояння кiберзагрозам: Ризик та вiдповiдальнiсть у гiперпiдключенному

свiтi – принципи та рекомендацiї. Женева, Швейцарiя Джерело: http://www3.weforum.org/docs/WEF_IT_PartneringCyberResilience_Guidelines_2012.pdf

Ернст енд Янг Глобал Лiмiтед. (2013 р.). Кiберпростiр атакує: Глобальне дослiдження iнформацiйної безпеки-2013. Джерело: http://www.ey.com/Publication/vwLUAssets/EY_-_2013_Global_Information_Security_Survey/SFILE/EY-GISS-Under-cyberattack.pdf

Government & Nonprofit

Настанови з кібербезпеки від експертів