Современная практика обеспечения информационной безопасности опирается на концепцию эшелонированной обороны, при которой защита данных происходит на нескольких уровнях безопасности. Каждый из них разворачивается постепенно, заставляя злоумышленника решать несколько задач одновременно.

Концепция уровней информационной безопасности

Квалификация хакеров растет постоянно, в подпольных лабораториях разрабатываются новые средства взлома защиты. По мнению экспертов, каждые 14 секунд в мире создается один новый зловред. А общедоступное программное обеспечение, предназначенное для тестирования уязвимостей, позволяет взломать защиту сайта небольшого интернет-магазина. Это побуждает организации решать задачи защиты данных, опираясь на концепцию создания нескольких степеней обеспечения информационной безопасности.  

Схемы взлома, рассчитанные на стандартную систему защиты, окажутся безуспешными, если преступники встретятся с тщательно продуманными системами безопасности, каждая из ступеней которых будет создавать трудности для проникновения в базу данных. 

Уровни информационной безопасности

На практике эшелонированная система обороны включает четыре уровня:

1. законодательный;
2. административный (организационный);
3. процедурный;
4. программно-технический.

Перед тем как ее выстраивать, необходимо разработать и принять стратегию безопасности. В ней следует описать каждый уровень, стратегию его разворачивания и подразделение, отвечающее за поддержание работоспособности. 

Разворачиваются эти этапы постепенно, каждый последующий вытекает из предпосылок, задаваемых на более высокой ступени.

Законодательный 

Государство в рамках своих полномочий может определять стратегию частной компании в области защиты информации, если она обрабатывает персональные данные или государственную тайну. Защищается на стадии законодательства и коммерческая тайна компании. 

На законодательном уровне обеспечения информационной безопасности определяются:

• общая стратегия защиты информации и систем связи в стране;
• практические шаги по реализации государственной стратегии защиты данных;
• требования к защите государственной тайны, систем управления и связи государственных органов;
• требования к безопасности информационных систем частных компаний, если в них обрабатываются персональные данные или содержатся сведения, относящиеся к государственной тайне;
• правила обеспечения безопасности персональных данных;
• правила лицензирования разработчиков программного обеспечения, сертификации ПО, аттестации помещений, в которых обрабатывается информация с повышенным уровнем конфиденциальности.

Законы и подзаконные нормативные акты часто разрабатываются и принимаются пакетами в рамках реализации национальной программы или проекта. Так, в рамках практической реализации Доктрины информационной безопасности дана система обеспечения безопасности объектов критической информационной инфраструктуры и система ГосСОПКа. А в рамках национального проекта «Цифровая экономика» была разработана концепция суверенного Рунета. 

Нововведения, принимаемые государством и регуляторами (ФСТЭК РФ, Центробанка, ФСБ), затрагивают интересы общества, поэтому любые новые меры усиления безопасности до их утверждения выносятся на обсуждение экспертного сообщества. 

В прошлом году споры вызвал законопроект о суверенном Рунете. Достижение в рамках общественного обсуждения законопроекта общегражданского соглашения с провайдерами телекоммуникационных услуг потребовало определенных уступок со стороны законодателя. Также был заморожен проект обязательной сертификации всех обновлений мобильных приложений для онлайн-банкинга, так как это могло замедлить работу банков. Хотя злоумышленники часто используют изъяны мобильных приложений для получения доступа к средствам граждан.  

На законодательном уровне обеспечения информационной безопасности принимаются также нормы, направленные на привлечение к ответственности нарушителей режима конфиденциальности информации. 

Существуют следующие степени ответственности:

• гражданско-правовой. Нарушитель несет финансовую ответственность за преднамеренное нарушение требований целостности, конфиденциальности или доступности информации;
• дисциплинарно-трудовой. Нарушитель режима конфиденциальности может получить выговор или увольнение;
• административный. Нарушение правил обработки персональных данных карается штрафом;
• уголовный. Использование вредоносных программ для хищения данных может привести к тюремному заключению.

Существование такой развернутой системы мер ответственности на законодательном этапе обеспечения информационной безопасности предотвращает совершение преступлений.

Административный (организационный) 

Компания вправе разработать собственный перечень административных мер, призванных исключить утечки информации. Если она является оператором персональных данных, эти меры будут опираться на требования ФСТЭК РФ. В противном случае компания свободна в выборе стратегии защиты. Международным организациям предпочтительнее использовать стандарты ISO/IEC серии 27000:2008. Выполнение этих рекомендаций и сертификация компании способствует улучшению ее имиджа среди клиентов и партнеров. 

