Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеДеятельность большинства организаций связана с использованием сложных и многоуровневых информационных систем (ИС). Данные внутри системы подчас имеют закрытый и конфиденциальный статус ввиду их повышенной важности, ценности для владельца. Такое положение дел предполагает обязательное использование системы защиты данных (СЗД, СЗПД), которая создается под определенную модель рисков. Грамотно и полно разработанная модель рисков в информационной системе, которая учитывает рекомендации ФСТЭК, помогает снизить количество инцидентов безопасности и надежно защитить конфиденциальные сведения.
Что такое система защиты данных, какие данные она защищает?
Система защиты данных — это совокупность мероприятий, мер организационного, технического характера, препятствующих получению злоумышленниками несанкционированного доступа к сведениям закрытого типа. Более подробно это понятие раскрыто в ПП РФ № 1119 от 01.11.2012. СЗД является обязательной мерой для любой организации и физлица, которые попадают в категорию оператора данных. Системы защиты данных также должны соответствовать уровням защищенности информации, установленным в 152-ФЗ от 27.07.2006. СЗД, в первую очередь, создаются для защиты персональных данных физических лиц, которые находятся в распоряжении оператора. Также к критически важной информации относятся государственная, коммерческая и другие виды тайны, на которые распространяется действие федерального законодательства. Все эти виды информации требуют проработанной и системной защиты.
Как построить работающие, безопасные информационные системы?
Для построения функциональной и надежной СЗД необходимо тщательно выявить и просчитать потенциальные риски информационной безопасности, установить приоритеты защиты, спланировать бюджет предстоящих расходов. Рекомендуется провести серию мероприятий, включающих:
-
Аудит информационных систем. Нужен для оценки соответствия ИС требованиям законодательства, регуляторов и возможной модели рисков. Аудит включает проверку используемого ПО, уровня защиты информационной системы от внутренних и внешних угроз.
-
Разработка, внедрение в работу организации организационных мер, направленных на обеспечение безопасности данных. Включают подготовку регламента, инструкций, соглашений для персонала компании по работе с информацией.
-
Поиск релевантных рисков. Разработка модели нарушителя и типичных нарушений безопасности.
-
Классификация используемой информации по уровням защищенности, приоритету защиты. Выполняется с учетом действующего законодательства и рекомендаций ФСТЭК.
-
Создание технического задания для компании, предоставляющей услуги по разработке и внедрению систем защиты данных.
-
Покупка, установка, ввод в эксплуатацию СЗИ.
-
Проверка работоспособности информационной системы и степени ее защищенности. В случае использования ГИС потребуется дополнительная аттестация СИЗ со стороны ФСТЭК.
Модели рисков информационных систем
При разработке СЗД необходимо опираться на потенциальные риски и их величину. Модели рисков различаются от случая к случаю, привязаны к величине компании, сфере деятельности, критичности информации, с которой она работает. Работающая модель рисков должна опираться на специфику работы компании и тип злоумышленника, с которым придется столкнуться. Например, ПДн могут быть интересны хакерам, которые продают информацию конкурентам, а государственная тайна представляет интерес для иностранной разведки.
Хорошая модель рисков должна отвечать таким критериям как:
-
Релевантность
-
Устойчивость
-
Целостность
При разработке персональной модели рисков принимают во внимание класс угрозы. Согласно критичности, он бывает первый – предполагает пристальное внимание, второй – вероятный, где присутствует потенциальная опасность, третий – находится под наблюдением.
Структура информационной системы, модель защиты
Классическим решением для организации ИС в небольшой компании является базовая структура информационной системы. Она включает:
-
Выделенный сервер
-
Рабочие места персонала
-
Маршрутизатор, точки входа в сеть
Подобная модель ИС используется большей частью организаций малого и среднего бизнеса. Здесь не предполагается существенный обмен пакетами данных, поэтому зачастую встречается пренебрежение защитными мерами в случае передачи информации по внешним каналам связи. Нельзя забывать про такие дополнительные компоненты ИС как IP-телефонию, облачные ресурсы, дополнительные приложения, используемые при работе. Они также требуют защиты, потому что могут содержать и передавать критически важную информацию.
При формировании модели защиты рекомендуется использовать СЗИ, сертифицированные ФСТЭК. Также полезно принимать во внимание общие и рекомендованные методы и подходы к обеспечению информационной безопасности. Эффективная модель системы защиты персональных данных должна включать организационные, технические и программные СЗИ с учетом уровня угроз, характерных рисков.
Основные виды рисков, согласно базовой модели информационной безопасности
-
Человеческий фактор. Возникает во время доступа персонала организации к информационным ресурсам. Подобные угрозы принято относить к третьему классу рисков. Это могут быть утечка информации или ее нецелевое использование. Для нейтрализации используются стандартные средства защиты.
-
Скрытые уязвимости ПО. Возникают вследствие наличия в ПО уязвимостей и недекларированных возможностей, что может привести к перехвату ценной информации. Это второй класс рисков. Они требуют непрерывного мониторинга ситуации, выявления инцидентов и реагирования на них.
-
Вредоносное ПО. Связано с целенаправленным внедрением в ИС вредоносного программного обеспечения, которое представляет угрозу хищения данных, нарушения работы и уничтожения ИС. Относится к первому классу рисков. Ввиду актуальности и высокой доли вероятности проникновения в систему требует применения усиленных мер защиты.
Эффективная система защиты данных подразумевает использование одобренных и сертифицированных ФСТЭК СЗИ. Одним из примеров такого средства защиты являются DLP-системы, например, Solar Dozor. Solar Dozor выявляет и предотвращает утечки информации, выявляет факты мошенничества, сговоров, позволяет проводить расследование инцидентов. Solar Dozor – это сертифицированное ФСТЭК России решение по 4-му уровню контроля отсутствия недекларированных возможностей и техническим условиям.
