8 (800) 302-85-23

30.04.2021

Оценка защиты информации от утечек

Оценка защиты информации от утечек

Вебинар

06 августа | 10:00 МСК

Solar appScreener. Обучение для инженеров

Зарегистрироваться

Получить консультацию по Solar Dozor

Оценка защиты информации от утечки — составляющая комплекса работ по внедрению DLP и других систем, обеспечивающих защиту конфиденциальных данных. Но на этом все не заканчивается. Согласно п. 2.4 «Методики оценки угроз безопасности информации», которая утверждена 5.02.2021 г. Федеральной службой по техническому и экспортному контролю, оценку угроз (утечки как раз к ним относятся) следует проводить систематически. Рекомендуется делать это на этапе создания IT-инфраструктур и информационных систем, в ходе их эксплуатации, а также при проведении модернизации / развития.

3 этапа оценки качества защиты информации

Указанная выше методика рекомендует проводить оценку защищенности важных сведений угроз в 3 этапа:

  1. определение перечня последствий, которые могут иметь место при реализации угрозы информационной безопасности (далее — ИБ);

  2. выявление вероятных объектов, на которые может иметь место воздействие угроз ИБ;

  3. оценка возможности возникновения угроз (в нашем случае — утечек) и их реализации.

Этап 1. Определение перечня негативных последствий утечек

В случае утечек могут возникать следующие последствия:

  • финансовые и репутационные потери;

  • усиление контроля со стороны проверяющих органов;

  • изменение настроений в команде и нарушение рабочих процессов;

  • снижение показателей конкурентоспособности.

В качестве исходных данных при оценке уровня защиты от утечек в компании и определении негативных последствий также можно применять специализированные документы с описанием конкретных угроз, на которые стоит обратить внимание. В частности, в качестве источника можно рассматривать банк данных угроз безопасности информации ФСТЭК (доступ к нему осуществляется бесплатно), а также модели угроз ИБ, описанные в отраслевых и «общих» документах, например в Положении №1085 ФСТЭК от 16.08.2004 г.

Этап 2. Выявление объектов, на которые возможно воздействие угроз информационной безопасности

В качестве защищаемых от утечек информации объектов выступают:

  • средства вычислительной техники (рабочие станции на местах), информационно-вычислительные комплексы, сети;

  • программное обеспечение (общесистемное ПО, СУБД, прикладное ПО), в том числе и обеспечивающее информационную безопасность;

  • системы связи;

  • информационные ресурсы со сведениями, требующими защиты;

  • помещение и средства для работы с данными ограниченного доступа;

  • носители информации, содержащие защищаемую информацию, а также данные для аутентификации пользователей.

По результатам оценки защиты информации на этом этапе конкретизируются объекты, на которые возможно воздействие угроз информационной безопасности и описываются сами угрозы. Эту информации целесообразно помещать в таблицу, которая может иметь примерно следующий вид:

Негативные последствия утечек

Объекты воздействия

Виды воздействий

Утечка персональных данных

База данных с персональными данными сотрудников

Утечка через рабочую станцию администратора. 

Несанкционированный доступ пользователя, не имеющего допуска

Благодаря подобной таблице вы получите систематизируете сведения для оценки защиты информации и сможете сопоставить вероятные последствия, виды утечек с объектами, через которые они могут происходить.

Этап 3. Оценка возможности возникновения и реализации угроз утечек информации

Этот этап состоит из:

  • определения источников утечек. Определяются внешние и внутренние антропогенные источники (лица и группы лиц), которые могут реализовать угрозу ИБ путем несанкционированного доступа к данным или воздействия на информационные ресурсы. Источники рекомендуется классифицировать исходя из их возможностей по реализации угроз утечек данных. При этом следует рассматривать возможность возникновения намеренных, а также непреднамеренных утечек;

  • оценки способов реализации угроз ИБ. Это может быть несанкционированная передача третьим лицам информации по каналам связи, внедрение вредоносного ПО, использование недекларированных возможностей программного обеспечения, перехват информации, а также ошибки и неумышленные действия, которые могут привести к утечкам;

  • оценки актуальности различных видов угроз для конкретной информационной системы / компании. Актуальность оценивается по наличию сценариев реализации угрозы: при наличии хотя бы одного сценария, который можно реализовать в конкретной информационной системе, она считается актуальной.

Кто проводит оценку эффективности защиты информации

Для этой процедуры создается экспертная группа. В нее могут входить собственные специалисты, либо эксперты сторонних компаний, предлагающих такие услуги. К слову, при заказе внедрения Solar Dozor оценку защищенности информации в организации мы можем взять на себя.

Рекомендуется включать в состав экспертной группы представителей компании, отвечающих за:

  • обеспечение информационной безопасности;

  • эксплуатацию сетей связи;

  • цифровую трансформацию (при наличии);

  • эксплуатацию АСУ;

  • выполнение основных (критических) бизнес-процессов в компании.

Опыт показывает, что о качестве определения уровня защищенности важных данных от утечек можно говорить при наличии в группе не менее 3 экспертов, отвечающих за разные сферы. Для оценки параметров защиты рекомендуется использовать опросный метод с максимально четкими и однозначно трактуемыми вопросами. По результатам опроса оценивается уровень защищенности системы.

Видно, что процесс оценки защищенности информации от утечки довольно сложный и многогранный. Здесь не подойдет шаблонный подход. Если у вас возникает необходимость в этом, есть смысл подумать о привлечении экспертов со стороны. Например, представителей компании-разработчика DLP-систем, у которых уже есть опыт внедрения решений в разных компаниях и проведения необходимых для этого оценок.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.