8 (800) 302-85-23

28.12.2022

Система защиты данных

Система защиты данных
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Деятельность большинства организаций связана с использованием сложных и многоуровневых информационных систем (ИС). Данные внутри системы подчас имеют закрытый и конфиденциальный статус ввиду их повышенной важности, ценности для владельца. Такое положение дел предполагает обязательное использование системы защиты данных (СЗД, СЗПД), которая создается под определенную модель рисков. Грамотно и полно разработанная модель рисков в информационной системе, которая учитывает рекомендации ФСТЭК, помогает снизить количество инцидентов безопасности и надежно защитить конфиденциальные сведения.

Что такое система защиты данных, какие данные она защищает?

Система защиты данных — это совокупность мероприятий, мер организационного, технического характера, препятствующих получению злоумышленниками несанкционированного доступа к сведениям закрытого типа. Более подробно это понятие раскрыто в ПП РФ № 1119 от 01.11.2012. СЗД является обязательной мерой для любой организации и физлица, которые попадают в категорию оператора данных. Системы защиты данных также должны соответствовать уровням защищенности информации, установленным в 152-ФЗ от 27.07.2006. СЗД, в первую очередь, создаются для защиты персональных данных физических лиц, которые находятся в распоряжении оператора. Также к критически важной информации относятся государственная, коммерческая и другие виды тайны, на которые распространяется действие федерального законодательства. Все эти виды информации требуют проработанной и системной защиты.

безопасные информационные системы

Как построить работающие, безопасные информационные системы?

Для построения функциональной и надежной СЗД необходимо тщательно выявить и просчитать потенциальные риски информационной безопасности, установить приоритеты защиты, спланировать бюджет предстоящих расходов. Рекомендуется провести серию мероприятий, включающих:

  1. Аудит информационных систем. Нужен для оценки соответствия ИС требованиям законодательства, регуляторов и возможной модели рисков. Аудит включает проверку используемого ПО, уровня защиты информационной системы от внутренних и внешних угроз.

  2. Разработка, внедрение в работу организации организационных мер, направленных на обеспечение безопасности данных. Включают подготовку регламента, инструкций, соглашений для персонала компании по работе с информацией.

  3. Поиск релевантных рисков. Разработка модели нарушителя и типичных нарушений безопасности.

  4. Классификация используемой информации по уровням защищенности, приоритету защиты. Выполняется с учетом действующего законодательства и рекомендаций ФСТЭК.

  5. Создание технического задания для компании, предоставляющей услуги по разработке и внедрению систем защиты данных.

  6. Покупка, установка, ввод в эксплуатацию СЗИ.

  7. Проверка работоспособности информационной системы и степени ее защищенности. В случае использования ГИС потребуется дополнительная аттестация СИЗ со стороны ФСТЭК.

Модели рисков информационных систем

При разработке СЗД необходимо опираться на потенциальные риски и их величину. Модели рисков различаются от случая к случаю, привязаны к величине компании, сфере деятельности, критичности информации, с которой она работает. Работающая модель рисков должна опираться на специфику работы компании и тип злоумышленника, с которым придется столкнуться. Например, ПДн могут быть интересны хакерам, которые продают информацию конкурентам, а государственная тайна представляет интерес для иностранной разведки.

Хорошая модель рисков должна отвечать таким критериям как:

  • Релевантность

  • Устойчивость

  • Целостность

При разработке персональной модели рисков принимают во внимание класс угрозы. Согласно критичности, он бывает первый – предполагает пристальное внимание, второй – вероятный, где присутствует потенциальная опасность, третий – находится под наблюдением.

Структура информационной системы, модель защиты

Классическим решением для организации ИС в небольшой компании является базовая структура информационной системы. Она включает:

  • Выделенный сервер

  • Рабочие места персонала

  • Маршрутизатор, точки входа в сеть

Подобная модель ИС используется большей частью организаций малого и среднего бизнеса. Здесь не предполагается существенный обмен пакетами данных, поэтому зачастую встречается пренебрежение защитными мерами в случае передачи информации по внешним каналам связи. Нельзя забывать про такие дополнительные компоненты ИС как IP-телефонию, облачные ресурсы, дополнительные приложения, используемые при работе. Они также требуют защиты, потому что могут содержать и передавать критически важную информацию.

При формировании модели защиты рекомендуется использовать СЗИ, сертифицированные ФСТЭК. Также полезно принимать во внимание общие и рекомендованные методы и подходы к обеспечению информационной безопасности. Эффективная модель системы защиты персональных данных должна включать организационные, технические и программные СЗИ с учетом уровня угроз, характерных рисков.

Основные виды рисков, согласно базовой модели информационной безопасности

  1. Человеческий фактор. Возникает во время доступа персонала организации к информационным ресурсам. Подобные угрозы принято относить к третьему классу рисков. Это могут быть утечка информации или ее нецелевое использование. Для нейтрализации используются стандартные средства защиты.

  2. Скрытые уязвимости ПО. Возникают вследствие наличия в ПО уязвимостей и недекларированных возможностей, что может привести к перехвату ценной информации. Это второй класс рисков. Они требуют непрерывного мониторинга ситуации, выявления инцидентов и реагирования на них.

  3. Вредоносное ПО. Связано с целенаправленным внедрением в ИС вредоносного программного обеспечения, которое представляет угрозу хищения данных, нарушения работы и уничтожения ИС. Относится к первому классу рисков. Ввиду актуальности и высокой доли вероятности проникновения в систему требует применения усиленных мер защиты.

Эффективная система защиты данных подразумевает использование одобренных и сертифицированных ФСТЭК СЗИ. Одним из примеров такого средства защиты являются DLP-системы, например, Solar Dozor. Solar Dozor выявляет и предотвращает утечки информации, выявляет факты мошенничества, сговоров, позволяет проводить расследование инцидентов. Solar Dozor – это сертифицированное ФСТЭК России решение по 4-му уровню контроля отсутствия недекларированных возможностей и техническим условиям.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.