Механизмы обеспечения безопасности информационных систем

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Информационные системы стали основой функционирования большинства компаний, от их работоспособности зависят непрерывность и качество течения бизнес-процессов. Выбор механизма защиты зависит от категории информационных ресурсов. 

Информация и необходимость ее защиты

Информация представляет собой сведения, передающиеся в любой форме – устной речи, бумажного документа, файла. Она имеет ценность не только для ее владельца, но и для третьих лиц, способных использовать чужие конфиденциальные данные для получения конкурентного преимущества или личного обогащения.

Информационные массивы подразделяются на три группы:

  • данные, для которых отсутствует необходимость защиты от утечек, или общедоступные, раскрытие которых обусловлено нормами законов; 
  • защищаемые в качестве коммерческой тайны при условии введения режима коммерческой тайны и составления перечня сведений, относимых к ней;
  • те, которые необходимо охранять исходя из требований законодательства – банковская или государственная тайны, персональные данные.

В зависимости от категории данных компании выбирают необходимые средства из арсенала защиты. Они делятся на группы:

  • административные и организационные, выстраивающие систему управления в компании таким образом, чтобы исключить несанкционированный допуск к данным;
  • технические, аппаратными средствами блокирующие НСД (токены, при помощи которых происходит аутентификация, заглушки на USB-входы в компьютер);
  • программные, равно защищающие от несанкционированного доступа инсайдеров и от внешних атак.

Государственные методы регулирования

Государственные меры, направленные на защиту конфиденциальной информации, представляют собой рекомендации по обязательным организационным, техническим и программным способам защиты данных, которые обязаны выполнять организации, работающие с персональными данными или государственной тайной. Рекомендации разрабатываются ФСТЭК РФ и ФСБ РФ в части криптографических механизмов защиты. Для мер, направленных на обеспечение охраны банковской тайны и на исключение неправомерного доступа к средствам граждан и компаний, размещенных на их карточных и расчетных счетах, рекомендации разрабатывает Центральный банк РФ.

С государственной тайной обычно сталкиваются предприятия, являющиеся исполнителями по государственным контрактам, в ходе реализации которых они получают доступ к сведениям этой категории:

  • в военной области;
  • в области экономики, науки и техники, но отнесенным к гостайне;
  • в области внешней политики и внешнеэкономической деятельности;
  • в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Эта информация защищается комплексом мер – от организации системы охраны, обеспечивающей отсутствие физического допуска на объект, до применения программно-аппаратных средств шифрования (СКЗИ). Работа с государственными контрактами с повышенным уровнем конфиденциальности без соответствия этим требованиям невозможна.

В отношении персональных данных действует иной принцип защиты. Под этим термином понимается любая значимая информация о гражданах, как о персонале компании, так и о ее клиентах. Гражданин, передавая организации адрес, телефон, паспортные данные, номер банковской карты, вправе рассчитывать на то, что эти сведения не окажутся в распоряжении злоумышленников, способных использовать их во вред здоровью или имуществу. 

Государство в целях защиты предписывает:

  • собирать сведения только при наличии письменного или оформленного в электронном виде согласия гражданина;
  • информировать гражданина о цели сбора и обработки ПД;
  • не передавать данные третьим лицам без договора, предусматривающего соблюдение мер защиты конфиденциальности информации;
  • предпринимать комплекс организационных и программных мер, направленных на избегание утечки персональных данных и предотвращение несанкционированного доступа к ним.

Среди рекомендованных организационных мер:

  • принятие Положения о порядке обработки персональных данных и размещение его на сайте компании в открытом доступе;
  • разработка формата согласия на обработку ПД, его физическое подписание каждым клиентом или размещение на сайте с фиксацией одобрения;
  • назначение лица или подразделения, ответственного за обработку ПД;
  • создание системы дифференцированного доступа к данным;
  • отказ от размещения ПД в облачных хранилищах.

Контроль за соблюдением этих требований осуществляется при проверках, которые ФСТЭК РФ проводит в отношении каждого оператора персональных данных. 

После разработки и внедрения комплекса организационных мер возникает необходимость внедрить рекомендуемые ведомством программные продукты:

  • файрволы;
  • средства антивирусной защиты;
  • средства доверенной загрузки;
  • средства обнаружения вторжений;
  • средства криптографической защиты.

Каждый программный продукт и его обновления должны пройти процедуру сертификации ФСТЭК РФ, после этого они будут разрешены к использованию для защиты персональных данных. Если эти механизмы обеспечения безопасности информационных систем по финансовым причинам недоступны компании, она может договориться с регулятором о поэтапном внедрении программного обеспечения.

Корпоративная информационная безопасность

Для решения общих задач информационной безопасности, не связанных исключительно с персональными данными или государственной тайной, компании разрабатывают собственные системы защиты с опорой на комплексные решения, например, на SIEM- и DLP-системы. Выбор программных и технических решений опирается на модель угроз, зависящую от типа обрабатываемой информации и вида бизнеса организации. Также итоговые программные решения зависят от типов корпоративных систем, использования АСУ, CRM-систем, программ автоматизированного электронного документооборота.

Построение единого механизма обеспечения безопасности информационных систем строится по алгоритму:

  • проведение аудита существующей сети, элементов инфраструктуры, программного обеспечения, выявление узких мест и определение направлений модернизации;
  • разработка и утверждение политики безопасности, определяющей ключевые моменты ее обеспечения – от правил работы со съемными носителями до принципов использования Интернета и личных ящиков электронной почты в профессиональной деятельности;
  • создание системы аутентификации пользователей требуемого уровня, при необходимости с использованием двухфакторного механизма, исключающего возможность несанкционированного доступа к защищенным данным;
  • реализация одной из моделей дифференцированного доступа, при котором в зависимости от ранга пользователя ему предоставляется возможность совершать необходимые операции с файлами;
  • создание системы мониторинга работоспособности ИС при помощи сканеров, выявляющих уязвимости, разработка правил стандартной реакции на них, создание базы данных инцидентов с целью последующего анализа статистики;
  • создание защиты каналов связи, по которым связываются пользователи на удаленном доступе, от несанкционированных подключений, использование защищенных протоколов, VPN-туннелей;
  • использование криптографических средств защиты информации, обеспечивающих безопасность баз данных и трафика;
  • создание системы управления конфигурацией, поддержание функций среды ИС в соответствии с требованиями.

Для реализации стратегии необходимо или привлечение профессиональных организаций на условиях аутсорсинга, или создание собственного дееспособного ИТ-подразделения, которое может оперативно и эффективно реагировать на инциденты информационной безопасности. Модель управления рисками при выстраивании механизма обеспечения информационной безопасности может опираться на национальные стандарты, ГОСТы или на зарубежные методики. Это зависит от уровня угроз и того, от кого необходимо в большей степени защищать информацию – от внешних или внутренних нарушителей. Построение механизма всегда опирается на принцип целесообразности: принимаемые меры безопасности не должны быть избыточными и мешать эффективному функционированию бизнеса. Модель доступа к информационным ресурсам должна обеспечивать их постоянную вовлеченность в бизнес-процессы компании.

04.02.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними