Главное Авторские колонки Вакансии Образование
Выбор редакции:
Инсайдер Рф Инсайдер Рф 824 1 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Защита информации в компании: простые правила и никакого волшебства

Компании, которые понимают серьезность киберугроз, внедряют систему информационной безопасности (ИБ). Она должна отвечать потребностям бизнеса и быть эффективной. Сегодня поговорим о стратегии информационной безопасности
Мнение автора может не совпадать с мнением редакции

Нормативная база

Стратегию информационной безопасности нужно разрабатывать с учетом:

  • Рисков, которые будут зависеть от степени конфиденциальности информации. Если компания — оператор персональных данных, в основу стратегии лягут рекомендации регуляторов.

  • Ожиданий от СИБ, программного обеспечения и оборудования.

  • Финансовых вложений в информационную систему.

  • Количества и квалификации сотрудников, которые будут реализовывать стратегию, экспертов и аутсорсинговых фирм.

  • Сроков.


Система ИБ защитит компанию лучше любого заклинания

Следующий этап — разработка организационных и распорядительных документов. Одни будут содержать принципы информационной безопасности, другие предусмотрены требованиями ФЗ «О защите персональных данных» и рекомендациями ФСТЭК РФ. Организации следует разработать и принять такие документы:

  • Политика ИБ;

  • Концепция ИБ;

  • Положение о коммерческой тайне;

  • Прикладные методические материалы.

Политика информационной безопасности — основополагающий для компании документ, который описывает:

  • степень конфиденциальности и правила обращения с информацией;

  • условия допуска пользователей;

  • угрозы и риски информационной безопасности.

Из-за постоянного изменения уровня киберугроз политику информационной безопасности нужно регулярно пересматривать.

Концепция информационной безопасности позволит компании сохранить деловую репутацию и конфиденциальность данных. Чтобы ее разработать, нужно выбрать положения из Стратегии и Политики, которые касаются мер защиты информации.


Концепция должна быть безупречной

Положение о коммерческой тайне содержит порядок использования конфиденциальной информации. Передача данных преследуется по закону только в том случае, если в компании объявлен режим коммерческой тайны и разработано соответствующее Положение.

В Положении нужно указать:

  • порядок, в соответствии с которым данные можно считать коммерческой тайной;

  • порядок обращения с документацией, которая содержит коммерческую тайну;

  • ответственных за соблюдение режима коммерческой тайны;

  • ответственность за передачу конфиденциальных данных.

Положение должен изучить весь персонал. Также его нужно внести в трудовые договоры. Если произойдет утечка данных, виновные будут наказаны согласно гражданско-правовому порядку. В случае серьезного ущерба виновный понесет уголовную ответственность. Благодаря этим мерам конфиденциальная информация будет надежно защищена от рисков утраты или подмены.

Практические решения

Документация, которая регламентирует поведение сотрудников и устанавливает ответственность, окажет серьезное влияние на работников. По статистике, 80% утечек информации происходит по вине персонала. Однако оставшиеся 20% — это внешние причины.

Слабые места в системе безопасности поможет выявить аудит. Одни компании организуют его самостоятельно, другие привлекают для этого профессионалов.

Полученная информация поможет разработать рекомендации по программным и техническим мерам защиты. На особенности аудита влияет архитектура сети, распределение базы данных, использование облачных хранилищ.


Аудит должен быть беспристрастным и объективным

Аудиторские проверки обязательны для нескольких параметров. Разберем их более подробно.

Политика доступа

Во время аудита необходимо дать оценку таким факторам:

  • возможность доступа к серверам;

  • ограничение прохода в помещения с рабочими станциями;

  • использование электронных пропусков;

  • качество ведения журнала посещений;

  • сроки хранения данных о посетителях;

  • эффективность системы видеонаблюдения.

После этого нужно провести анализ системы доступа — уточнить, кто отвечает за создание логинов и паролей. Затем необходимо оценить работу модели дифференцированного доступа и ее необходимость.

Если компания использует многофакторную аутентификацию, необходимо выяснить пути выдачи дополнительных идентификаторов и проверить парольную политику

Состояние сети

Во время аудита сначала нужно оценить:

  • место, где расположены серверы;

  • организацию доступа к серверам;

  • сегментацию сети;

  • как используются межсетевые экраны на границах секторов;

  • качество файрволов.


Не упускайте даже самых мелких деталей

Также нужно проверить работу модели удаленного доступа и тип защищенных каналов. Важно, чтобы был использован принцип установки проверенного сервиса VPN. Предоставлять права на удаленный доступ сотрудникам и внешним пользователям должен топ-менеджер.

Обработка инцидентов информационной безопасности

Что важно сделать в рамках аудита:

  • выявить критические инциденты информационной безопасности;

  • оценить модели уведомлений и реакции на них;

  • изменить реестр инцидентов и проанализировать результаты их устранения.

Инциденты нужно классифицировать в соответствии со степенью значимости для каждой информационной системы. Кроме того, необходимо оценить ведение реестров записи действий пользователей и возможности их уничтожения/изменения.

Активы

Нужно создать перечень активов: элементов инфраструктуры, оборудования, важной информации, программных решений. Затем — проанализировать механизм доступа к каждому активу и возможность изменения прав доступа.

Регламенты защиты информации

В рамках аудита необходимо проверить:

  • возможность шифрования данных и типы средств, которые для этого необходимы;

  • сотрудников, которые имеют доступ к ключам шифрования;

  • соответствие алгоритма защиты персональных данных требованиям регулятора.

Результаты аудиторской проверки будут выданы в виде рекомендаций. Благодаря им руководство компании улучшит систему информационной безопасности, чтобы она соответствовала рискам и требованиям времени.


Оптимизация системы ИБ позволит компании работать безопасно и эффективно

Как только основополагающие документы будут приняты, можно приступать к внедрению. Выбор программных средств будет зависеть от рекомендаций ФСТЭК. Если риск внешних вторжений вызовет серьезные опасения, компании лучше внедрить DLP- и SIEM-системы.

Например, система мониторинга работы персонала и контроля рабочих мест предотвратит любые утечки информации, а также поможет контролировать деятельность сотрудников. Вы узнаете, чем в рабочее время занимаются ваши подчиненные.

Все собранные данные программа сохраняет и передает на сервер. С таким ПО корпоративные данные в безопасности.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Stasya Korolenko
4 авг 2021
Да, такое явление все чаще повторяется и распространяется. Это значит что для вашего региона нет доступа. Вы попробуйте скачать https://altvpn.com/ru/, посмотрите разницу. Программа позволяет получить доступ к нужной информации, и защищает ваш пк от прослежки ботами и админами. Есть тестовый период, потому проверить в действии данную прогу легко.
Ответить
0
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать
О проекте Проекты Реклама Связаться с редакцией
Редакция team@spark.ruТехническая поддержка help@spark.ruПродвижение adv@spark.ruТелефон +7 495 137-07-07
ИП Барабанова Ю.Б. ИНН 500111143150
Правила пользования сайтом Политика обработки персональных данных Правила рекомендательных технологий

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.