Документом первой степени является политика или стратегия безопасности, принимаемая высшим руководством организации, советом директоров или генеральным директором. В ней содержатся основные определения, принципы защиты данных и дается отсылка к локальным нормативным актам, не имеющим силы закона. Если компания является оператором персональных данных, то этот уровень значимости будет иметь Политика обработки персональных данных, обязательно публикуемая на сайте компании.

Перечень приложений к этим документам устанавливается нормативными актами ФСТЭК РФ или Роскомнадзора либо разрабатывается организацией самостоятельно. 

Среди таких приложений:

• положение о коммерческой тайне;
• перечень сведений, составляющих коммерческую тайну;
• положение о порядке доступа пользователей к информации с установлением рангов пользователей и порядком изменения уровней привилегий;
• положение о порядке использования мобильных устройств;
• положение о порядке пользования съемными носителями информации;
• положение о работе с бумажными носителями коммерческой тайны, их копировании.

Также на документальном уровне обеспечения информационной безопасности разрабатываются дополнительные соглашения к трудовым договорам, обязывающие хранить коммерческую тайну компании и ее контрагентов. К административному этапу относятся и такие практические шаги, как снабжение входов в охраняемые помещения электронными замками, установление системы видеонаблюдения.

Процедурный 

Процедурный уровень, или регламентация действий пользователей, применяется на организационном и программно-техническом этапах, выражается в регулировании бизнес-процессов и процессов управления. На процедурном этапе реализуется многолетний управленческий опыт, выраженный в общепринятых процедурах менеджмента или предлагаемый международными стандартами. 

Реализуются процедурные меры в следующих направлениях:

• управление персоналом, его информирование и обучение. Здесь устанавливаются системы мотивации персонала, ключевой частью которых становятся показатели эффективности, связанные с соблюдением правил информационной безопасности, разрабатываются методики обучения и информирования сотрудников о текущих угрозах, определяются механизмы контроля за их деятельностью;
• поддержание работоспособности информационной системы. Здесь решается комплекс задач, связанных с повышением эффективности и компетенции сотрудников ИТ-подразделений, разрабатываются регламенты контроля за работой ИС, внедряются механизмы мониторинга работоспособности системы и устанавливаются правила и регламенты реакций на неполадки, в том числе минимальное время восстановления системы после сбоя, также определяется порядок создания резервных копий данных; 
• планирование восстановительных работ. Целью этой группы регламентов должно стать сокращение времени простоя системы. Если сейчас среднее время утраты работоспособности ИС в результате сбоев, заражения вредоносными программами или хакерских атак доходит до нескольких часов, целевым показателем для этой группы действий должен стать такой период восстановления, который не помешал бы течению бизнес-процессов. На практике ожидаемое время составляет 1-2 часа;
• физическая защита. Здесь регламентируется защита серверов от проникновения, технических сбоев и аварий. Они должны находиться в защищенном помещении, исключающем аварии в системе электроснабжения. Параллельно с этим должны вестись журналы учета действий пользователей;
• реагирование на нарушение безопасного режима. Эта система мер реализуется на программном этапе, блокируя некорректные действия пользователей или отменяя операции, и на организационном уровне путем установления системы дифференцированного доступа.

Принятые меры повысят степень информационной безопасности за счет улучшения работоспособности системы и контроля за действиями пользователей.

Программно-технический 

Эта сфера деятельности организации не должна быть полностью отдана на откуп сотрудникам ИТ-подразделений. Требуется пристальный контроль со стороны руководства, чтобы при определении степени защиты не создавать избыточной нагрузки на бюджет компании. 

Программно-технический этап обеспечения информационной безопасности реализуется с целью решения следующих задач:

• создание системы дифференцированного доступа, присвоение меток конфиденциальности учетным записям пользователей и файлам;
• использование межсетевых экранов на входе в систему извне и для разграничения различных секторов внутри нее;
• аутентификация и идентификация пользователей;
• ведение регистра действий пользователей;
• реагирование на инциденты информационной безопасности;
• криптографическая защита ценной информации.

Реализация системы защиты данных на перечисленных уровнях обеспечения информационной безопасности решит основные задачи сохранения высокой степени их конфиденциальности.

21.05.2020