Москва, ул. Мишина, 56, стр. 2, подъезд 1, этаж 2
г. Москва
Это ваш регион?
Отдел продаж
Техподдержка 24/7

О важности комплексного подхода к защите информации

Все процессы, связанные с обработкой информации, могут подвергаться компьютерным атакам, направленным на нарушение свойств безопасности. Единственный способ исключить вероятность утечки данных — отказаться от обработки информации в электронном виде.
Никита Вылегжанин
16 Августа 2018
Бизнес-аналитик «Инфотекс Интернет Траст»
Подключиться
Чтобы подключиться к услуге защиты каналов связи, заполните заявку
Заполнить заявку

К свойствам безопасности информации относятся конфиденциальность, целостность, доступность, неотказуемость, достоверность, подотчётность и аутентичность:

  • конфиденциальность — информация недоступна третьим лицам;
  • целостность — информация не подвергалась искажению;
  • доступность — к информации есть непрерывный доступ;
  • неотказуемость — авторство информации можно доказать;
  • достоверность — информация соответствует эталонному поведению или состоянию;
  • подотчётность — состояния и жизненный цикл информации или информационной системы можно достоверно отследить;
  • аутентичность — в информацию гарантированно не вносились изменения.

Все меры по защите информации сводятся к тому, чтобы предотвратить нарушение вышеуказанных свойств.

Опасности для информации

Владельцы информационных систем, не придающие должного значения обеспечению защиты, рискуют утечкой, уничтожением или искажением важной информации, а также потенциальными судебными разбирательствами, денежными штрафами и ограничениями для бизнеса.

Несмотря на кажущуюся нематериальность вопросов обработки и защиты информации в электронном виде, последствия легкомысленного отношения к безопасности данных вполне осязаемы: если сотрудник «сольёт» важную информацию конкуренту, компания может потерять деньги, а если в интернет «утечёт» база персональных данных клиентов, компания рискует стать фигурантом судебного разбирательства.

Тема защиты информации, в том числе персональных данных клиентов, сейчас крайне актуальна. Сотрудники компаний, включая руководителей высшего и среднего звена, стремятся повысить свою квалификацию в области информационных технологий и способов защиты информации. Для этого по вопросу снижения рисков информационной безопасности проводятся конференции, воркшопы и лекции.

Снижение рисков

Единственный способ, который мог бы исключить вероятность утечки данных в электронной форме, — это отказ от обработки информации в электронном виде. Но такие радикальные меры в XXI веке уже неприменимы, потребители привыкли к электронным сервисам, взаимодействию через интернет и гаджетам. Работа с электронными данными неизбежна, значит, нужно эти риски снижать, усиливая защиту информации.

Защита информации — непрерывный комплексный процесс, нацеленный на предотвращение нарушения свойств информационной безопасности и позволяющий снизить её риски.

Можно выделить несколько основных этапов защиты информации:

  1. Формирование требований по информационной безопасности.
  2. Создание системы защиты информации и её ввод в эксплуатацию.
  3. Эксплуатация и поддержание системы защиты информации в актуальном состоянии.

Формирование требований к защите информации

Чтобы сформировать требования к защите информации, первым делом нужно определить, существуют ли для вашей информационной системы критерии информационной безопасности, прописанные в законодательстве.

На государственном уровне требования к обеспечению информационной безопасности отражены в нормативно-правовых актах ФСБ России и ФСТЭК России. Защита персональных данных регулируется Федеральным законом №152-ФЗ и должна осуществляться в соответствии с требованиями приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Постановления Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Если ваша система подпадает под действие перечисленных или иных законодательных актов, диктующих требования по защите информации, то все этапы защиты информации в вашей системе должны проводиться согласно требованиям соответствующих законов и подзаконных актов.

Если ваша система не обрабатывает информацию, подлежащую защите по закону, то вы можете самостоятельно определить, какие сведения и от чего нужно защищать. Именно владелец информации (в данном случае — заказчик) принимает решение о том, какие свойства безопасности информации необходимо обеспечивать.

Оценка угроз безопасности информации — важная задача, от качества выполнения которой зависит создание эффективной системы защиты.

Все угрозы с учётом их актуальности сводятся в единый перечень — так называемую модель угроз. Чтобы построить модель угроз, нужно выявить существующие риски и правильно оценить их актуальность.

