Механизмы обеспечения безопасности информационных систем

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Главная > Информационная безопасность > Основы ИБ > Информационная безопасность в отраслях > Безопасность информационных систем > Механизмы обеспечения безопасности информационных систем
Время чтения
Шрифт

Информационные системы стали основой функционирования большинства компаний, от их работоспособности зависят непрерывность и качество течения бизнес-процессов. Выбор механизма защиты зависит от категории информационных ресурсов. 

Информация и необходимость ее защиты

Информация представляет собой сведения, передающиеся в любой форме – устной речи, бумажного документа, файла. Она имеет ценность не только для ее владельца, но и для третьих лиц, способных использовать чужие конфиденциальные данные для получения конкурентного преимущества или личного обогащения.

Информационные массивы подразделяются на три группы:

  • данные, для которых отсутствует необходимость защиты от утечек, или общедоступные, раскрытие которых обусловлено нормами законов; 
  • защищаемые в качестве коммерческой тайны при условии введения режима коммерческой тайны и составления перечня сведений, относимых к ней;
  • те, которые необходимо охранять исходя из требований законодательства – банковская или государственная тайны, персональные данные.

В зависимости от категории данных компании выбирают необходимые средства из арсенала защиты. Они делятся на группы:

  • административные и организационные, выстраивающие систему управления в компании таким образом, чтобы исключить несанкционированный допуск к данным;
  • технические, аппаратными средствами блокирующие НСД (токены, при помощи которых происходит аутентификация, заглушки на USB-входы в компьютер);
  • программные, равно защищающие от несанкционированного доступа инсайдеров и от внешних атак.

Государственные методы регулирования

Государственные меры, направленные на защиту конфиденциальной информации, представляют собой рекомендации по обязательным организационным, техническим и программным способам защиты данных, которые обязаны выполнять организации, работающие с персональными данными или государственной тайной. Рекомендации разрабатываются ФСТЭК РФ и ФСБ РФ в части криптографических механизмов защиты. Для мер, направленных на обеспечение охраны банковской тайны и на исключение неправомерного доступа к средствам граждан и компаний, размещенных на их карточных и расчетных счетах, рекомендации разрабатывает Центральный банк РФ.

С государственной тайной обычно сталкиваются предприятия, являющиеся исполнителями по государственным контрактам, в ходе реализации которых они получают доступ к сведениям этой категории:

  • в военной области;
  • в области экономики, науки и техники, но отнесенным к гостайне;
  • в области внешней политики и внешнеэкономической деятельности;
  • в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Эта информация защищается комплексом мер – от организации системы охраны, обеспечивающей отсутствие физического допуска на объект, до применения программно-аппаратных средств шифрования (СКЗИ). Работа с государственными контрактами с повышенным уровнем конфиденциальности без соответствия этим требованиям невозможна.

В отношении персональных данных действует иной принцип защиты. Под этим термином понимается любая значимая информация о гражданах, как о персонале компании, так и о ее клиентах. Гражданин, передавая организации адрес, телефон, паспортные данные, номер банковской карты, вправе рассчитывать на то, что эти сведения не окажутся в распоряжении злоумышленников, способных использовать их во вред здоровью или имуществу. 

Государство в целях защиты предписывает:

  • собирать сведения только при наличии письменного или оформленного в электронном виде согласия гражданина;
  • информировать гражданина о цели сбора и обработки ПД;
  • не передавать данные третьим лицам без договора, предусматривающего соблюдение мер защиты конфиденциальности информации;
  • предпринимать комплекс организационных и программных мер, направленных на избегание утечки персональных данных и предотвращение несанкционированного доступа к ним.

Среди рекомендованных организационных мер:

  • принятие Положения о порядке обработки персональных данных и размещение его на сайте компании в открытом доступе;
  • разработка формата согласия на обработку ПД, его физическое подписание каждым клиентом или размещение на сайте с фиксацией одобрения;
  • назначение лица или подразделения, ответственного за обработку ПД;
  • создание системы дифференцированного доступа к данным;
  • отказ от размещения ПД в облачных хранилищах.

Контроль за соблюдением этих требований осуществляется при проверках, которые ФСТЭК РФ проводит в отношении каждого оператора персональных данных. 

