Услуги в области информационной безопасности что это
Как должна обеспечиваться поддержка средств ИБ
К корпоративным средствам информационной безопасности одновременно предъявляются и жесткие требования заказчиков, стремящихся обеспечить высокую надежность работы своей критической инфраструктуры, и целый ряд ограничений регламентирующих органов. При этом, как свидетельствуют результаты исследования TAdviser, беспрецедентный по своему масштабу переход на удаленный режим работы и активное развитие онлайн направлений бизнеса еще более обострили проблемы с обеспечением информационной безопасности у большинства компаний. Неслучайно поэтому поддержка ИБ-продуктов становится все более актуальной и сложной задачей, нежели поддержка обычных корпоративных систем.
Содержание
Почему поддержкой ИБ-продуктов занимаются специализированные центры
Сегодня практически невозможно представить себе сложные информационные системы, поддержка которых выполнялась бы исключительно внутренними ресурсами. Содержать высококвалифицированных специалистов под широкий спектр задач дорого и неэффективно. Поэтому большая часть системного и прикладного ПО в крупных организациях поддерживается силами сторонних исполнителей – сервисных центров, которые обладают достаточным для этого штатом специалистов и необходимыми компетенциями.
Отдельной категорией выступают здесь сервисные центры по информационной безопасности. Ведь, как показывает практика, с обновлением, например, бухгалтерской системы, может справиться большое количество ИТ-специалистов из огромного числа компаний, которым не нужно для этого каких-либо специальных разрешений и допусков. В то же время обслуживание систем информационной безопасности требует от сервисного центра не только специфических знаний и опыта, но и наличия лицензий, а также определенных моделей обслуживания заказчиков.
Кроме того, обеспечение работоспособности средств информационной безопасности обычно имеет критическую важность, и, чем крупнее организация, тем больший ущерб ей может быть нанесён в случае сбоя межсетевого экрана, антифрод-системы или DLP-решения.
В чем особенности работы центров поддержки информационной безопасности
Более жёсткие сроки реагирования на инциденты, затрагивающие работоспособность систем
Как уже упоминалось выше, большинство систем информационной безопасности относятся к объектам критически важной инфраструктуры, что обуславливает повышенные требования к выполнению SLA при отработке инцидентов. Во многих случаях время реакции на инцидент должно исчисляться не часами, а минутами. Например, в случае выхода из строя антифрод-системы финансового учреждения могут быть пропущены мошеннические транзакции, которые приведут не к абстрактным потерям из-за простоя, а к реальным убыткам, выраженным в исках пострадавших. Чем крупнее организация, чем шире ее филиальная сеть, тем выше вероятность того, что мошеннические операции пройдут через системы банка буквально в первые минуты после отказа защитных средств.
Как отмечает директор сервисного центра «Информзащита» Вадим Ритерман, согласно внутренним регламентам компании время реакции на обращения любого приоритета составляет не более 15 минут. Это время закреплено как KPI первой линии поддержки и соблюдается для 99,6 % всех поступающих обращений. Инженер второй линии поддержки гарантированно должен принять в работу обращение любого приоритета в течение 30 минут после регистрации и этот KPI выдерживается для 99,8 % обращений. У ряда крупных заказчиков финансового сектора «практическое» реагирование на сбой системы ИБ (не просто регистрация сбоя, а конкретные действия) должно начинаться в течение 60 секунд. Причем карта этого реагирования в первую очередь включает мгновенный переход на резервные кластеры системы, и лишь затем — изучение причин сбоя, диагностику и последующее восстановление.
Особый подход к кадровой деятельности и управлению компетенциями
Компетенции, состав и число специалистов, доступных в каждый момент времени, имеют решающее значение для работы специализированного сервисного центра и определяют его способность достигать жестких SLA-показателей. Чтобы гарантировать надлежащую скорость реакции на инцидент, для поддержки каждого продукта должен быть подготовлен не один специалист, а как минимум «полтора», с запасом. Для оперативной реакции на инциденты применяется перекрывающий график работы специалистов с резервированием. Это значит, что между рабочими сменами сотрудников нет «мёртвой зоны», а на случай форс-мажора всегда присутствуют резервные инженеры.
Не менее важную роль играет система развития, обучения и замены персонала, что позволяет гарантированно выполнять все обязательства по заключённым договорам и проектам.
| Специализированный сервисный центр «Информзащита» |
Крупнейшим в нашей стране сервисным центром, оказывающим услуги поддержки ИБ-продуктов, является профильный центр «Информзащита».
