Информационные системы стали основой функционирования большинства компаний, от их работоспособности зависят непрерывность и качество течения бизнес-процессов. Выбор механизма защиты зависит от категории информационных ресурсов.
Информация и необходимость ее защиты
Информация представляет собой сведения, передающиеся в любой форме – устной речи, бумажного документа, файла. Она имеет ценность не только для ее владельца, но и для третьих лиц, способных использовать чужие конфиденциальные данные для получения конкурентного преимущества или личного обогащения.
Информационные массивы подразделяются на три группы:
- данные, для которых отсутствует необходимость защиты от утечек, или общедоступные, раскрытие которых обусловлено нормами законов;
- защищаемые в качестве коммерческой тайны при условии введения режима коммерческой тайны и составления перечня сведений, относимых к ней;
- те, которые необходимо охранять исходя из требований законодательства – банковская или государственная тайны, персональные данные.
В зависимости от категории данных компании выбирают необходимые средства из арсенала защиты. Они делятся на группы:
- административные и организационные, выстраивающие систему управления в компании таким образом, чтобы исключить несанкционированный допуск к данным;
- технические, аппаратными средствами блокирующие НСД (токены, при помощи которых происходит аутентификация, заглушки на USB-входы в компьютер);
- программные, равно защищающие от несанкционированного доступа инсайдеров и от внешних атак.
Государственные методы регулирования
Государственные меры, направленные на защиту конфиденциальной информации, представляют собой рекомендации по обязательным организационным, техническим и программным способам защиты данных, которые обязаны выполнять организации, работающие с персональными данными или государственной тайной. Рекомендации разрабатываются ФСТЭК РФ и ФСБ РФ в части криптографических механизмов защиты. Для мер, направленных на обеспечение охраны банковской тайны и на исключение неправомерного доступа к средствам граждан и компаний, размещенных на их карточных и расчетных счетах, рекомендации разрабатывает Центральный банк РФ.
С государственной тайной обычно сталкиваются предприятия, являющиеся исполнителями по государственным контрактам, в ходе реализации которых они получают доступ к сведениям этой категории:
- в военной области;
- в области экономики, науки и техники, но отнесенным к гостайне;
- в области внешней политики и внешнеэкономической деятельности;
- в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.
Эта информация защищается комплексом мер – от организации системы охраны, обеспечивающей отсутствие физического допуска на объект, до применения программно-аппаратных средств шифрования (СКЗИ). Работа с государственными контрактами с повышенным уровнем конфиденциальности без соответствия этим требованиям невозможна.
В отношении персональных данных действует иной принцип защиты. Под этим термином понимается любая значимая информация о гражданах, как о персонале компании, так и о ее клиентах. Гражданин, передавая организации адрес, телефон, паспортные данные, номер банковской карты, вправе рассчитывать на то, что эти сведения не окажутся в распоряжении злоумышленников, способных использовать их во вред здоровью или имуществу.
Государство в целях защиты предписывает:
- собирать сведения только при наличии письменного или оформленного в электронном виде согласия гражданина;
- информировать гражданина о цели сбора и обработки ПД;
- не передавать данные третьим лицам без договора, предусматривающего соблюдение мер защиты конфиденциальности информации;
- предпринимать комплекс организационных и программных мер, направленных на избегание утечки персональных данных и предотвращение несанкционированного доступа к ним.
Среди рекомендованных организационных мер:
- принятие Положения о порядке обработки персональных данных и размещение его на сайте компании в открытом доступе;
- разработка формата согласия на обработку ПД, его физическое подписание каждым клиентом или размещение на сайте с фиксацией одобрения;
- назначение лица или подразделения, ответственного за обработку ПД;
- создание системы дифференцированного доступа к данным;
- отказ от размещения ПД в облачных хранилищах.
Контроль за соблюдением этих требований осуществляется при проверках, которые ФСТЭК РФ проводит в отношении каждого оператора персональных данных.
После разработки и внедрения комплекса организационных мер возникает необходимость внедрить рекомендуемые ведомством программные продукты:
- файрволы;
- средства антивирусной защиты;
- средства доверенной загрузки;
- средства обнаружения вторжений;
- средства криптографической защиты.
Каждый программный продукт и его обновления должны пройти процедуру сертификации ФСТЭК РФ, после этого они будут разрешены к использованию для защиты персональных данных. Если эти механизмы обеспечения безопасности информационных систем по финансовым причинам недоступны компании, она может договориться с регулятором о поэтапном внедрении программного обеспечения.
Корпоративная информационная безопасность
Для решения общих задач информационной безопасности, не связанных исключительно с персональными данными или государственной тайной, компании разрабатывают собственные системы защиты с опорой на комплексные решения, например, на SIEM- и DLP-системы. Выбор программных и технических решений опирается на модель угроз, зависящую от типа обрабатываемой информации и вида бизнеса организации. Также итоговые программные решения зависят от типов корпоративных систем, использования АСУ, CRM-систем, программ автоматизированного электронного документооборота.
Построение единого механизма обеспечения безопасности информационных систем строится по алгоритму:
- проведение аудита существующей сети, элементов инфраструктуры, программного обеспечения, выявление узких мест и определение направлений модернизации;
- разработка и утверждение политики безопасности, определяющей ключевые моменты ее обеспечения – от правил работы со съемными носителями до принципов использования Интернета и личных ящиков электронной почты в профессиональной деятельности;
- создание системы аутентификации пользователей требуемого уровня, при необходимости с использованием двухфакторного механизма, исключающего возможность несанкционированного доступа к защищенным данным;
- реализация одной из моделей дифференцированного доступа, при котором в зависимости от ранга пользователя ему предоставляется возможность совершать необходимые операции с файлами;
- создание системы мониторинга работоспособности ИС при помощи сканеров, выявляющих уязвимости, разработка правил стандартной реакции на них, создание базы данных инцидентов с целью последующего анализа статистики;
- создание защиты каналов связи, по которым связываются пользователи на удаленном доступе, от несанкционированных подключений, использование защищенных протоколов, VPN-туннелей;
- использование криптографических средств защиты информации, обеспечивающих безопасность баз данных и трафика;
- создание системы управления конфигурацией, поддержание функций среды ИС в соответствии с требованиями.
Для реализации стратегии необходимо или привлечение профессиональных организаций на условиях аутсорсинга, или создание собственного дееспособного ИТ-подразделения, которое может оперативно и эффективно реагировать на инциденты информационной безопасности. Модель управления рисками при выстраивании механизма обеспечения информационной безопасности может опираться на национальные стандарты, ГОСТы или на зарубежные методики. Это зависит от уровня угроз и того, от кого необходимо в большей степени защищать информацию – от внешних или внутренних нарушителей. Построение механизма всегда опирается на принцип целесообразности: принимаемые меры безопасности не должны быть избыточными и мешать эффективному функционированию бизнеса. Модель доступа к информационным ресурсам должна обеспечивать их постоянную вовлеченность в бизнес-процессы компании.
04.02.2020