Компания, хорошо ориентирующаяся в киберугрозах современного мира, чувствует потребность выстроить систему информационной безопасности в соответствии с уровнем рисков. Но принимаемые решения не должны быть дорогими и при этом оставаться эффективными. Выстраивая стратегию информационной безопасности, необходимо ориентироваться на реальные потребности бизнеса.

Нормативная база

Любая система, в том числе система информационной безопасности на предприятии, начинается с людей, которые ее выстраивают и будут действовать по ее правилам. Поэтому первым этапом станет разработка стратегии, в которой необходимо описать:

• предполагаемые риски, их тип зависит от степени конфиденциальности защищаемой информации и от того, является ли компания оператором персональных данных. Во втором случае основные положения стратегии будут основаны на рекомендациях регуляторов;
• ожидания от архитектуры информационной безопасности, программные и аппаратные средства, планируемые к установке;
• финансовые ресурсы, которые планируется затратить на разработку и внедрение системы;
• персонал, участвующий в реализации стратегии, – собственный, привлеченные эксперты, компания на аутсорсинге;
• планируемые сроки внедрения.

После того, как стратегия утверждена, требуется разработать и внедрить пакет организационно-распорядительной документации. Некоторые документы из перечня определяют общие принципы информационной безопасности на предприятии, некоторые предусмотрены требованиями закона «О защите персональных данных» и рекомендациями ФСТЭК РФ. В минимальном варианте потребуется разработать и принять три документа:

1. Политика информационной безопасности.
2. Концепция информационной безопасности.
3. Положение о коммерческой тайне (конфиденциальной информации).

Помимо них, нужно разработать методические инструкции прикладного характера. 

Политика информационной безопасности

Документ является основополагающим для организации, и, если есть возможность, его следует утверждать не на уровне исполнительного руководства компании, а на уровне Совета директоров, так как описанные в нем правила регламентируют и поведение высшего менеджмента. В документе описываются:

• уровни конфиденциальности документов;
• основные регламенты обращения с информацией и ее носителями;
• правила допуска пользователей;
• угрозы и риски информационной безопасности.

В связи с тем, что уровень информационных угроз постоянно меняется, политику информационной безопасности целесообразно пересматривать ежегодно.

Концепция информационной безопасности

Для компании, работающей с клиентскими данными, важно сохранить деловую репутацию и подтвердить, что она предпринимает все меры для сохранения конфиденциальности информации. Для этого нужно подготовить небольшую выжимку из Стратегии и Политики, осветив в ней основные меры и средства по защите информации. Размещение этого документа на сайте компании в открытом доступе для клиентов создаст благоприятный имидж организации.

Положение о коммерческой тайне

На каждом предприятии формируется определенный объем конфиденциальной информации, но не везде она относится к коммерческой тайне, разглашение которой преследуется по закону. Чтобы это произошло, в компании нужно объявить режим коммерческой тайны и издать Положение, регламентирующее основные правила обращения с конфиденциальной информацией. 

В Положении указывается:

• порядок отнесения информации к коммерческой тайне;
• порядок обращения с документами и файлами, содержащими коммерческую тайну;
• лица и подразделения, ответственные за соблюдение режима коммерческой тайны;
• меры ответственности за разглашение конфиденциальных данных, дисциплинарные или связанные с демотивацией персонала.

С этим документом необходимо ознакомить всех сотрудников, параллельно внеся в трудовые договоры Положение об ответственности за сохранение конфиденциальности. В этом случае при намеренной утечке информации с виновного лица можно будет взыскать ущерб в гражданско-правовом порядке, а при причинении существенного ущерба охраняемым законом интересам привлечь это лицо к уголовной ответственности. Такие превентивные меры иногда лучше охраняют конфиденциальную информацию от рисков утраты или подмены, чем меры физической и программной защиты документов и файлов от несанкционированного доступа.

Практические решения

Документы, регламентирующие поведение персонала и вводящие меры ответственности, могут повлиять на сотрудников организации, инсайдеров, которые, по статистике, отвечают почти за 80 % утечек информации, но 20 % остается на долю внешних причин. Найти уязвимости в системе безопасности поможет аудит, организовать его можно собственными силами или с использованием привлеченных специалистов. Сканеры уязвимостей имитируют действия хакеров с учетом всех существующих на момент аудита угроз и находят слабые места в системе информационной безопасности на предприятии. На основании этих данных можно выработать рекомендации по программным и техническим мерам защиты конфиденциальной информации. Объем аудита зависит от архитектуры сети, степени распределенности, использования облачных технологий. 

