Оценка защиты информации от утечки — составляющая комплекса работ по внедрению DLP и других систем, обеспечивающих защиту конфиденциальных данных. Но на этом все не заканчивается. Согласно п. 2.4 «Методики оценки угроз безопасности информации», которая утверждена 5.02.2021 г. Федеральной службой по техническому и экспортному контролю, оценку угроз (утечки как раз к ним относятся) следует проводить систематически. Рекомендуется делать это на этапе создания IT-инфраструктур и информационных систем, в ходе их эксплуатации, а также при проведении модернизации / развития.

3 этапа оценки качества защиты информации

Указанная выше методика рекомендует проводить оценку защищенности важных сведений угроз в 3 этапа:

  1. определение перечня последствий, которые могут иметь место при реализации угрозы информационной безопасности (далее — ИБ);

  2. выявление вероятных объектов, на которые может иметь место воздействие угроз ИБ;

  3. оценка возможности возникновения угроз (в нашем случае — утечек) и их реализации.

Этап 1. Определение перечня негативных последствий утечек

В случае утечек могут возникать следующие последствия:

  • финансовые и репутационные потери;

  • усиление контроля со стороны проверяющих органов;

  • изменение настроений в команде и нарушение рабочих процессов;

  • снижение показателей конкурентоспособности.

В качестве исходных данных при оценке уровня защиты от утечек в компании и определении негативных последствий также можно применять специализированные документы с описанием конкретных угроз, на которые стоит обратить внимание. В частности, в качестве источника можно рассматривать банк данных угроз безопасности информации ФСТЭК (доступ к нему осуществляется бесплатно), а также модели угроз ИБ, описанные в отраслевых и «общих» документах, например в Положении №1085 ФСТЭК от 16.08.2004 г.

Этап 2. Выявление объектов, на которые возможно воздействие угроз информационной безопасности

В качестве защищаемых от утечек информации объектов выступают:

  • средства вычислительной техники (рабочие станции на местах), информационно-вычислительные комплексы, сети;

  • программное обеспечение (общесистемное ПО, СУБД, прикладное ПО), в том числе и обеспечивающее информационную безопасность;

  • системы связи;

  • информационные ресурсы со сведениями, требующими защиты;

  • помещение и средства для работы с данными ограниченного доступа;

  • носители информации, содержащие защищаемую информацию, а также данные для аутентификации пользователей.

По результатам оценки защиты информации на этом этапе конкретизируются объекты, на которые возможно воздействие угроз информационной безопасности и описываются сами угрозы. Эту информации целесообразно помещать в таблицу, которая может иметь примерно следующий вид:

Негативные последствия утечек

Объекты воздействия

Виды воздействий

Утечка персональных данных

База данных с персональными данными сотрудников

Утечка через рабочую станцию администратора. 

Несанкционированный доступ пользователя, не имеющего допуска

Благодаря подобной таблице вы получите систематизируете сведения для оценки защиты информации и сможете сопоставить вероятные последствия, виды утечек с объектами, через которые они могут происходить.

Этап 3. Оценка возможности возникновения и реализации угроз утечек информации

Этот этап состоит из:

  • определения источников утечек. Определяются внешние и внутренние антропогенные источники (лица и группы лиц), которые могут реализовать угрозу ИБ путем несанкционированного доступа к данным или воздействия на информационные ресурсы. Источники рекомендуется классифицировать исходя из их возможностей по реализации угроз утечек данных. При этом следует рассматривать возможность возникновения намеренных, а также непреднамеренных утечек;

  • оценки способов реализации угроз ИБ. Это может быть несанкционированная передача третьим лицам информации по каналам связи, внедрение вредоносного ПО, использование недекларированных возможностей программного обеспечения, перехват информации, а также ошибки и неумышленные действия, которые могут привести к утечкам;

  • оценки актуальности различных видов угроз для конкретной информационной системы / компании. Актуальность оценивается по наличию сценариев реализации угрозы: при наличии хотя бы одного сценария, который можно реализовать в конкретной информационной системе, она считается актуальной.

Кто проводит оценку эффективности защиты информации

Для этой процедуры создается экспертная группа. В нее могут входить собственные специалисты, либо эксперты сторонних компаний, предлагающих такие услуги. К слову, при заказе внедрения Solar Dozor оценку защищенности информации в организации мы можем взять на себя.

Рекомендуется включать в состав экспертной группы представителей компании, отвечающих за:

  • обеспечение информационной безопасности;

  • эксплуатацию сетей связи;

  • цифровую трансформацию (при наличии);

  • эксплуатацию АСУ;

  • выполнение основных (критических) бизнес-процессов в компании.

Опыт показывает, что о качестве определения уровня защищенности важных данных от утечек можно говорить при наличии в группе не менее 3 экспертов, отвечающих за разные сферы. Для оценки параметров защиты рекомендуется использовать опросный метод с максимально четкими и однозначно трактуемыми вопросами. По результатам опроса оценивается уровень защищенности системы.

Видно, что процесс оценки защищенности информации от утечки довольно сложный и многогранный. Здесь не подойдет шаблонный подход. Если у вас возникает необходимость в этом, есть смысл подумать о привлечении экспертов со стороны. Например, представителей компании-разработчика DLP-систем, у которых уже есть опыт внедрения решений в разных компаниях и проведения необходимых для этого оценок.