Управление информационной безопасностью компании | Управление информационной безопасностью предприятий - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяИнформационная безопасностьОсновы ИБОсновные аспекты информационной безопасностиОсновные принципы обеспечения информационной безопасностиУправление информационной безопасностьюУправление информационной безопасностью компании
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Управление информационной безопасностью компании

Защита информации
с помощью DLP-системы
КИБ SEARCHINFORM
DLP-системы
Принцип работы DLP-системы
Как выбрать DLP-систему
Внедрение DLP-систем
Настройка DLP
Стоимость DLP-систем
Управление инцидентами информационной безопасности
Основы ИБ
Основные аспекты информационной безопасности
Документы по информационной безопасности
Угрозы информационной безопасности
Профайлинг
Информационная безопасность в отраслях
Информационная безопасность предприятий
Правила информационной безопасности на предприятии
Информационная безопасность на предприятии: с чего начать
Внутренняя безопасность предприятия
Информационная безопасность промышленных предприятий
Техническое обеспечение информационной безопасности предприятия
Примеры информационной безопасности предприятия
Корпоративная безопасность предприятий
Корпоративная информационная безопасность
Безопасность информационных систем
Архитектура безопасности информационных систем
Разработка систем информационной безопасности
Механизмы обеспечения безопасности информационных систем
Информационная безопасность телекоммуникационных систем
Обеспечение информационной безопасности банковской системы
Безопасность информационных технологий в правоохранительной сфере
Обеспечение информационной безопасности ФСБ РФ
Информационная безопасность экономической деятельности
Информационная безопасность АСУ
Информационная безопасность баз данных
Информационная безопасность бизнеса
Информационная безопасность в корпорации
Информационная безопасность в системе национальной безопасности
Информационная безопасность в финансовых системах
Информационная безопасность документооборота
Информационная безопасность компьютерных сетей и систем
Информационная безопасность электронных платежных систем
Классы безопасности информационных систем
Информационная безопасность на производстве
Информационная безопасность офиса
Комплексные системы обеспечения информационной безопасности
ИБ в России и в мире
Защита информации
Способы защиты информации
Аналитика в области ИБ
Защита от утечек информации
Защита информации, составляющей коммерческую тайну
Защита информации на флешке

Ситуация постоянного повышения уровня киберугроз вынуждает компании выделять дополнительные ресурсы на организацию системы управления информационной безопасностью компаний. Время диктует необходимость построения корпоративных сетей по распределенному принципу, с переносом части активностей в облачную среду и использованием труда удаленных сотрудников, что определяет специфику менеджмента безопасности.

Нормативно-правовая документация

Обеспечение информационной безопасности предполагает выделение объекта, на защиту которого и на формирование системы управления защитой расходуются ресурсы. 

В работе частной или государственной компании присутствуют два типа объектов, на которых необходимо обеспечить безопасность:

  • коммерческая тайна самой организации и ее контрагентов, представляющая интерес для конкурентов;
  • информационные массивы, обеспечение безопасности которых необходимо исходя из требований закона (государственная тайна, банковская тайна, персональные данные граждан).

Логика создания системы управления корпоративной информационной безопасностью должна опираться на две группы нормативных актов:

  • законы и подзаконные акты государственных ведомств, устанавливающие порядок защиты данных, технические и программные средства, необходимые для реализации этого порядка и управления сопутствующими процессами обеспечения безопасности;
  • внутренняя локальная документация компании, устанавливающая принципы и регламенты соблюдения информационной безопасности, создаваемая произвольно или на основании регламентирующих требований закона и государственных органов.

Нормативные акты должны быть положены в основу создаваемой системы управления безопасностью, описывая ключевые цели защиты данных внутри офиса и при их передаче с удаленных устройств. 

Структуры компании, отвечающие за управление информационной безопасностью, при разработке нормативных документов должны решить следующие задачи:

  • установить принципы актуализации модели угроз и принимаемых во внимание рисков информационной безопасности;
  • структурировать потоки данных, входящих в компанию, выделить из них те, которые должны обрабатываться в первую очередь, и не имеющие высокой ценности;
  • установить принципы ответственности сотрудников в вопросах противостояния угрозам информационной безопасности;
  • настроить работоспособный механизм реагирования на инциденты информационной безопасности;
  • создать принципы оценки причастных к защите информационной безопасности подразделений и критерии качества работы системы.

Разработка этих принципов и их структурирование в регламентах помогут сформировать стратегию управления информационной безопасностью компании и определить размер бюджета для перенастройки инфраструктуры.