Специалисты центра работают с более чем 100 продуктами. При этом порядка 50 наиболее востребованных направлений находятся в активном портфеле компании — компетенциями по их сопровождению обладает значительное количество инженеров. Центр является сервисным партнёром для 40 вендоров – зарубежных и отечественных разработчиков средств информационной безопасности. В рамках соглашений Центр оказывает поддержку, уровень которой аналогичен уровню поддержки вендора. СЦ «Информзащита» — первая и на данный момент единственная российская компания, которая имеет статус IBM Primary Support Provider и может обеспечивать услуги первой и второй линии поддержки для SIEM-системы IBM QRadar. (Другие продукты IBM тоже в компетенции сервисного центра, такие как IBS и Garland).
Компания обладает собственной лабораторией, в которой представлено более 150 стендов и свыше 250 тестовых зон для моделирования инцидентов.
Среди заказчиков СЦ «Информзащита» более 500 организаций, с которыми заключено более 700 контрактов на обслуживание систем обеспечения ИБ. В их числе — банки, государственные учреждения, компании с широкой филиальной сетью.
По словам Вадима Ритермана, возможность заранее увидеть и устранить «узкие места» при исполнении договоров, связанные с болезнями, уходом в отпуск или увольнением отдельных специалистов, является серьезной управленческой задачей любого сервисного центра. Для решения этой задачи в Сервисном центре «Информзащита» была проведена большая работа по созданию автоматизированной матрицы компетенций, которая обеспечивает соответствие между инженерными ресурсами центра и всеми договорными обязательствами перед заказчиками.
Способность поддерживать целый ряд продуктов разных вендоров
Практически ни одна современная система информационной безопасности не может быть построена на продуктах одного производителя. В случае, если заказчик привлекает вендора к сервисному обслуживанию, договоры сопровождения по каждому из этих продуктов должны заключаться с разными организациями и с разными условиями предоставления услуг, что потенциально может привести к проблемам взаимодействия в критических ситуациях. Такую ситуацию можно исключить, если сервисный партнёр способен поддерживать несколько решений, сертифицирован вендорами и обеспечивает единый уровень качества предоставляемых услуг, как минимум не ниже уровня производителя.
Для выполнения ряда операций требуются лицензии контролирующих органов и сертификация специалистов.
Часть работ в принципе не может быть выполнена удалённо и требует выезда команды специалистов на место
В сфере информационной безопасности существует целый ряд услуг, которые нельзя выполнить удалённо или силами сотрудников заказчика. К таким услугам относятся обслуживание средств защиты информации в государственных организациях, например, операции с ключами шифрования, либо обслуживание закрытых сегментов инфраструктуры.
В крупных сервисных центрах, таких как «Информзащита», активно работающих с федеральными государственными структурами или коммерческими организациями с широкой региональной сетью, существуют целые подразделения, сотрудники которых регулярно выезжают к заказчикам для проведения обслуживания на местах. В общей сложности более 70% своего рабочего времени инженеры таких подразделений находятся в командировках.
Сценарии взаимодействия сервисных центров по информационной безопасности с заказчиками
В подавляющем большинстве случаев обслуживание заказчиков строится по трем основным схемам.
Техническая поддержка. Базовый уровень, в рамках которого сервисный центр отвечает за поддержку работоспособности систем информационной безопасности, проводит диагностику неисправностей, оказывает консультационные услуги, а также выполняет профилактическое выездное обслуживание
Техническое сопровождение. На этом уровне сервисы технической поддержки дополняются регламентными работами и установкой обновлений, в том числе и с выездом инженера к заказчику.
Аутсорсинг. В этой модели на сервисный центр ложится полная ответственность за эксплуатацию ИБ-решений и средств защиты информации. Помимо технического сопровождения специалисты аутсорсинговой компании организуют локальные службы информационной безопасности, занимаются развитием и модернизацией аппаратной и программной частей, необходимых для эффективной защиты системы. В зависимости от стоящих перед заказчиком задач, может быть сформирована выделенная оперативная группа, которая будет на месте решать все возникающие проблемы и формировать отчёты.
Какую модель поддержки ИБ лучше выбрать
Выбор той или иной схемы взаимодействия во многом обусловлен тем, какими кадровыми и техническими ресурсами обладает заказчик, способен и заинтересован ли он самостоятельно развивать и поддерживать ИБ-системы.
