Защита информации в компании: простые правила и никакого волшебства
Нормативная база
Стратегию информационной безопасности нужно разрабатывать с учетом:
- Рисков, которые будут зависеть от степени конфиденциальности информации. Если компания — оператор персональных данных, в основу стратегии лягут рекомендации регуляторов.
- Ожиданий от СИБ, программного обеспечения и оборудования.
- Финансовых вложений в информационную систему.
- Количества и квалификации сотрудников, которые будут реализовывать стратегию, экспертов и аутсорсинговых фирм.
- Сроков.
Система ИБ защитит компанию лучше любого заклинания
Следующий этап — разработка организационных и распорядительных документов. Одни будут содержать принципы информационной безопасности, другие предусмотрены требованиями ФЗ «О защите персональных данных» и рекомендациями ФСТЭК РФ. Организации следует разработать и принять такие документы:
- Политика ИБ;
- Концепция ИБ;
- Положение о коммерческой тайне;
- Прикладные методические материалы.
Политика информационной безопасности — основополагающий для компании документ, который описывает:
- степень конфиденциальности и правила обращения с информацией;
- условия допуска пользователей;
- угрозы и риски информационной безопасности.
Из-за постоянного изменения уровня киберугроз политику информационной безопасности нужно регулярно пересматривать.
Концепция информационной безопасности позволит компании сохранить деловую репутацию и конфиденциальность данных. Чтобы ее разработать, нужно выбрать положения из Стратегии и Политики, которые касаются мер защиты информации.
Положение о коммерческой тайне содержит порядок использования конфиденциальной информации. Передача данных преследуется по закону только в том случае, если в компании объявлен режим коммерческой тайны и разработано соответствующее Положение.
В Положении нужно указать:
- порядок, в соответствии с которым данные можно считать коммерческой тайной;
- порядок обращения с документацией, которая содержит коммерческую тайну;
- ответственных за соблюдение режима коммерческой тайны;
- ответственность за передачу конфиденциальных данных.
Положение должен изучить весь персонал. Также его нужно внести в трудовые договоры. Если произойдет утечка данных, виновные будут наказаны согласно гражданско-правовому порядку. В случае серьезного ущерба виновный понесет уголовную ответственность. Благодаря этим мерам конфиденциальная информация будет надежно защищена от рисков утраты или подмены.
Практические решения
Документация, которая регламентирует поведение сотрудников и устанавливает ответственность, окажет серьезное влияние на работников. По статистике, 80% утечек информации происходит по вине персонала. Однако оставшиеся 20% — это внешние причины.
Слабые места в системе безопасности поможет выявить аудит. Одни компании организуют его самостоятельно, другие привлекают для этого профессионалов.
Полученная информация поможет разработать рекомендации по программным и техническим мерам защиты. На особенности аудита влияет архитектура сети, распределение базы данных, использование облачных хранилищ.
Аудиторские проверки обязательны для нескольких параметров. Разберем их более подробно.
Политика доступа
Во время аудита необходимо дать оценку таким факторам:
- возможность доступа к серверам;
- ограничение прохода в помещения с рабочими станциями;
- использование электронных пропусков;
- качество ведения журнала посещений;
- сроки хранения данных о посетителях;
- эффективность системы видеонаблюдения.
После этого нужно провести анализ системы доступа — уточнить, кто отвечает за создание логинов и паролей. Затем необходимо оценить работу модели дифференцированного доступа и ее необходимость.
Если компания использует многофакторную аутентификацию, необходимо выяснить пути выдачи дополнительных идентификаторов и проверить парольную политику
Состояние сети
Во время аудита сначала нужно оценить:
- место, где расположены серверы;
- организацию доступа к серверам;
- сегментацию сети;
- как используются межсетевые экраны на границах секторов;
- качество файрволов.
Также нужно проверить работу модели удаленного доступа и тип защищенных каналов. Важно, чтобы был использован принцип установки проверенного сервиса VPN. Предоставлять права на удаленный доступ сотрудникам и внешним пользователям должен топ-менеджер.
Обработка инцидентов информационной безопасности
Что важно сделать в рамках аудита:
- выявить критические инциденты информационной безопасности;
- оценить модели уведомлений и реакции на них;
- изменить реестр инцидентов и проанализировать результаты их устранения.
Инциденты нужно классифицировать в соответствии со степенью значимости для каждой информационной системы. Кроме того, необходимо оценить ведение реестров записи действий пользователей и возможности их уничтожения/изменения.
Активы
Нужно создать перечень активов: элементов инфраструктуры, оборудования, важной информации, программных решений. Затем — проанализировать механизм доступа к каждому активу и возможность изменения прав доступа.
Регламенты защиты информации
В рамках аудита необходимо проверить:
- возможность шифрования данных и типы средств, которые для этого необходимы;
- сотрудников, которые имеют доступ к ключам шифрования;
- соответствие алгоритма защиты персональных данных требованиям регулятора.
Результаты аудиторской проверки будут выданы в виде рекомендаций. Благодаря им руководство компании улучшит систему информационной безопасности, чтобы она соответствовала рискам и требованиям времени.
Как только основополагающие документы будут приняты, можно приступать к внедрению. Выбор программных средств будет зависеть от рекомендаций ФСТЭК. Если риск внешних вторжений вызовет серьезные опасения, компании лучше внедрить DLP- и SIEM-системы.
Например, система мониторинга работы персонала и контроля рабочих мест предотвратит любые утечки информации, а также поможет контролировать деятельность сотрудников. Вы узнаете, чем в рабочее время занимаются ваши подчиненные.
Все собранные данные программа сохраняет и передает на сервер. С таким ПО корпоративные данные в безопасности.