Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеОбеспечить информационную безопасность (далее — ИБ) по всем фронтам некоторым компаниям бывает сложно. Проблемы, как правило, возникают из-за ограниченности бюджета на ИБ (покупка специализированных решений может быть просто нецелесообразной), либо из-за нехватки квалифицированных кадров в области защиты информации и информационной безопасности (держать в штате высокооплачиваемых специалистов для некоторых — непозволительная роскошь). Выход в таком случае — заказ услуг по защите конфиденциальной информации и обеспечению ИБ у сторонних подрядчиков.
Давайте рассмотрим, какие услуги по технической защите конфиденциальной информации предлагают современные компании, какие процессы им можно доверить, а с чем придется справляться своими силами.
На аутсорсинг можно отдать практически любые процессы, связанные с обеспечением информационной безопасности. Такие услуги могут быть единовременными или оказывающимися на постоянной основе.
Единовременные услуги по защите информации
1. Разработка нормативных документов по ИБ и защите информации.
2. Аудит информационной безопасности и ИТ-инфраструктуры.
3. Расследование инцидентов и киберпреступлений (форезника).
4. Внедрение решений для защиты конфиденциальных данных.
Разработка нормативных документов по информационной безопасности и защите информации
Можно попытаться сделать документацию самостоятельно. Но на это потребуется немало времени и сил (особенно, если у штатных специалистов нет аналогичного опыта). Дело в том, что законодательство по защите информации не содержит конкретного перечня документов, которые должны разрабатываться. Но в то же время 152-ФЗ, приказ ФСТЭК №17, стандарты ISO 2700х и другие руководящие документы указывают, что какие-то документы в компании быть должны.
Вот несколько примеров:
· В статье 19 152-ФЗ в качестве одного из пунктов, которым обеспечивается безопасность персональных данных, фигурирует «…учетом машинных носителей персональных данных…». Очевидно, что для этого нужен какой-то журнал или книга учета.
· Пункт 9 приказа ФСТЭК №17 обязует компании, работающие с персональными данными, иметь администратора безопасности. Чтобы его назначить, требуется приказ и должностная инструкция.
· Статья 18.1 «Закона о персональных данных», указывает, что для пользователей, работающих с персональными данными и другой конфиденциальной информацией, нужны инструкции.
И таких пунктов с косвенными упоминаниями документов в различных нормативных актах немало. Чтобы правильно и в полном объеме подготовить необходимый набор документов, нужно знать массу нюансов. Конечно же, необходимо учитывать специфику работы компании и особенности области, в которой она работает.
Поэтому для многих быстрее и дешевле будет воспользоваться такой услугой от компании, имеющей опыт в данной сфере, чем пытаться составить документы своими силами.
Аудит ИБ, IT-инфраструктуры и мер по защите конфиденциальной информации
Аудит — популярная услуга по защите конфиденциальной информации. Он проводится с целью получения количественных и качественных оценок, позволяющих судить о состоянии информационной безопасности в компании и ее соответствии определённым критерием.
Эта услуга по защите важной информации может заказываться в следующих целях:
· Приемка ИТ-инфраструктуры или ее отдельных компонентов от заказчика, чтобы оценить соответствие ТЗ.
· Оценка соответствия инфраструктуры и ИБ в компании требованиям нормативных актов в области защиты персональных данных и другой информации (152-ФЗ, GDPR, документы ФСТЭК и пр.).
· Поиск и локализация возможных каналов и мест утечки информации.
· Подготовка к прохождению сертификации, проверкам заинтересованных ведомств и другим событиям.
· Масштабирование информационных систем компании. Аудит поможет снизить риск потенциального ущерба.
По результатам оказания этой услуги по защите конфиденциальной информации клиент получает рекомендации по устранению выявленных проблем. Зачастую у аудитора сразу можно заказать и услуги по выполнению этих рекомендаций.
Расследование инцидентов в области информационной безопасности
Это услуга по защите информации, которая позволит получить полную картину по причинах утечки данных и других инцидентах, а также принять меры к пресечению подобных ситуаций в дальнейшем. В ходе расследования проводится анализ оповещения антивирусов, межсетевых экранов, IDS, DLP и иных решений. Специалисты опрашивают сотрудников компании. Часто вместе с этой услугой проводится и аудит IT-инфраструктуры на предмет качества и полноты мероприятий по защите уязвимой информации.
Внедрение решений для защиты информации
Услуга, как правило, оказывается в комплексе. Подрядчик проводит аудит IT-инфраструктуры и ИБ, выбирает по его результатам подходящие решения, разрабатывает пакет документов и вводит все в эксплуатацию. Что и как внедрять, зависит от специфики компании, характера данных с которыми она работает, и ряда других факторов.
Услуги по защите информации, оказываемые на постоянной основе
На постоянный аутсорсинг можно отдавать практически любые мероприятия по обеспечению защиты конфиденциальной информации. Компании, оказывающие услуги в этой сфере, берут на себя управление и мониторинг таких составляющих систем ИБ, как:
· Антивирусы и межсетевые экраны.
· Системы обнаружения (IPS) и предотвращения (IDS) вторжений, предотвращения утечек (DLP-системы).
· Виртуальные частные сети (VPN).
· Инфраструктуры открытых ключей (PKI).
· SIEM (системы сбора и обработки информации об инцидентах).
2 важных фактора, которые нужно учесть при заказе услуг по защите информации
Чтобы получить качественные услуги и уверенность в том, что ваши данные хорошо защищены, обратите внимание на 2 фактора, без которых о качестве говорить нельзя:
1. Оценка оказываемых услуг должна производиться по измеримым метрикам. Никаких расплывчатых понятий и определений. Пример такой метрики — время реакции на инцидент. Лучший вариант, когда к договору прилагается SLA.
2. На поставщика услуг ни в коем случае не должны перекладываться функции принятия рисков. Заказчик сам принимает решения по закрытию спорных вопросов и нейтрализации угроз, с учетом рекомендаций аутсорсера.
Таким образом, защитить важную информацию можно и без многочисленного штата специалистов по ИБ. Главное – найти надежную аутсорсинговую компанию, объем и стоимость услуг которой соответствуют вашим целям.