Неадекватная оценка рисков может привести к перерасходу средств на создание системы защиты или наоборот — к недостаточной эффективности построенной системы. Вряд ли нужно строить бункер с защитой от бомбёжки, чтобы обеспечить безопасность данных о постоянных клиентах продуктового магазина. Аналогично не стоит держать флешку со всеми финансовыми отчётами, подготовленными для вас аудиторской компанией, на столе в приёмной.

Сформировать модель актуальных угроз можно как по методикам, предлагаемым ФСТЭК России, так и не следуя им в точности. В любом случае для получения качественного результата понадобится аналитик, который будет выполнять поставленную задачу в плотном контакте с компанией.

На основе модели актуальных угроз формируются требования к системе защиты. Логика простая: есть актуальная угроза — её нужно нейтрализовать. Для нейтрализации угроз, связанных с компьютерными вирусами, понадобятся антивирусные средства. Для защиты от сетевых атак — средства защиты сети. Как правило, требования к системе защиты содержат не конкретные наименования средств защиты информации, а их описания с точки зрения функций.

В итоге должен получиться перечень средств защиты с функциями, покрывающий перечень актуальных угроз.

Реализация системы защиты

После формирования требований к создаваемой системе защиты начинается этап её реализации. Подбираются средства защиты, создаются необходимые внутренние документы, всё это внедряется и настраивается, затем тестируется и запускается в эксплуатацию.

Можно самостоятельно разобраться в мире средств защиты, но потребуется много времени и усилий, чтобы понять хитросплетения функций, совместимостей и форматов данных. Многие вендоры предлагают услуги по внедрению систем защиты под ключ, что экономит время и усилия, но может оказаться дороже, чем бюджетный «кастом», создаваемый из россыпи средств от разных производителей. Что выбрать — решать заказчику. Всё зависит от его возможностей и приоритетов, а также от сложности создаваемой системы.

Внедрение, настройка, тестирование и ввод в эксплуатацию, как правило, не занимают много времени, если предварительное проектирование проведено качественно.

Если специалистов по защите информации нет среди сотрудников организации, для создания системы защиты привлекаются компании, специализирующиеся на построении соответствующих систем в соответствии с Федеральным законом №152-ФЗ. Одна из таких компаний — МРП-Интеллектуальные машины, предоставляющая полный комплекс услуг по защите персональных данных. Такой путь решения задачи отличается сравнительно большими единовременными вложениями при небольших регулярных затратах (регулярно придется платить только за некоторые лицензии, например за антивирус).

В качестве альтернативного варианта компании прибегают к так называемой безопасности в виде сервиса (Security as a Service — SecaaS). Сервисная модель позволяет решать задачу защиты информации на постоянной основе, не вкладываясь в наём дорогостоящих специалистов по информационной безопасности и минимизируя единовременные вложения во внедрение средств защиты. Сервисная модель, как правило, не требует крупных вложений на старте, но регулярные затраты будут более высокими, чем при создании собственной системы защиты информации.

Всё? Моя информация защищена?

Не совсем. Обеспечение информационной безопасности — непрерывный процесс. После начала промышленной эксплуатации необходимо выполнить ряд действий для эффективной защиты информации:

  • изучить и довести до сотрудников содержание инструкций по защите информации;
  • назначить лиц, ответственных за соблюдение условий и правил эксплуатации средств защиты;
  • регулярно обновлять программное обеспечение средств защиты, а также базы вирусных и сетевых угроз;
  • анализировать события безопасности, дорабатывать и настраивать системы защиты с учётом результатов анализа.

Выполнение указанных мероприятий не менее важно, чем правильность изначального решения по защите информации. Эффективность защиты информации напрямую зависит от правильной настройки средств защиты и актуальности версий их программного обеспечения, а также от соблюдения пользователями правил работы со средствами защиты.

Подводим итоги

Почти любая современная компания так или иначе связана с информационными технологиями, определенные её процессы работают с использованием программных продуктов и телекоммуникационных сетей.

Новые уязвимости, вирусы, атаки появляются каждый день. Для защиты от них регулярно выпускаются обновления программного обеспечения и баз данных, своевременная установка которых необходима и обязательна. Масштаб и схема работы системы должны постоянно изменяться в соответствии с изменениями объёмов информации и требований к её защите.

На мой взгляд, время, когда компании, не связанные с IT-сферой, могли игнорировать вопросы защиты информации, подходит к концу. Необходимо оценивать важность информационных ресурсов для функционирования процессов и адекватно защищать их.

Эта статья была полезной?
Подключиться
Чтобы подключиться к услуге защиты каналов связи, заполните заявку