Информационная безопасность компании
Система ИБ защитит компанию лучше любого заклинания
Нормативная база
Стратегию информационной безопасности нужно разрабатывать с учетом:
-
Рисков, которые будут зависеть от степени конфиденциальности информации. Если компания — оператор персональных данных, в основу стратегии лягут рекомендации регуляторов.
-
Ожиданий от СИБ, программного обеспечения и оборудования.
-
Финансовых вложений в информационную систему.
-
Количества и квалификации сотрудников, которые будут реализовывать стратегию, экспертов и аутсорсинговых фирм.
-
Сроков.
Следующий этап — разработка организационных и распорядительных документов. Одни будут содержать принципы информационной безопасности, другие предусмотрены требованиями ФЗ «О защите персональных данных» и рекомендациями ФСТЭК РФ. Организации следует разработать и принять такие документы:
-
Политика ИБ;
-
Концепция ИБ;
-
Положение о коммерческой тайне;
-
Прикладные методические материалы.
Политика информационной безопасности — основополагающий для компании документ, который описывает:
-
степень конфиденциальности и правила обращения с информацией;
-
условия допуска пользователей;
-
угрозы и риски информационной безопасности.
Из-за постоянного изменения уровня киберугроз политику информационной безопасности нужно регулярно пересматривать.
Концепция информационной безопасности позволит компании сохранить деловую репутацию и конфиденциальность данных. Чтобы ее разработать, нужно выбрать положения из Стратегии и Политики, которые касаются мер защиты информации.
Концепция должна быть безупречной
Положение о коммерческой тайне содержит порядок использования конфиденциальной информации. Передача данных преследуется по закону только в том случае, если в компании объявлен режим коммерческой тайны и разработано соответствующее Положение.
В Положении нужно указать:
-
порядок, в соответствии с которым данные можно считать коммерческой тайной;
-
порядок обращения с документацией, которая содержит коммерческую тайну;
-
ответственных за соблюдение режима коммерческой тайны;
-
ответственность за передачу конфиденциальных данных.
Положение должен изучить весь персонал. Также его нужно внести в трудовые договоры. Если произойдет утечка данных, виновные будут наказаны согласно гражданско-правовому порядку. В случае серьезного ущерба виновный понесет уголовную ответственность. Благодаря этим мерам конфиденциальная информация будет надежно защищена от рисков утраты или подмены.
Что будет с теми, кто способствует утечке информации
Практические решения
Документация, которая регламентирует поведение сотрудников и устанавливает ответственность, окажет серьезное влияние на работников. По статистике, 80% утечек информации происходит по вине персонала. Однако оставшиеся 20% — это внешние причины.
Слабые места в системе безопасности поможет выявить аудит. Одни компании организуют его самостоятельно, другие привлекают для этого профессионалов.
Полученная информация поможет разработать рекомендации по программным и техническим мерам защиты. На особенности аудита влияет архитектура сети, распределение базы данных, использование облачных хранилищ.
Аудит должен быть беспристрастным и объективным
Аудиторские проверки обязательны для нескольких параметров. Разберем их более подробно.
Политика доступа
Во время аудита необходимо дать оценку таким факторам:
-
возможность доступа к серверам;
-
ограничение прохода в помещения с рабочими станциями;
-
использование электронных пропусков;
-
качество ведения журнала посещений;
-
сроки хранения данных о посетителях;
-
эффективность системы видеонаблюдения.
После этого нужно провести анализ системы доступа — уточнить, кто отвечает за создание логинов и паролей. Затем необходимо оценить работу модели дифференцированного доступа и ее необходимость.
Если компания использует многофакторную аутентификацию, необходимо выяснить пути выдачи дополнительных идентификаторов и проверить парольную политику
Состояние сети
Во время аудита сначала нужно оценить:
-
место, где расположены серверы;
-
организацию доступа к серверам;
-
сегментацию сети;
-
как используются межсетевые экраны на границах секторов;
-
качество файерволов.
Не упускайте даже самых мелких деталей
Также нужно проверить работу модели удаленного доступа и тип защищенных каналов. Важно, чтобы был использован принцип установки проверенного сервиса VPN. Предоставлять права на удаленный доступ сотрудникам и внешним пользователям должен топ-менеджер.
Обработка инцидентов информационной безопасности
Что важно сделать в рамках аудита:
-
выявить критические инциденты информационной безопасности;
-
оценить модели уведомлений и реакции на них;
-
изменить реестр инцидентов и проанализировать результаты их устранения.
Инциденты нужно классифицировать в соответствии со степенью значимости для каждой информационной системы. Кроме того, необходимо оценить ведение реестров записи действий пользователей и возможности их уничтожения/изменения.
Постарайтесь объективно оценить все инциденты
Активы
Нужно создать перечень активов: элементов инфраструктуры, оборудования, важной информации, программных решений. Затем — проанализировать механизм доступа к каждому активу и возможность изменения прав доступа.
Регламенты защиты информации
В рамках аудита необходимо проверить:
-
возможность шифрования данных и типы средств, которые для этого необходимы;
-
сотрудников, которые имеют доступ к ключам шифрования;
-
соответствие алгоритма защиты персональных данных требованиям регулятора.
Результаты аудиторской проверки будут выданы в виде рекомендаций. Благодаря им руководство компании улучшит систему информационной безопасности, чтобы она соответствовала рискам и требованиям времени.
Оптимизация системы ИБ позволит компании работать безопасно и эффективно
Как только основополагающие документы будут приняты, можно приступать к внедрению. Выбор программных средств будет зависеть от рекомендаций ФСТЭК. Если риск внешних вторжений вызовет серьезные опасения, компании лучше внедрить DLP- и SIEM-системы.
Например, сервис ИНСАЙДЕР предотвратит любые утечки информации, а также поможет контролировать деятельность сотрудников. Вы узнаете, чем в рабочее время занимаются ваши подчиненные.
