Информационная безопасность на предприятии. С чего начать?

Дата: 11.07.2020. Автор: Артем П. Категории: Прочее

Каждая организация, вне зависимости от сферы деятельности, размеров, объема оказываемых услуг или продажи продукции, должна быть заинтересована в формировании системы кибербезопасности с учетом существующих в ее отношении рисков. Основная задача в этом направлении – использование максимально эффективных решений без лишних финансовых затрат. При построении схемы кибербезопасности предприятия надо учитывать текущие потребности компании.

Нормативная база

Старт созданию системы информбезопасности предприятия дают люди, ее организовывающие и работающие в соответствии с ее правилами. Начальным этапом в этом направлении становится создание плана, в котором требуется указать:

  • предполагаемые сроки интеграции системы кибербезопасности;
  • сотрудников, которые будут принимать участие в реализации плана (штатные, аутсорсинг, независимые эксперты);
  • денежные затраты, которые необходимо потратить на создание и интеграцию системы кибербезопасности предприятия;
  • ожидания от работы системы кибербезопасности, программно-аппаратные средства, которые предполагается установить;
  • возможные риски, уровень конфиденциальности защищаемых данных, необходимость в использовании рекомендаций государственных регуляторов (например, если предприятие хранит персональные данные).

После утверждения плана (стратегии) необходима разработка и интеграция комплекса организационной, распорядительной документации. Ряд документов устанавливают основные принципы кибербезопасности в компании, другие необходимы для соблюдения законодательных требований. Обязательными для создания являются следующие документы: Политика и Концепция информационной безопасности, Положение о коммерческой тайне.

Политика информационной безопасности

Подобная документация – основная для предприятия. Требуется, чтобы документ был утвержден высшим руководством организации, потому что указанные в нем положения касаются и топ-менеджеров. В документации указаны:

  • уровни конфиденциальности данных;
  • киберугрозы, риски кибербезопасности;
  • регламенты допуска пользователей;
  • регламенты взаимодействия с данными, носителями информации.

Рекомендован пересмотр политики информбезопасности каждый год.

Концепция информационной безопасности

Предприятия, которые работают с персональными данными, заинтересованы в полном сохранении деловой репутации и подтверждении, что они принимают необходимые решения, чтобы обеспечить сохранность конфиденциальных данных на требуемом уровне.

В этих целях требуется подготовка небольшой выжимки из Стратегии информационной безопасности и Политики информационной безопасности. В готовом документе прописываются главные меры и средства по защите данных.

Положение о коммерческой тайне

Каждая организация в процессе своей работы аккумулирует определенный объем конфиденциальных данных, которые не всегда являются коммерческой тайной. Поэтому организации необходимо объявить режим коммерческой тайны и разработать соответствующее Положение, которое будет регламентировать стандарты взаимодействия с конфиденциальными данными. В разработанном документе должны быть:

  • перечень мер ответственности за разглашение конфиденциальной информации;
  • лица и департаменты предприятия, которые несут ответственность за соблюдение режима коммерческой тайны;
  • процедура взаимодействия с документацией и данным, которые содержат коммерческую тайну;
  • процедура отнесения данных к категории коммерческой тайны.

С разработанным Положением о коммерческой тайне должны быть ознакомлены все работники предприятия. Соответствующая запись обязательно вносится в трудовые договоры сотрудников.

Практические решения

Документация, которая регламентирует поведение работников предприятия и вводит меры ответственности, влияет на персонал и инсайдеров (по статистике, ответственных более чем за 75% утечек данных из компаний), но определенная часть утечек относится исключительно к внешним причинам. Обнаружить уязвимости в системе кибербезопасности помогает аудит (внутренний, силами компании, или независимый, со стороны экспертов). На базе результатов аудита прорабатываются рекомендации по внедрению программно-аппаратных и иных защитных мет.

Аудит является обязательным по следующим параметрам:

  1. Политика доступа. Требуется оценка физического доступа к серверам, устройствам, системам видеонаблюдения на предприятии, проверка наличия и качества работы пропускной системы. Аудиту подвергается парольная политика, многофакторная аутентификация, система доступа (проверка, кто и как формирует логины/пароли, реализовывает модель дифференцированного доступа и т. д.).
  2. Состояние сети. В этом направлении проводится анализ физического расположения серверов, принципы информационного и физического доступа к ним, специфика сегментации сети, применение межсетевых экранов на стыке секторов, характеристики файрволлов. Также выполняется проверка качества реализации модели дистанционного доступа, типа защищенных каналов.
  3. Обработка инцидентов кибербезопасности. Нужно понимание того, какие инциденты кибербезопасности возможно отнести к критическим, как построена система уведомлений и реагирования, как ведется внесение изменений в журнал инцидентов и проводится аналитика результатов их устранения.
  4. Активы. Компания должна располагать перечнем активов, к которым относятся элементы инфраструктуры, конфиденциальные данные, используемые устройства, процессы, программно-аппаратные решения. Относительно каждого актива требуется провести анализ доступа и модель корректировки прав доступа.
  5. Регламенты защиты данных. Кроме модели доступа и организации режима конфиденциальности, необходимо проверка случаев, в которых информация шифруется, какие техсредства для этого эксплуатируются, кто располагает доступом к ключам шифрования, как выполняется защиты конфиденциальной информации, если предприятие выступает в качестве их оператора (соответствуют ли решения стандартам регулятора).

Результаты проведенного аудита требуется обобщить, сформировав соответствующие рекомендации по модернизации системы кибербезопасности предприятия, что позволит сразу решить вопросы относительно того, с чего начинать процессы приведения информационной системы в вид, подходящий под актуальные риски и требования. Задача ИБ-экспертов – создать условия для удобной реализации сформированных рекомендаций с учетом кадровой политики предприятия и финансовых возможностей.

Подбор программных средств выполняется ИБ-специалистами с учетом стандартов ФСТЭК (из сертифицированных решений). Дополнительные средства защиты информации рекомендованы в случаях, когда риск внешних атак, утечек от инсайдеров является серьезным.

Интеграция каждого нового способа защиты информации и каждого нового программного продукта должны сопровождаться обучением сотрудников, которые с ними работают. При отсутствии правильного реагирования со стороны персонала предприятия на уведомления системы мониторинга, последняя будет просто бесполезной. Главные параметры эффективности работников должны зависеть от уровня эффективности поддержки модели безопасности, поэтому к процессам создания системы мотивации надо привлекать сотрудников HR-отдела. Процедура должна проводиться под контролем руководства организации. Созданная и функционирующая система информационной безопасности предприятия – это, прежде всего, простой и комфортный в использовании сервис, не оказывающий на бизнес-процессы компании блокирующего и замедляющего воздействия.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

5 + два =