Защита информации в компании: простые правила и никакого волшебства




Компании, которые понимают серьезность киберугроз, внедряют систему информационной безопасности (ИБ). Она должна отвечать потребностям бизнеса и быть эффективной.

[spoiler]


Система ИБ защитит компанию лучше любого заклинания

Нормативная база

Стратегию информационной безопасности нужно разрабатывать с учетом:
  • Рисков, которые будут зависеть от степени конфиденциальности информации. Если компания — оператор персональных данных, в основу стратегии лягут рекомендации регуляторов.
  • Ожиданий от СИБ, программного обеспечения и оборудования.
  • Финансовых вложений в информационную систему.
  • Количества и квалификации сотрудников, которые будут реализовывать стратегию, экспертов и аутсорсинговых фирм.
  • Сроков.
Следующий этап — разработка организационных и распорядительных документов. Одни будут содержать принципы информационной безопасности, другие предусмотрены требованиями ФЗ «О защите персональных данных» и рекомендациями ФСТЭК РФ. Организации следует разработать и принять такие документы:
  1. Политика ИБ;
  2. Концепция ИБ;
  3. Положение о коммерческой тайне;
  4. Прикладные методические материалы.
Политика информационной безопасности — основополагающий для компании документ, который описывает:
  • степень конфиденциальности и правила обращения с информацией;
  • условия допуска пользователей;
  • угрозы и риски информационной безопасности.
Из-за постоянного изменения уровня киберугроз политику информационной безопасности нужно регулярно пересматривать.

Концепция информационной безопасности позволит компании сохранить деловую репутацию и конфиденциальность данных. Чтобы ее разработать, нужно выбрать положения из Стратегии и Политики, которые касаются мер защиты информации.


Концепция должна быть безупречной

Положение о коммерческой тайне содержит порядок использования конфиденциальной информации. Передача данных преследуется по закону только в том случае, если в компании объявлен режим коммерческой тайны и разработано соответствующее Положение.

В Положении нужно указать:
  • порядок, в соответствии с которым данные можно считать коммерческой тайной;
  • порядок обращения с документацией, которая содержит коммерческую тайну;
  • ответственных за соблюдение режима коммерческой тайны;
  • ответственность за передачу конфиденциальных данных.
Положение должен изучить весь персонал. Также его нужно внести в трудовые договоры. Если произойдет утечка данных, виновные будут наказаны согласно гражданско-правовому порядку. В случае серьезного ущерба виновный понесет уголовную ответственность. Благодаря этим мерам конфиденциальная информация будет надежно защищена от рисков утраты или подмены.


Что будет с теми, кто способствует утечке информации

Практические решения

Документация, которая регламентирует поведение сотрудников и устанавливает ответственность, окажет серьезное влияние на работников. По статистике, 80% утечек информации происходит по вине персонала. Однако оставшиеся 20% — это внешние причины.

Слабые места в системе безопасности поможет выявить аудит. Одни компании организуют его самостоятельно, другие привлекают для этого профессионалов.

Полученная информация поможет разработать рекомендации по программным и техническим мерам защиты. На особенности аудита влияет архитектура сети, распределение базы данных, использование облачных хранилищ.


Аудит должен быть беспристрастным и объективным

Аудиторские проверки обязательны для нескольких параметров. Разберем их более подробно.

Политика доступа

Во время аудита необходимо дать оценку таким факторам:

  • возможность доступа к серверам;
  • ограничение прохода в помещения с рабочими станциями;
  • использование электронных пропусков;
  • качество ведения журнала посещений;
  • сроки хранения данных о посетителях;
  • эффективность системы видеонаблюдения.
После этого нужно провести анализ системы доступа — уточнить, кто отвечает за создание логинов и паролей. Затем необходимо оценить работу модели дифференцированного доступа и ее необходимость.

Если компания использует многофакторную аутентификацию, необходимо выяснить пути выдачи дополнительных идентификаторов и проверить парольную политику

Состояние сети

Во время аудита сначала нужно оценить:
  • место, где расположены серверы;
  • организацию доступа к серверам;
  • сегментацию сети;
  • как используются межсетевые экраны на границах секторов;
  • качество файрволов.

Не упускайте даже самых мелких деталей

Также нужно проверить работу модели удаленного доступа и тип защищенных каналов. Важно, чтобы был использован принцип установки проверенного сервиса VPN. Предоставлять права на удаленный доступ сотрудникам и внешним пользователям должен топ-менеджер.

Обработка инцидентов информационной безопасности

Что важно сделать в рамках аудита:

  • выявить критические инциденты информационной безопасности;
  • оценить модели уведомлений и реакции на них;
  • изменить реестр инцидентов и проанализировать результаты их устранения.
Инциденты нужно классифицировать в соответствии со степенью значимости для каждой информационной системы. Кроме того, необходимо оценить ведение реестров записи действий пользователей и возможности их уничтожения/изменения.


Постарайтесь объективно оценить все инциденты

Активы

Нужно создать перечень активов: элементов инфраструктуры, оборудования, важной информации, программных решений. Затем — проанализировать механизм доступа к каждому активу и возможность изменения прав доступа.

Регламенты защиты информации

В рамках аудита необходимо проверить:
  • возможность шифрования данных и типы средств, которые для этого необходимы;
  • сотрудников, которые имеют доступ к ключам шифрования;
  • соответствие алгоритма защиты персональных данных требованиям регулятора.
Результаты аудиторской проверки будут выданы в виде рекомендаций. Благодаря им руководство компании улучшит систему информационной безопасности, чтобы она соответствовала рискам и требованиям времени.


Оптимизация системы ИБ позволит компании работать безопасно и эффективно

Как только основополагающие документы будут приняты, можно приступать к внедрению. Выбор программных средств будет зависеть от рекомендаций ФСТЭК. Если риск внешних вторжений вызовет серьезные опасения, компании лучше внедрить DLP- и SIEM-системы.

Например, сервис ИНСАЙДЕР предотвратит любые утечки информации, а также поможет контролировать деятельность сотрудников. Вы узнаете, чем в рабочее время занимаются ваши подчиненные.



Все собранные данные программа сохраняет и передает на сервер. С сервисом ИНСАЙДЕР корпоративные данные в безопасности.


   


Следите за нами в блоге и соцсетях, чтобы не пропустить последние новости.