Управление информационной безопасностью - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяИнформационная безопасностьОсновы ИБОсновные аспекты информационной безопасностиОсновные принципы обеспечения информационной безопасностиУправление информационной безопасностью
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Управление информационной безопасностью

Защита информации
с помощью DLP-системы
КИБ SEARCHINFORM
DLP-системы
Принцип работы DLP-системы
Как выбрать DLP-систему
Внедрение DLP-систем
Настройка DLP
Стоимость DLP-систем
Управление инцидентами информационной безопасности
Основы ИБ
Основные аспекты информационной безопасности
Документы по информационной безопасности
Угрозы информационной безопасности
Профайлинг
Информационная безопасность в отраслях
Информационная безопасность предприятий
Правила информационной безопасности на предприятии
Информационная безопасность на предприятии: с чего начать
Внутренняя безопасность предприятия
Информационная безопасность промышленных предприятий
Техническое обеспечение информационной безопасности предприятия
Примеры информационной безопасности предприятия
Корпоративная безопасность предприятий
Корпоративная информационная безопасность
Безопасность информационных систем
Архитектура безопасности информационных систем
Разработка систем информационной безопасности
Механизмы обеспечения безопасности информационных систем
Информационная безопасность телекоммуникационных систем
Обеспечение информационной безопасности банковской системы
Безопасность информационных технологий в правоохранительной сфере
Обеспечение информационной безопасности ФСБ РФ
Информационная безопасность экономической деятельности
Информационная безопасность АСУ
Информационная безопасность баз данных
Информационная безопасность бизнеса
Информационная безопасность в корпорации
Информационная безопасность в системе национальной безопасности
Информационная безопасность в финансовых системах
Информационная безопасность документооборота
Информационная безопасность компьютерных сетей и систем
Информационная безопасность электронных платежных систем
Классы безопасности информационных систем
Информационная безопасность на производстве
Информационная безопасность офиса
Комплексные системы обеспечения информационной безопасности
ИБ в России и в мире
Защита информации
Способы защиты информации
Аналитика в области ИБ
Защита от утечек информации
Защита информации, составляющей коммерческую тайну
Защита информации на флешке

В современных условиях, когда постоянно нарастающий масштаб киберугроз может стать одной из наиболее критических опасностей для мировой экономики, в построении системы управления информационной безопасностью на предприятии не могут принимать участие только сотрудники СБ и ИТ-подразделений. Все сотрудники должны знать о наличии актуальных рисков и уметь оперативно и грамотно противостоять им.

Основные принципы управления системами ИБ

Создание системы управления информационной безопасностью начинается с разработки актуальной модели угроз. Составления этого документа потребует регулятор, если компания является оператором персональных данных. Но и в ином случае его подготовка позволит систематизировать работу по управлению процессами защиты данных и избежать необоснованных расходов на программное обеспечение и оборудование, не нужное в конкретных ситуациях.

По мнению экспертов, в первой половине 2020 года сформировалась следующая система ранжирования угроз информационной безопасности по значимости:

  • целевые атаки. Они направлены на компании и корпорации, большая часть сотрудников которых работает удаленно, на системы управления производством (АСУ) на организации, хранящие данные в облаке, на банки, широко использующие мобильные приложения для управления счетами и вкладами. Трафик перехватывается, в мобильных приложениях могут оказаться незадекларированные возможности, поэтому процесс обмена данными на расстоянии должен быть максимально защищенным;
  • шпионаж, конкурентная разведка и использование хакерских технологий. Их актуальность возрастает в ситуации, когда существенная часть ресурсов, связанных с обеспечением работы системы защиты информации, переносится на контроль за удаленными специалистами. Если в компании не настроен процесс контроля, системы мониторинга угроз информационных рисков с автоматическими реакциями или DLP-системы, данные компании могут стать легкой добычей злоумышленников;
  • мошенничество. С переносом активности сотрудников из офиса в коворкинги или домой увеличивается их интерес к развлекательным, игровым ресурсам, способам быстрого заработка, и эти проявление не может пресечь отдел управления персоналом. Эти порталы часто бывают заражены вредоносными программами, сотрудник рискует не только потерять свои средства в результате мошенничества или фишинга, но и заразить информационную систему компании вирусами, если для работы и развлечений используется одно устройство;
  • вредоносные рассылки. В начале 2020 года в связи с растущей в обществе паникой из-за пандемии коронавируса злоумышленники создали новые email-кампании. Пользователям рассылают сообщения с вложенными PDF-файлами. В ряде случаев это вредоносное программное обеспечение, зашифровывающее данные на компьютере. В теме письма при этом пишут «Советы, как не заболеть коронавирусом, в копии для отвлечения внимания указывают адреса реальных компаний. Под похожим «соусом» от имени UNICEF фишеры рассылают шпионскую программу HawkEye. Во вложение злоумышленники могут прикрепить и троян Netwire, который собирает данные о системе и компьютере, загружает и запускает файлы, делает скриншоты, управляет клавиатурой и мышью, похищает логины, пароли и данные банковских карт.