Модели угроз и принципы управления ИБ в компании

Исходя из особенностей современной архитектуры информационных сетей корпораций, основной задачей обеспечения ее работоспособности и высокого уровня безопасности данных становится грамотное и оперативное управление процессами обработки и защиты данных и элементами инфраструктуры. Первой задачей является актуализация модели угроз, повышение уровня информированности компании в вопросах информационной безопасности. Ее решение разнится в зависимости от сектора экономики, в котором работает предприятие.

О наиболее распространенных угрозах информационной безопасности можно узнать на сайте ФСТЭК РФ. Сведения о новых компьютерных угрозах и прогнозы часто публикуют консалтинговые компании, работающие на рынке безопасности информации. При необходимости бизнес может заказать у них аналитический обзор или построение индивидуальной модели угроз. 

Среди наиболее вероятных угроз, от которых должны защищаться компании в 2020 году с учетом н перевода части бизнеса на удаленную работу:

  • вредоносное ПО. Лидер прошлого года, вирус-шифровальщик WannaCry, приобрел дополнительные эксплойты, SMBloris и EternalBlue, которые мгновенно разносят его по информационным сетям корпорации, заражая все встреченные компьютеры;
  • некорректное использование RAT, или средств удаленного администрирования. Программные продукты, позволяющие системному администратору контролировать устройство удаленного сотрудника или иного пользователя, применяются злоумышленниками для реализации их задач все чаще. Антивирусы могут иметь встроенную защиту от RAT, которая включается или отключается по желанию администратора;
  • использование злоумышленниками известных и не до конца устраненных уязвимостей в операционных системах и приложениях. Этот риск наиболее актуален для систем автоматизированного управления производством (АСУ), но и офисные программы могут стать источником проблем;
  • направление атаки не на рабочие станции, а на элементы сетевой инфраструктуры. С этой целью информационные сети заражаются вредоносными программами VPNFilter и Slingshot;
  • изменение методов работы троянов-вымогателей с общих атак на целевые, мишенями которых становятся выбранные злоумышленниками компании и банки. Также возник риск атаки вымогателей на объекты Интернета вещей – вирус может исключить возможность пользования бортовым компьютером автомобиля или офисной кофеваркой;
  • вмешательство других государств в управление производственными объектами военных и разведывательных ведомств других стран, заинтересованных в подрыве системы государственной безопасности России;
  • невысокая степень обеспечения безопасности облачных хранилищ, куда часто помещается информация, относящаяся к коммерческой тайне, или персональные данные.

При этом средства атаки на безопасность данных совершенствуются быстрее, чем средства защиты, хакерские группировки часто выступают под ложным флагом, выдавая вредоносные программы за известные утилиты. Не исчезает риск DDoS-атак, направленных на серверы компании или каналы, соединяющие ее с удаленными подразделениями, при этом использовать программные средства тестирования уязвимостей для организации таких атак способен любой школьник, а в качестве ботов все чаще применяются объекты Интернета вещей.

Необходимо учитывать и изменение вектора атак на банковскую систему, на счета и вклады граждан и компаний. Уязвимости находят в мобильных приложениях банков, позволяющих удаленно управлять доступом, их активно используют злоумышленники. Владельцам объектов критической информационной инфраструктуры следует ожидать усиления целевых атак на системы их управления, что вызывает необходимость модернизации систем, внесения в них дополнительных модулей безопасности. Также надо отслеживать перенос основного направления атаки на мобильные устройства, что наиболее опасно при переводе части сотрудников на удаленную работу.

Хакерские группировки вкладывают существенные средства в разработку новых технологий хищения информации и денежных средств, активно используя уязвимости операционных систем и облачных технологий. Эксперты считают, что каждые 14 секунд в мире появляется новый зловред. Противостояние им должно строиться на понимании угроз и уязвимостей собственной информационной системы. В качестве значимых угроз информационной безопасности называется создание вирусов, направленных на оборудование и устройства, работающие на принципах нейронных сетей и машинного обучения, с целью дестабилизации их деятельности.

Практическая реализация принципов управления ИБ

Основной задачей в рамках управления информационной безопасностью компании становится построение такой инфраструктуры, при которой выбранные для защиты решения не конфликтовали бы между собой, а управление ими требовало незначительного количества ресурсов. 