Если организация готова инвестировать в квалифицированные кадры, нанимать компетентных сотрудников или активно обучать имеющийся персонал, оптимальной схемой для работы с внешним исполнителем станет техподдержка. В этом случае сервисный центр будет выступать в качестве «страховки» и «спасательного круга» в нештатных ситуациях.
Если высококвалифицированные сотрудники заказчика способны самостоятельно решать сложные проблемы обслуживания, но не имеют достаточного количества времени для выполнения рутинных операций, то разумно остановиться на техническом сопровождении. В этом случае специалисты Сервисного центра возьмут на себя выполнение таких регулярных операций, как мониторинг и установка обновлений, ведение обязательных регламентных журналов и другие функции.
В случае же если заказчик не планирует развитие кадровых ресурсов и готов доверить вопросы информационной безопасности специалистам сервисного центра, выбирается работа на условиях аутсорсинга. Работа с внешним подрядчиком в аутсорсинговой модели не только более проста и удобна, но ещё и экономически целесообразна. Совокупные расходы на содержание собственного штата высококвалифицированных специалистов, поддержка и развитие их компетенций, организация работы и управление подразделением почти всегда превышают стоимость контракта с сервисным центром. При этом затраты на такое сотрудничество, в отличие от расходов на оплату труда, не увеличат налоговую нагрузку компании.
Кибербезопасность
В Softline работает одна из самых компетентных в России команд по кибербезопасности. Наш портфель включает широкий спектр решений, отвечающий всем требованиям рынка.
Ключевые сервисы – реагирование на инциденты информационной безопасности, предотвращение утечек данных, защита от угроз нулевого дня, поддержка IT-инфраструктуры. Компания успешно внедряет и сопровождает системы защиты информации в различных отраслях: финансы, промышленность, государственный сектор, медицина и др. Является членом международной федерации FIRST, а собственный центр мониторинга и реагирования на инциденты информационной безопасности (Infosecurity CERT) лицензирован университетом Карнеги-Меллон. Компания развивает и другие свои решения по информационной безопасности. В их число входят системы фрод-мониторинга и выявления угроз для бизнеса (ETHIC).
Удаленная работа
Softline обеспечивает защиту личных и корпоративных устройств во время удаленной работы.
Managed Security Services (MSS) – безопасность как сервис
Managed Security Services (MSS) – услуги по аутсорсингу информационной безопасности по модели Security as a Service (SecaaS).
Защита инфраструктуры
В Softline сформирована одна из самых мощных в России команд по информационной безопасности.
Защита приложений
Предлагаем лучшие решения для обеспечения защиты веб и почты, виртуализации, конечных точек, мобильных средств и СУБД.
Консалтинг и соответствие требованиям ИБ
Softline осуществляет полный цикл работ по консалтингу ИБ.
Защита данных
Мы внедряем все инструменты, решающие задачи защиты информации от утечек и несанкционированного доступа.
Выявление угроз для бизнеса (ETHIC)
ETHIC: External Threats & Human Intelligence Center. Сервис ETHIC позволяет на ранних стадиях выявлять потенциально опасные действия и события, что позволяет своевременно реагировать на угрозы, не допуская наступления негативных последствий.
Softline имеет многолетний опыт работы в области построения и обслуживания Центров мониторинга и реагирования на инциденты (Security Operation Center) на российском и международном рынках.
Другие сервисы ИБ
Мы предлагаем широкий спектр услуг и сервисов по информационной безопасности
Реализованные проекты по направлению Кибербезопасность
Нам доверяют наши заказчики и партнеры
Softline внедрила комплексную систему защиты от целевых атак на базе инновационных решений «Лаборатории Касперского» в коммерческом банке «СТРОЙЛЕСБАНК» (ООО).
«Руководство «СТРОЙЛЕСБАНК» высоко оценило компетенции команды Softline. Специалисты компании взяли на себя полное сопровождение проекта: помогли в выборе решений и организовали полнофункциональное пилотное тестирование с учетом наших пожеланий, качественно и в срок провели работы по внедрению KEDR и KATA в инфраструктуру банка. Предложенные продукты обладают удобным и интуитивно понятным графическим интерфейсом. С их помощью мы автоматизировали рутинные процедуры по предотвращению и расследованию инцидентов ИБ: загрузку индикаторов компрометации, поиск скомпрометированных узлов, создание собственных правил реагирования, отчетов и многое другое. А сервис Kaspersky Management Protection позволяет использовать в расследовании инцидентов компетенции специалистов «Лаборатории Касперского», не привлекая в штат специалистов по компьютерной криминалистике», –
Благодаря внедрению инфраструктуры открытых ключей мы исключили возможность перехвата служебной информации инсайдерами, передаваемые внутри компании данные зашифрованы. Совместная работа со специалистами Softline в этом проекте, полученные инструкции администраторов и рекомендации позволяют нам самостоятельно управлять системой и развивать ее.