Но по следующим параметрам аудит будет обязательным: 

1. Политика доступа. Необходимо оценить степень физического доступа к серверам и компьютерам, наличие ограничения прохода в помещения, где находятся рабочие станции, обрабатывающие конфиденциальную информацию, использование электронных пропусков для входа в помещение и ведение журнала посетителей, сроки хранения информации о лицах, посещающих помещения. Также требуется оценить эффективность системы видеонаблюдения при ее наличии, способна ли она показать действия пользователя, как долго хранятся записи. После этого необходимо проанализировать систему доступа, кем и как формируются логины и пароли, проверить, реализована ли модель дифференцированного доступа, и оценить ее практическую необходимость. Если используется многофакторная аутентификация, нужно понять, как производится выдача дополнительных идентификаторов. Подлежит аудиту парольная политика (срок действия паролей, сложность, количество попыток входа, время блокирования системы после превышения количества попыток). 

2. Состояние сети. Здесь анализируется физическое месторасположение серверов, организация физического и информационного доступа к ним, особенности сегментации сети, использование межсетевых экранов на границах секторов и качество файрволов. Проверяется, как реализована модель удаленного доступа, какой тип защищенных каналов используется. Оптимальная модель удаленного доступа реализуется по принципу установки проверенного и нескомпрометированного сервиса VPN. Предоставление права на удаленный доступ с санкции топ-менеджмента для сотрудников, для внешних пользователей доступ возможен только в определенные часы для проведения сервисных работ. Права пользователей на удаленном доступе должны быть минимально ограничены.

3. Обработка инцидентов информационной безопасности. Необходимо понять, какие инциденты информационной безопасности относятся к критическим, как выстроена модель уведомлений и реакции на них, как вносятся изменения в реестр инцидентов и как производится анализ результатов их устранения. Для каждой компании необходимо ранжировать инциденты по степени значимости для конкретной информационной системы. Здесь же нужно проанализировать порядок ведения реестров записи действий пользователей с информационными активами и возможность уничтожения или изменения записей в них. 

4. Активы. В компании должен быть создан перечень активов, к которым относятся элементы инфраструктуры, оборудование, ценная информация, процессы и программные решения. По отношению к каждому активу должен быть проанализирован механизм доступа и модель изменения прав доступа.

5. Регламенты защиты информации. Кроме модели доступа и установления режима конфиденциальности, требуется проверить, в каких случаях данные шифруются, какого типа средства для этого применяются и кто имеет доступ к ключам шифрования. А также как защищаются персональные данные, если компания является их оператором, соответствуют ли алгоритмы защиты требованиям регулятора. 

Результаты аудита должны быть обобщены в виде рекомендаций по улучшению системы информационной безопасности, чтобы вопросов, с чего начать для приведения ИС в вид, соответствующий рискам и требованиям времени, не возникало. Задача специалистов по информационной безопасности – сделать эти рекомендации исполнимыми в существующей финансовой и кадровой ситуации на предприятии. После принятия основополагающих документов и проведения аудита начинается внедрение. Программные средства будут выбираться специалистами с учетом рекомендаций ФСТЭК, практически все эффективные решения по безопасности сертифицированы ведомством. Дополнительные решения, такие как DLP-, SIEM-системы, рекомендованы тогда, когда риск внешних вторжений или инсайдерских утечек выглядит действительно серьезным.

Внедрение новых методик и программных продуктов должно сопровождаться обучением персонала и его мотивацией. Даже современные системы мониторинга окажутся бесполезными, если на уведомления не будет реакции. Ключевые показатели эффективности персонала должны зависеть от того, насколько эффективно происходит поддержание модели безопасности, к разработке такой системы мотивации необходимо привлекать сотрудников отделов кадров. Весь процесс должен проходить под пристальным контролем высшего руководства, став одним из приоритетов деятельности компании в период создания и настройки. При этом работающая система информационной безопасности на предприятия должна стать удобным сервисом, не замедляющим и не блокирующим течение бизнес-процессов. 

21.01.2020