Иногда верным управленческим решением становится передача задач, связанных с управлением информационной безопасностью компаний, на аутсорсинг:

  • предварительный аудит системы, выявление уязвимостей или избыточной защиты;
  • выработка рекомендаций по повышению степени безопасности информационной системы;
  • разработка комплексного ПО, способного решить большинство задач обеспечения информационной безопасности, например, DLP-систем.

Принимать решение о привлечении аутсорсинга необходимо на уровне высшего руководства компании. Системные интеграторы и их сотрудники иногда оказываются виновны в утечках ценных данных наравне с офисными сотрудниками. Соглашение с интегратором должно предусматривать условие сохранения конфиденциальности. Его нарушение должно сопровождаться серьезными штрафами.

Определив ресурсы, направленные на создание системы управления информационной безопасностью компании, необходимо задуматься о поддержании ее работоспособности. Ключевую роль в этом должны сыграть сотрудники компании, которых потребуется не просто обучить азам компьютерной безопасности, а подготовить к осознанной работе в среде нарастающих информационных угроз. Необходимо ввести такие показатели эффективности работы сотрудников, на которых основывается их премирование, которые исключали бы небрежное отношение к информации, оборудованию, требованиям безопасности. Параллельно с этим должна быть внедрена система дифференцированного доступа к данным с присвоением рангов конфиденциальности различным информационным массивам и разграничением привилегий сотрудников. Это лучший способ избежать непреднамеренных утечек данных или заражения системы.

Внедрение системы безопасности, учитывающей все риски, построенной на принципах достаточности и целесообразности, должно происходить по следующему сценарию:

  • оценка рисков;
  • оценка потенциала системы;
  • разработка стратегии оптимизации;
  • выбор программных и технических решений, при разработке новых продуктов – определение необходимости их сертификации, это требование обязательно применяется при запуске новых АСУ;
  • внедрение разработанных или приобретенных программных и технических средств обеспечения безопасности информации;
  • запуск в эксплуатацию и приемо-сдаточные испытания. Этот этап не обязателен для коммерческих компаний, но он окажется неизбежным при создании или модернизации информационных систем государственных органов (ГИС);
  • аудит работоспособности системы;
  • разработка и внедрение рекомендаций по дальнейшему улучшению работоспособности системы.

Также важным окажется бережное отношение к ресурсам информационной системы, отказ от ее избыточной перегрузки, что может повлечь сбои и утрату целостности информации, другие риски для ее сохранности. Возникает необходимость использовать комплексные решения, при помощи которых решается несколько задач. 

Среди необходимых программных средств, рекомендуемых ФСТЭК РФ для построения информационных систем, отвечающих всем критериям информационной безопасности:

  • программы, обеспечивающие двухфакторную аутентификацию пользователей;
  • программы, реализующие модель дифференцированного доступа к данным разной степени секретности;
  • антивирусные средства;
  • средства доверенной загрузки;
  • межсетевые экраны. Для АСУ они позволяют создать демилитаризованные зоны (буферные зоны, исключающие проникновение агрессии в систему управления оборудованием) на стыках между офисными системами и системами управления производством, что замедляет или исключает инфицирование вредоносными программами, повышая уровень защиты данных;
  • средства криптографической защиты;
  • средства мониторинга работоспособности системы;
  • средства выявления инцидентов информационной безопасности и реагирования на них – SIEM-системы;
  • средства проверки разрешений, сканирующие мобильные приложения с целью поиска встроенных разрешений на действия, нарушающие степень безопасности, с функцией отзыва таких разрешений.

Если компания является оператором персональных данных, при выборе программного обеспечения, предназначенного для обеспечения их безопасности, необходимо ориентироваться на нормативные требования ФСТЭК РФ по определению класса защиты системы и использованию сертифицированных программных средств. При заключении договора с облачным хранилищем, куда планируется переместить полностью или частично базы данных компании, надо убедиться в том, что они защищены в соответствии с требованиями законодательства об обеспечении безопасности персональных данных и не создадут риска для их сохранности. Разрабатывая модель управления информационной безопасностью компании, следует учитывать, что иногда облачные хранилища защищены в большей степени, чем может позволить себе небольшая компания. Крупные провайдеры используют все современные средства обеспечения защиты данных, в том числе и системы выявления инцидентов информационной безопасности, реагирования на них, поэтому перенос баз данных, содержащих конфиденциальную информацию, на облачные серверы может быть оправдан.

Комплексная реализация стратегии обеспечения информационной безопасности на предприятии способна не только минимизировать риски утечек информации, но и оптимизировать бизнес-процессы, сократив количество сбоев в работе информационной системы.

28.04.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.