После разработки и внедрения комплекса организационных мер возникает необходимость внедрить рекомендуемые ведомством программные продукты:

  • файрволы;
  • средства антивирусной защиты;
  • средства доверенной загрузки;
  • средства обнаружения вторжений;
  • средства криптографической защиты.

Каждый программный продукт и его обновления должны пройти процедуру сертификации ФСТЭК РФ, после этого они будут разрешены к использованию для защиты персональных данных. Если эти механизмы обеспечения безопасности информационных систем по финансовым причинам недоступны компании, она может договориться с регулятором о поэтапном внедрении программного обеспечения.

Корпоративная информационная безопасность

Для решения общих задач информационной безопасности, не связанных исключительно с персональными данными или государственной тайной, компании разрабатывают собственные системы защиты с опорой на комплексные решения, например, на SIEM- и DLP-системы. Выбор программных и технических решений опирается на модель угроз, зависящую от типа обрабатываемой информации и вида бизнеса организации. Также итоговые программные решения зависят от типов корпоративных систем, использования АСУ, CRM-систем, программ автоматизированного электронного документооборота.

Построение единого механизма обеспечения безопасности информационных систем строится по алгоритму:

  • проведение аудита существующей сети, элементов инфраструктуры, программного обеспечения, выявление узких мест и определение направлений модернизации;
  • разработка и утверждение политики безопасности, определяющей ключевые моменты ее обеспечения – от правил работы со съемными носителями до принципов использования Интернета и личных ящиков электронной почты в профессиональной деятельности;
  • создание системы аутентификации пользователей требуемого уровня, при необходимости с использованием двухфакторного механизма, исключающего возможность несанкционированного доступа к защищенным данным;
  • реализация одной из моделей дифференцированного доступа, при котором в зависимости от ранга пользователя ему предоставляется возможность совершать необходимые операции с файлами;
  • создание системы мониторинга работоспособности ИС при помощи сканеров, выявляющих уязвимости, разработка правил стандартной реакции на них, создание базы данных инцидентов с целью последующего анализа статистики;
  • создание защиты каналов связи, по которым связываются пользователи на удаленном доступе, от несанкционированных подключений, использование защищенных протоколов, VPN-туннелей;
  • использование криптографических средств защиты информации, обеспечивающих безопасность баз данных и трафика;
  • создание системы управления конфигурацией, поддержание функций среды ИС в соответствии с требованиями.

Для реализации стратегии необходимо или привлечение профессиональных организаций на условиях аутсорсинга, или создание собственного дееспособного ИТ-подразделения, которое может оперативно и эффективно реагировать на инциденты информационной безопасности. Модель управления рисками при выстраивании механизма обеспечения информационной безопасности может опираться на национальные стандарты, ГОСТы или на зарубежные методики. Это зависит от уровня угроз и того, от кого необходимо в большей степени защищать информацию – от внешних или внутренних нарушителей. Построение механизма всегда опирается на принцип целесообразности: принимаемые меры безопасности не должны быть избыточными и мешать эффективному функционированию бизнеса. Модель доступа к информационным ресурсам должна обеспечивать их постоянную вовлеченность в бизнес-процессы компании.

04.02.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 

Продукты

СёрчИнформ КИБ

СёрчИнформ ProfileCenter

СёрчИнформ FileAuditor

СёрчИнформ Database Monitor

СёрчИнформ SIEM

СёрчИнформ TimeInformer

ИБ-аутсорсинг

DLP в облаке

СёрчИнформ

О компании

Лицензии

Оферта

Партнеры

Клиенты

Учебный центр

Вакансии

Контакты

Оценка условий труда

Новости и пресса

Новости компании

Новости продуктов

Новости безопасности

Новости учебного центра

Пресса о нас

Блог

Для прессы

Информационная безопасность

Отраслевые решения

Контроль сотрудников

 

© 2020 ООО «СёрчИнформ»

Все права защищены

 

Условия использования Лицензирование Безопасность Законы Техническая поддержка

Мы используем cookie для анализа использования сайта. Продолжая использование, Вы даете согласие на работу с этими данными.
OK
Подробнее