Выступив в проекте как внешний аудитор, у которого накоплен опыт в сфере обеспечения информационной безопасности, Softline провела обследование систем автоматики и разработала для нас необходимые документы по информационной безопасности АСУ ТП для исполнения требований приказа ФСТЭК №31. Все работы были выполнены качественно и в установленные сроки.
С помощью Softline модернизация нашей системы информационной безопасности была выполнена с соблюдением всех условий государственного контракта и в установленные сроки. Эксперты провайдера смогли подобрать надежные и эффективные средства защиты информации, полностью отвечающие строгим требованиям регуляторов и соответствующие Федеральному закону №152-ФЗ. Теперь наша инфраструктура полностью готова к реализации регионального проекта, направленного на выстраивание взаимодействия медицинских организаций на основе единой государственной информационной системы в сфере здравоохранения. Безусловно, все это послужит еще одним стимулом для ускорения цифровой трансформации отрасли и создания необходимых условий для использования гражданами электронных услуг и сервисов в сфере здравоохранения в нашем регионе.
Далеко не все крупные предприятия сосредоточены в Москве и Санкт-Петербурге. К примеру, основные производственные мощности компании «МАКФА» находятся в Челябинске. В столице у нас – лишь небольшое представительство, решающее локальные задачи. Исходя из этого, нам очень удобно работать с Softline, региональная сеть которой охватывает всю территорию страны. Мы видим, что объем регионального бизнеса Softline ежегодно увеличивается. Компания оперативно реагирует на наши запросы и планомерно предлагает пути развития сотрудничества. Softline, как глобальный провайдер ИТ-решений и сервисов, всегда предлагает нам реально работающие инструменты для решения бизнес-задач. Скажем, мы пользуемся платформой по выставлению счетов, созданной Softline. Именно Softline помогла нам перейти на использование сервисов, предоставляемых в рамках модели подписки. Мы увидели экономическую эффективность этой модели вкупе с широкими техническими возможностями, которые она открывает.
Особо хочу отметить высокий уровень профессионализма менеджеров и технических специалистов Softline. На все интересующие нас вопросы мы оперативно получаем грамотные и лаконичные ответы. Если по каким-либо причинам эксперты компании не могут обработать наш запрос, они обязательно предлагают разные варианты решения задачи.
Ежедневно предприятие обрабатывает большой объем персональных данных абонентов. Разработанная и внедренная специалистами Softline система защиты информации помогла нам обеспечить надлежащий уровень их безопасности и исключить вероятность несанкционированного доступа к данным.
Компания Softline реализовала проект по обеспечению безопасности интеллектуальной системы учета электроэнергии.
«Компания Softline прекрасно справилась с поставленной задачей. В настоящий момент интеллектуальная система учета ТЭК находится под защитой и соответствует всем требованиям законодательства РФ», –
Федеральное законодательство предъявляет повышенные требования к средствам информационной безопасности в органах власти. Специалисты Softline модернизировали нашу систему защиты с соблюдением всех условий государственного контракта и в установленные им сроки. Мы уже успели убедиться в компетентности инженеров Softline, которые в течение года будут проводить техническое обслуживание системы, а в случае необходимости – и ее ремонт. При возникновении непредвиденной ситуации они действуют четко, слаженно, грамотно.
Мы постоянно ищем возможности для предоставления инновационных и при этом надежных услуг нашим клиентам. Поэтому для нас очень важно, чтобы каждый аспект нашей деятельности был защищен комплексными решениями по информационной безопасности. При поддержке Softline мы получили четкое описание услуг, включенных в наши лицензии, и наилучший способ их использования, и теперь наша ИТ-среда современная и безопасная.
Основы ИБ
Защита данных
с помощью DLP-системы
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного исследования «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Система ИБ
Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
Средства защиты информации
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз «СёрчИнформ ProfileCenter». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.