Информационные системы стали основой функционирования большинства компаний, от их работоспособности зависят непрерывность и качество течения бизнес-процессов. Выбор механизма защиты зависит от категории информационных ресурсов. 

Информация и необходимость ее защиты

Информация представляет собой сведения, передающиеся в любой форме – устной речи, бумажного документа, файла. Она имеет ценность не только для ее владельца, но и для третьих лиц, способных использовать чужие конфиденциальные данные для получения конкурентного преимущества или личного обогащения.

Информационные массивы подразделяются на три группы:

• данные, для которых отсутствует необходимость защиты от утечек, или общедоступные, раскрытие которых обусловлено нормами законов; 
• защищаемые в качестве коммерческой тайны при условии введения режима коммерческой тайны и составления перечня сведений, относимых к ней;
• те, которые необходимо охранять исходя из требований законодательства – банковская или государственная тайны, персональные данные.

В зависимости от категории данных компании выбирают необходимые средства из арсенала защиты. Они делятся на группы:

• административные и организационные, выстраивающие систему управления в компании таким образом, чтобы исключить несанкционированный допуск к данным;
• технические, аппаратными средствами блокирующие НСД (токены, при помощи которых происходит аутентификация, заглушки на USB-входы в компьютер);
• программные, равно защищающие от несанкционированного доступа инсайдеров и от внешних атак.

Государственные методы регулирования

Государственные меры, направленные на защиту конфиденциальной информации, представляют собой рекомендации по обязательным организационным, техническим и программным способам защиты данных, которые обязаны выполнять организации, работающие с персональными данными или государственной тайной. Рекомендации разрабатываются ФСТЭК РФ и ФСБ РФ в части криптографических механизмов защиты. Для мер, направленных на обеспечение охраны банковской тайны и на исключение неправомерного доступа к средствам граждан и компаний, размещенных на их карточных и расчетных счетах, рекомендации разрабатывает Центральный банк РФ.

С государственной тайной обычно сталкиваются предприятия, являющиеся исполнителями по государственным контрактам, в ходе реализации которых они получают доступ к сведениям этой категории:

• в военной области;
• в области экономики, науки и техники, но отнесенным к гостайне;
• в области внешней политики и внешнеэкономической деятельности;
• в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Эта информация защищается комплексом мер – от организации системы охраны, обеспечивающей отсутствие физического допуска на объект, до применения программно-аппаратных средств шифрования (СКЗИ). Работа с государственными контрактами с повышенным уровнем конфиденциальности без соответствия этим требованиям невозможна.

В отношении персональных данных действует иной принцип защиты. Под этим термином понимается любая значимая информация о гражданах, как о персонале компании, так и о ее клиентах. Гражданин, передавая организации адрес, телефон, паспортные данные, номер банковской карты, вправе рассчитывать на то, что эти сведения не окажутся в распоряжении злоумышленников, способных использовать их во вред здоровью или имуществу. 

Государство в целях защиты предписывает:

• собирать сведения только при наличии письменного или оформленного в электронном виде согласия гражданина;
• информировать гражданина о цели сбора и обработки ПД;
• не передавать данные третьим лицам без договора, предусматривающего соблюдение мер защиты конфиденциальности информации;
• предпринимать комплекс организационных и программных мер, направленных на избегание утечки персональных данных и предотвращение несанкционированного доступа к ним.

Среди рекомендованных организационных мер:

• принятие Положения о порядке обработки персональных данных и размещение его на сайте компании в открытом доступе;
• разработка формата согласия на обработку ПД, его физическое подписание каждым клиентом или размещение на сайте с фиксацией одобрения;
• назначение лица или подразделения, ответственного за обработку ПД;
• создание системы дифференцированного доступа к данным;
• отказ от размещения ПД в облачных хранилищах.

Контроль за соблюдением этих требований осуществляется при проверках, которые ФСТЭК РФ проводит в отношении каждого оператора персональных данных. 

После разработки и внедрения комплекса организационных мер возникает необходимость внедрить рекомендуемые ведомством программные продукты:

• файрволы;
• средства антивирусной защиты;
• средства доверенной загрузки;
• средства обнаружения вторжений;
• средства криптографической защиты.

Каждый программный продукт и его обновления должны пройти процедуру сертификации ФСТЭК РФ, после этого они будут разрешены к использованию для защиты персональных данных. Если эти механизмы обеспечения безопасности информационных систем по финансовым причинам недоступны компании, она может договориться с регулятором о поэтапном внедрении программного обеспечения.

Корпоративная информационная безопасность

Для решения общих задач информационной безопасности, не связанных исключительно с персональными данными или государственной тайной, компании разрабатывают собственные системы защиты с опорой на комплексные решения, например, на SIEM- и DLP-системы. Выбор программных и технических решений опирается на модель угроз, зависящую от типа обрабатываемой информации и вида бизнеса организации. Также итоговые программные решения зависят от типов корпоративных систем, использования АСУ, CRM-систем, программ автоматизированного электронного документооборота.

Построение единого механизма обеспечения безопасности информационных систем строится по алгоритму:

• проведение аудита существующей сети, элементов инфраструктуры, программного обеспечения, выявление узких мест и определение направлений модернизации;
• разработка и утверждение политики безопасности, определяющей ключевые моменты ее обеспечения – от правил работы со съемными носителями до принципов использования Интернета и личных ящиков электронной почты в профессиональной деятельности;
• создание системы аутентификации пользователей требуемого уровня, при необходимости с использованием двухфакторного механизма, исключающего возможность несанкционированного доступа к защищенным данным;
• реализация одной из моделей дифференцированного доступа, при котором в зависимости от ранга пользователя ему предоставляется возможность совершать необходимые операции с файлами;
• создание системы мониторинга работоспособности ИС при помощи сканеров, выявляющих уязвимости, разработка правил стандартной реакции на них, создание базы данных инцидентов с целью последующего анализа статистики;
• создание защиты каналов связи, по которым связываются пользователи на удаленном доступе, от несанкционированных подключений, использование защищенных протоколов, VPN-туннелей;
• использование криптографических средств защиты информации, обеспечивающих безопасность баз данных и трафика;
• создание системы управления конфигурацией, поддержание функций среды ИС в соответствии с требованиями.

Для реализации стратегии необходимо или привлечение профессиональных организаций на условиях аутсорсинга, или создание собственного дееспособного ИТ-подразделения, которое может оперативно и эффективно реагировать на инциденты информационной безопасности. Модель управления рисками при выстраивании механизма обеспечения информационной безопасности может опираться на национальные стандарты, ГОСТы или на зарубежные методики. Это зависит от уровня угроз и того, от кого необходимо в большей степени защищать информацию – от внешних или внутренних нарушителей. Построение механизма всегда опирается на принцип целесообразности: принимаемые меры безопасности не должны быть избыточными и мешать эффективному функционированию бизнеса. Модель доступа к информационным ресурсам должна обеспечивать их постоянную вовлеченность в бизнес-процессы компании.

04.02.2020