С учетом названных угроз все бизнес-процессы компании выстраиваются так, чтобы содержать элементы системы обеспечения информационной безопасности. В современных условиях некоторые элементы безопасности должны получить приоритет над бизнес-интересами из масштабирования угроз, поэтому основными задачами выстраивания процесса управления информационной безопасностью становятся:

  • обновления политик защиты данных, сдвигающих фокус управления защитой информационных систем в сторону контроля удаленного доступа;
  • пересмотр системы управления рисками с учетом изменения законодательства и структуры работы экономики на среднесрочный и долгосрочный периоды;
  • видоизменение организационной структуры компании с учетом перевода сотрудников на удаленную работу, усиления роли служб безопасности и ИТ-подразделений.

Реализация этой стратегии в опережающем режиме, ускоренная настройка процессов повышения уровня информационной защиты позволит завоевать конкурентные преимущества.

Практические формы управления ИБ

Управление защитой информации на предприятии должно происходить на двух уровнях:

  • в офисе;
  • на удаленном доступе.

Сейчас бизнес все чаще использует модель удаленной работы, облачные технологии. Управление процессами создания продуктов осуществляется на расстоянии. Материалы находятся на удаленном ресурсе, а специалисты подключаются к ним из разных точек земного шара. Это создает необходимость сделать работу на удаленном подключении максимально безопасной. 

Первым этапом новой модели управления информационной безопасностью становится создание подразделения или рабочей группы, ответственной за выработку стратегии работы с рисками, возникающими в связи с обменом данными с удаленными сотрудниками. 

В задачи подразделения по управлению защитой от киберрисков входят:

  • перестройка информационной системы таким образом, чтобы обеспечить безопасность удаленных подключений, создать гарантированно защищенный процесс работы;
  • обучение сотрудников основам безопасной работы с оборудованием и данными;
  • обновление и перенастройка программного обеспечения, отвечающего за мониторинг киберугроз;
  • разработка и утверждение новых регламентов работы в информационной системе;
  • контроль за соответствием новой модели безопасности требованиям регулятора и действующего законодательства;
  • мониторинг новых угроз, обеспечение адекватной реакции на них;
  • внедрение современных стандартов информационной безопасности, например, ISO 27001, их адаптация к удаленной модели организации бизнес-процессов, получение сертификации для новой конфигурации;
  • создание информационного ресурса на корпоративном сайте, посвященного исключительно вопросам информационной безопасности.  Сотрудников нужно информировать о новых угрозах и рисках, модернизации фишинговых рассылок и вредоносных программ. На ресурсе необходимо создать механизм обратной связи.

При выборе технических и программных решений, связанных с обеспечением новой модели защиты данных, не мешающей нормальному протеканию бизнес-процессов, упор нужно делать на:

  • межсетевые экраны;
  • программы, позволяющие производить запуск процессов и приложений в выделенной среде;
  • VPN-технологии;
  • усложнение маршрутизации трафика;
  • обеспечение двухфакторной идентификации сотрудников, при возможности с использованием аппаратных средств – токенов;
  • широкое использование средств криптографической защиты.

В качестве критериев оценки процесса и результата своей деятельности служба безопасности может использовать снижение общего числа инцидентов кибербезопасности, утечек данных, заражений вредоносными программами. В рамках подразделения необходимо создать систему, подразумевающую дежурство одного из специалистов сети для контроля действий удаленных сотрудников и ответов на их вопросы.

Что сотрудник офиса должен знать о кибербезопасности

Обучение сотрудников является важной задачей компании, ее реализация защищает от 80-90% угроз и рисков. Простая памятка, разосланная сотрудникам офиса, сделает их поведение при работе с оборудованием и данными более осознанным. 

Ключевые правила информационной безопасности, которым необходимо обучать персонал:

  • необходимо максимально разделять личное и рабочее информационное пространство, не использовать рабочий компьютер для личных целей, развлекательного серфинга в Сети и скачивания сомнительных программ;
  • необходимо постоянно обновлять знания о текущих рисках и угрозах, заходя на ресурс компании, посвященный этой проблеме;
  • надо знать, к кому из сотрудников ИТ-подразделения можно обратиться в случае возникновения нештатной ситуации, например, заражения устройства вирусом-шифровальщиком, и по какому каналу связи осуществляется такое взаимодействие;
  • необходимо ограничить использование мессенджеров на корпоративных мобильных устройствах для взаимодействия сотрудников. Перечень разрешенных мессенджеров должен быть указан в регламентирующих документах;
  • надо соблюдать правила безопасности дома, своевременно обновляя пароли на всех устройствах и в сервисах, используемых в корпоративных целях;
  • нужно полностью исключить работу в общедоступных Wi-Fi-сетях;
  • необходимо максимально осторожно обсуждать вопросы компьютерной безопасности корпоративной сети на профессиональных форумах.

Обучение сотрудников этим правилам поможет сделать работу более эффективной, а управление компьютерной безопасностью перестанет быть задачей только специализированных служб, став общей целью всей организации.

28.04.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.