Организация обеспечения информационной безопасности

Дата: 08.02.2021. Автор: Артем П. Категории: Прочее
Организация обеспечения информационной безопасности

Организация обеспечения информационной безопасности – многосторонняя комплексная задача, решение которой осуществляется сразу по нескольким отдельным направлениями: техническое, организационное, правовое. Высокоэффективное и качественное обеспечение кибербезопасности возможно только в ситуации, когда система обеспечения ИБ грамотно организована и охватывает важнейшие направления деятельности компании и функционирует на каждом уровне управления.

Организация обеспечения информационной безопасности на конкретном предприятии выполняется с учетом специфических особенностей его профессиональной деятельности, а также ряда других факторов: существующий уровень развития IT на предприятии, планов дальнейшего развития компании, среднесрочной перспективы и т. д.

Современные системы обеспечения кибербезопасности – это многогранные организационно-технические структуры, которые включают в себя множество компонентов. Наиболее важными из них являются:

  • Комплексная система защиты данных. При организации систем ИБ обязательно используются современные программно-технические средства защиты данных, которые защищают информационные ресурсы предприятия во всех информационных системах и на каждом этапе их жизненного цикла.
  • Персонал (специалисты отдела кибербезопасности). Это сотрудники, которые эксплуатируют систему защиты данных на предприятии, контролируют выполнение требований внутренней документации в сфере кибербезопасности и иных задач обеспечения информационной безопасности.
  • Совокупность процессов, которые обеспечивают высокоэффективное использование и развитие комплексной системы защиты данных.

В процессе организации системы обеспечения информационной безопасности для конкретного предприятия специалисты, занимающиеся этой работой, принимают во внимание несколько основных принципов, которым должна соответствовать эффективная и современная система обеспечения информационной безопасности:

  • Полное соответствие защитных мер, применяемых и интегрируемых в систему обеспечения информбезопасности, реальным угрозам информационной безопасности. Текущие угрозы могут быть установлены предварительно, к примеру, с помощью проведения аудита информационной безопасности.
  • Постепенное формирование системы обеспечения информационной безопасности, что позволяет оптимизировать денежные затраты предприятия.
  • Обеспечение защиты инвестиций. Здесь предполагается использование имеющихся в компании средств и уже существующих систем защиты данных для организации новой или модернизируемой системы обеспечения информационной безопасности. С помощью такого подхода можно снизить капитальные затраты.
  • Централизованное управление и мониторинг, благодаря чему уменьшаются трудозатраты занятых сотрудников на эксплуатацию готовой системы обеспечения информбезопасности.
  • Учет и высокоэффективная интеграция с уже реализуемыми на предприятии процессами управления IT (если требуется, осуществляется параллельное улучшение средств и систем управления IT).

При организации обеспечения кибербезопасности требуется организовать защиту основных технических средств и систем, которые задействуются в работе с защищаемыми массивами информации, так и вспомогательные технические средства, системы.

Организационная защита данных также должна учитывать действующие регламенты, правила, стандарты, которые разработаны на основе правовых актов РФ и внедрены во внутреннюю документацию компании. Основная их задача – предотвращение незаконного овладения защищаемой информацией.

Организационный способ обеспечения кибербезопасности компании включает в себя следующие компоненты:

  • формирование режима охраны защищаемых массивов данных;
  • создание регламента взаимоотношений между работниками компании;
  • регламентация взаимодействия с документацией;
  • разработка правил применения техсредств в рамках действующего в РФ правового поля;
  • проведение аналитической работы по оценке угроз кибербезопасности.

Обеспечение защиты информационных данных от неправомерного доступа выполняется благодаря регламентации доступа сотрудников к объектам (устройствам с защищаемой информацией и каналам ее передачи). При реализации организационного способа обеспечения ИБ не предусматривается эксплуатации технических инструментов защиты. Подобный подход к обеспечению информбезопасности часто заключается, к примеру, в удалении основных технических средств и систем предприятия за периметр охраняемой территории на большое расстояние.

Использование техсредств, разнообразных программных решений, позволяющих обеспечить информбезопасность предприятия, в том числе систем управления БД, прикладное программное обеспечение, DLP-, SIEM-системы, не допускающих утечки информации, относится к техническим способам обеспечения защиты данных.

При организации обеспечения информбезопасности обязательно применяются оба способа – и организационный, и технический. Они считаются взаимодополняемыми. Зачастую их объединяют в понятие «организационно-техническая защита данных».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *