Главное Свежее Вакансии   Проекты
737 1 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Защита информации в компании: простые правила и никакого волшебства

Компании, которые понимают серьезность киберугроз, внедряют систему информационной безопасности (ИБ). Она должна отвечать потребностям бизнеса и быть эффективной. Сегодня поговорим о стратегии информационной безопасности

Нормативная база


Стратегию информационной безопасности нужно разрабатывать с учетом:

  • Рисков, которые будут зависеть от степени конфиденциальности информации. Если компания — оператор персональных данных, в основу стратегии лягут рекомендации регуляторов.

  • Ожиданий от СИБ, программного обеспечения и оборудования.

  • Финансовых вложений в информационную систему.

  • Количества и квалификации сотрудников, которые будут реализовывать стратегию, экспертов и аутсорсинговых фирм.

  • Сроков.


Система ИБ защитит компанию лучше любого заклинания

Следующий этап — разработка организационных и распорядительных документов. Одни будут содержать принципы информационной безопасности, другие предусмотрены требованиями ФЗ «О защите персональных данных» и рекомендациями ФСТЭК РФ. Организации следует разработать и принять такие документы:

  • Политика ИБ;

  • Концепция ИБ;

  • Положение о коммерческой тайне;

  • Прикладные методические материалы.

Политика информационной безопасности — основополагающий для компании документ, который описывает:

  • степень конфиденциальности и правила обращения с информацией;

  • условия допуска пользователей;

  • угрозы и риски информационной безопасности.

Из-за постоянного изменения уровня киберугроз политику информационной безопасности нужно регулярно пересматривать.

Концепция информационной безопасности позволит компании сохранить деловую репутацию и конфиденциальность данных. Чтобы ее разработать, нужно выбрать положения из Стратегии и Политики, которые касаются мер защиты информации.


Концепция должна быть безупречной

Положение о коммерческой тайне содержит порядок использования конфиденциальной информации. Передача данных преследуется по закону только в том случае, если в компании объявлен режим коммерческой тайны и разработано соответствующее Положение.

В Положении нужно указать:

  • порядок, в соответствии с которым данные можно считать коммерческой тайной;

  • порядок обращения с документацией, которая содержит коммерческую тайну;

  • ответственных за соблюдение режима коммерческой тайны;

  • ответственность за передачу конфиденциальных данных.

Положение должен изучить весь персонал. Также его нужно внести в трудовые договоры. Если произойдет утечка данных, виновные будут наказаны согласно гражданско-правовому порядку. В случае серьезного ущерба виновный понесет уголовную ответственность. Благодаря этим мерам конфиденциальная информация будет надежно защищена от рисков утраты или подмены.

Практические решения


Документация, которая регламентирует поведение сотрудников и устанавливает ответственность, окажет серьезное влияние на работников. По статистике, 80% утечек информации происходит по вине персонала. Однако оставшиеся 20% — это внешние причины.

Слабые места в системе безопасности поможет выявить аудит. Одни компании организуют его самостоятельно, другие привлекают для этого профессионалов.

Полученная информация поможет разработать рекомендации по программным и техническим мерам защиты. На особенности аудита влияет архитектура сети, распределение базы данных, использование облачных хранилищ.


Аудит должен быть беспристрастным и объективным

Аудиторские проверки обязательны для нескольких параметров. Разберем их более подробно.

Политика доступа


Во время аудита необходимо дать оценку таким факторам:

  • возможность доступа к серверам;

  • ограничение прохода в помещения с рабочими станциями;

  • использование электронных пропусков;

  • качество ведения журнала посещений;

  • сроки хранения данных о посетителях;

  • эффективность системы видеонаблюдения.

После этого нужно провести анализ системы доступа — уточнить, кто отвечает за создание логинов и паролей. Затем необходимо оценить работу модели дифференцированного доступа и ее необходимость.

Если компания использует многофакторную аутентификацию, необходимо выяснить пути выдачи дополнительных идентификаторов и проверить парольную политику

Состояние сети


Во время аудита сначала нужно оценить:

  • место, где расположены серверы;

  • организацию доступа к серверам;

  • сегментацию сети;

  • как используются межсетевые экраны на границах секторов;

  • качество файрволов.


Не упускайте даже самых мелких деталей

Также нужно проверить работу модели удаленного доступа и тип защищенных каналов. Важно, чтобы был использован принцип установки проверенного сервиса VPN. Предоставлять права на удаленный доступ сотрудникам и внешним пользователям должен топ-менеджер.

Обработка инцидентов информационной безопасности


Что важно сделать в рамках аудита:

  • выявить критические инциденты информационной безопасности;

  • оценить модели уведомлений и реакции на них;

  • изменить реестр инцидентов и проанализировать результаты их устранения.

Инциденты нужно классифицировать в соответствии со степенью значимости для каждой информационной системы. Кроме того, необходимо оценить ведение реестров записи действий пользователей и возможности их уничтожения/изменения.

Активы


Нужно создать перечень активов: элементов инфраструктуры, оборудования, важной информации, программных решений. Затем — проанализировать механизм доступа к каждому активу и возможность изменения прав доступа.

Регламенты защиты информации


В рамках аудита необходимо проверить:

  • возможность шифрования данных и типы средств, которые для этого необходимы;

  • сотрудников, которые имеют доступ к ключам шифрования;

  • соответствие алгоритма защиты персональных данных требованиям регулятора.

Результаты аудиторской проверки будут выданы в виде рекомендаций. Благодаря им руководство компании улучшит систему информационной безопасности, чтобы она соответствовала рискам и требованиям времени.


Оптимизация системы ИБ позволит компании работать безопасно и эффективно

Как только основополагающие документы будут приняты, можно приступать к внедрению. Выбор программных средств будет зависеть от рекомендаций ФСТЭК. Если риск внешних вторжений вызовет серьезные опасения, компании лучше внедрить DLP- и SIEM-системы.

Например, система мониторинга работы персонала и контроля рабочих мест предотвратит любые утечки информации, а также поможет контролировать деятельность сотрудников. Вы узнаете, чем в рабочее время занимаются ваши подчиненные.

Все собранные данные программа сохраняет и передает на сервер. С таким ПО корпоративные данные в безопасности.

+13
В избр. Сохранено
Авторизуйтесь
Вход с паролем