Защита информации в компании: простые правила и никакого волшебства

2 июля 2021

Автор: INSIDER

Фото 1: «Защита информации в компании: простые правила и никакого волшебства»

Компании, которые понимают серьезность киберугроз, внедряют систему информационной безопасности (ИБ). Она должна отвечать потребностям бизнеса и быть эффективной.

Фото 2: «Защита информации в компании: простые правила и никакого волшебства»

Система ИБ защитит компанию лучше любого заклинания

Нормативная база

Стратегию информационной безопасности нужно разрабатывать с учетом:

Рисков, которые будут зависеть от степени конфиденциальности информации. Если компания — оператор персональных данных, в основу стратегии лягут рекомендации регуляторов.
Ожиданий от СИБ, программного обеспечения и оборудования.
Финансовых вложений в информационную систему.
Количества и квалификации сотрудников, которые будут реализовывать стратегию, экспертов и аутсорсинговых фирм.
Сроков.

Следующий этап — разработка организационных и распорядительных документов. Одни будут содержать принципы информационной безопасности, другие предусмотрены требованиями ФЗ «О защите персональных данных» и рекомендациями ФСТЭК РФ. Организации следует разработать и принять такие документы:

Политика ИБ;
Концепция ИБ;
Положение о коммерческой тайне;
Прикладные методические материалы.

Политика информационной безопасности — основополагающий для компании документ, который описывает:

степень конфиденциальности и правила обращения с информацией;
условия допуска пользователей;
угрозы и риски информационной безопасности.

Из-за постоянного изменения уровня киберугроз политику информационной безопасности нужно регулярно пересматривать.

Концепция информационной безопасности позволит компании сохранить деловую репутацию и конфиденциальность данных. Чтобы ее разработать, нужно выбрать положения из Стратегии и Политики, которые касаются мер защиты информации.

Фото 3: «Защита информации в компании: простые правила и никакого волшебства»

Концепция должна быть безупречной

Положение о коммерческой тайне содержит порядок использования конфиденциальной информации. Передача данных преследуется по закону только в том случае, если в компании объявлен режим коммерческой тайны и разработано соответствующее Положение.

В Положении нужно указать:

порядок, в соответствии с которым данные можно считать коммерческой тайной;
порядок обращения с документацией, которая содержит коммерческую тайну;
ответственных за соблюдение режима коммерческой тайны;
ответственность за передачу конфиденциальных данных.

Положение должен изучить весь персонал. Также его нужно внести в трудовые договоры. Если произойдет утечка данных, виновные будут наказаны согласно гражданско-правовому порядку. В случае серьезного ущерба виновный понесет уголовную ответственность. Благодаря этим мерам конфиденциальная информация будет надежно защищена от рисков утраты или подмены.

Фото 4: «Защита информации в компании: простые правила и никакого волшебства»

Что будет с теми, кто способствует утечке информации

Практические решения

Документация, которая регламентирует поведение сотрудников и устанавливает ответственность, окажет серьезное влияние на работников. По статистике, 80% утечек информации происходит по вине персонала. Однако оставшиеся 20% — это внешние причины.

Слабые места в системе безопасности поможет выявить аудит. Одни компании организуют его самостоятельно, другие привлекают для этого профессионалов.

Полученная информация поможет разработать рекомендации по программным и техническим мерам защиты. На особенности аудита влияет архитектура сети, распределение базы данных, использование облачных хранилищ.

Фото 5: «Защита информации в компании: простые правила и никакого волшебства»

Аудит должен быть беспристрастным и объективным

Аудиторские проверки обязательны для нескольких параметров. Разберем их более подробно.

Политика доступа

Во время аудита необходимо дать оценку таким факторам:

возможность доступа к серверам;
ограничение прохода в помещения с рабочими станциями;
использование электронных пропусков;
качество ведения журнала посещений;
сроки хранения данных о посетителях;
эффективность системы видеонаблюдения.

После этого нужно провести анализ системы доступа — уточнить, кто отвечает за создание логинов и паролей. Затем необходимо оценить работу модели дифференцированного доступа и ее необходимость.

Если компания использует многофакторную аутентификацию, необходимо выяснить пути выдачи дополнительных идентификаторов и проверить парольную политику

Состояние сети

Во время аудита сначала нужно оценить:

место, где расположены серверы;
организацию доступа к серверам;
сегментацию сети;
как используются межсетевые экраны на границах секторов;
качество файрволов.

Фото 6: «Защита информации в компании: простые правила и никакого волшебства»

Не упускайте даже самых мелких деталей

Также нужно проверить работу модели удаленного доступа и тип защищенных каналов. Важно, чтобы был использован принцип установки проверенного сервиса VPN. Предоставлять права на удаленный доступ сотрудникам и внешним пользователям должен топ-менеджер.

Обработка инцидентов информационной безопасности

Что важно сделать в рамках аудита:

выявить критические инциденты информационной безопасности;
оценить модели уведомлений и реакции на них;
изменить реестр инцидентов и проанализировать результаты их устранения.

Инциденты нужно классифицировать в соответствии со степенью значимости для каждой информационной системы. Кроме того, необходимо оценить ведение реестров записи действий пользователей и возможности их уничтожения/изменения.

Фото 7: «Защита информации в компании: простые правила и никакого волшебства»

Постарайтесь объективно оценить все инциденты

Активы

Нужно создать перечень активов: элементов инфраструктуры, оборудования, важной информации, программных решений. Затем — проанализировать механизм доступа к каждому активу и возможность изменения прав доступа.

Регламенты защиты информации

В рамках аудита необходимо проверить:

возможность шифрования данных и типы средств, которые для этого необходимы;
сотрудников, которые имеют доступ к ключам шифрования;
соответствие алгоритма защиты персональных данных требованиям регулятора.

Результаты аудиторской проверки будут выданы в виде рекомендаций. Благодаря им руководство компании улучшит систему информационной безопасности, чтобы она соответствовала рискам и требованиям времени.

Фото 8: «Защита информации в компании: простые правила и никакого волшебства»

Оптимизация системы ИБ позволит компании работать безопасно и эффективно

Как только основополагающие документы будут приняты, можно приступать к внедрению. Выбор программных средств будет зависеть от рекомендаций ФСТЭК. Если риск внешних вторжений вызовет серьезные опасения, компании лучше внедрить DLP- и SIEM-системы.

Например, сервис ИНСАЙДЕР предотвратит любые утечки информации, а также поможет контролировать деятельность сотрудников. Вы узнаете, чем в рабочее время занимаются ваши подчиненные.

Все собранные данные программа сохраняет и передает на сервер. С сервисом ИНСАЙДЕР корпоративные данные в безопасности.

Вернуться обратно

Предлагаем еще прочесть

Вебинар: ИНСАЙДЕР - готовое решение для «1С-Битрикс», которое изменит ваш бизнес.

Как работает программа учета рабочего времени ИНСАЙДЕР

Встречайте ИНСАЙДЕР: готовое решение для «1С-Битрикс», которое изменит ваш бизнес