Получить консультацию по Solar Dozor

Деятельность большинства организаций связана с использованием сложных и многоуровневых информационных систем (ИС). Данные внутри системы подчас имеют закрытый и конфиденциальный статус ввиду их повышенной важности, ценности для владельца. Такое положение дел предполагает обязательное использование системы защиты данных (СЗД, СЗПД), которая создается под определенную модель рисков. Грамотно и полно разработанная модель рисков в информационной системе, которая учитывает рекомендации ФСТЭК, помогает снизить количество инцидентов безопасности и надежно защитить конфиденциальные сведения.

Что такое система защиты данных, какие данные она защищает?

Система защиты данных — это совокупность мероприятий, мер организационного, технического характера, препятствующих получению злоумышленниками несанкционированного доступа к сведениям закрытого типа. Более подробно это понятие раскрыто в ПП РФ № 1119 от 01.11.2012. СЗД является обязательной мерой для любой организации и физлица, которые попадают в категорию оператора данных. Системы защиты данных также должны соответствовать уровням защищенности информации, установленным в 152-ФЗ от 27.07.2006. СЗД, в первую очередь, создаются для защиты персональных данных физических лиц, которые находятся в распоряжении оператора. Также к критически важной информации относятся государственная, коммерческая и другие виды тайны, на которые распространяется действие федерального законодательства. Все эти виды информации требуют проработанной и системной защиты.

безопасные информационные системы

Как построить работающие, безопасные информационные системы?

Для построения функциональной и надежной СЗД необходимо тщательно выявить и просчитать потенциальные риски информационной безопасности, установить приоритеты защиты, спланировать бюджет предстоящих расходов. Рекомендуется провести серию мероприятий, включающих:

  1. Аудит информационных систем. Нужен для оценки соответствия ИС требованиям законодательства, регуляторов и возможной модели рисков. Аудит включает проверку используемого ПО, уровня защиты информационной системы от внутренних и внешних угроз.

  2. Разработка, внедрение в работу организации организационных мер, направленных на обеспечение безопасности данных. Включают подготовку регламента, инструкций, соглашений для персонала компании по работе с информацией.

  3. Поиск релевантных рисков. Разработка модели нарушителя и типичных нарушений безопасности.

  4. Классификация используемой информации по уровням защищенности, приоритету защиты. Выполняется с учетом действующего законодательства и рекомендаций ФСТЭК.

  5. Создание технического задания для компании, предоставляющей услуги по разработке и внедрению систем защиты данных.

  6. Покупка, установка, ввод в эксплуатацию СЗИ.

  7. Проверка работоспособности информационной системы и степени ее защищенности. В случае использования ГИС потребуется дополнительная аттестация СИЗ со стороны ФСТЭК.

Модели рисков информационных систем

При разработке СЗД необходимо опираться на потенциальные риски и их величину. Модели рисков различаются от случая к случаю, привязаны к величине компании, сфере деятельности, критичности информации, с которой она работает. Работающая модель рисков должна опираться на специфику работы компании и тип злоумышленника, с которым придется столкнуться. Например, ПДн могут быть интересны хакерам, которые продают информацию конкурентам, а государственная тайна представляет интерес для иностранной разведки.

Хорошая модель рисков должна отвечать таким критериям как:

  • Релевантность

  • Устойчивость

  • Целостность

При разработке персональной модели рисков принимают во внимание класс угрозы. Согласно критичности, он бывает первый – предполагает пристальное внимание, второй – вероятный, где присутствует потенциальная опасность, третий – находится под наблюдением.

Структура информационной системы, модель защиты

Классическим решением для организации ИС в небольшой компании является базовая структура информационной системы. Она включает:

  • Выделенный сервер

  • Рабочие места персонала

  • Маршрутизатор, точки входа в сеть

Подобная модель ИС используется большей частью организаций малого и среднего бизнеса. Здесь не предполагается существенный обмен пакетами данных, поэтому зачастую встречается пренебрежение защитными мерами в случае передачи информации по внешним каналам связи. Нельзя забывать про такие дополнительные компоненты ИС как IP-телефонию, облачные ресурсы, дополнительные приложения, используемые при работе. Они также требуют защиты, потому что могут содержать и передавать критически важную информацию.

При формировании модели защиты рекомендуется использовать СЗИ, сертифицированные ФСТЭК. Также полезно принимать во внимание общие и рекомендованные методы и подходы к обеспечению информационной безопасности. Эффективная модель системы защиты персональных данных должна включать организационные, технические и программные СЗИ с учетом уровня угроз, характерных рисков.

Основные виды рисков, согласно базовой модели информационной безопасности

  1. Человеческий фактор. Возникает во время доступа персонала организации к информационным ресурсам. Подобные угрозы принято относить к третьему классу рисков. Это могут быть утечка информации или ее нецелевое использование. Для нейтрализации используются стандартные средства защиты.

  2. Скрытые уязвимости ПО. Возникают вследствие наличия в ПО уязвимостей и недекларированных возможностей, что может привести к перехвату ценной информации. Это второй класс рисков. Они требуют непрерывного мониторинга ситуации, выявления инцидентов и реагирования на них.

  3. Вредоносное ПО. Связано с целенаправленным внедрением в ИС вредоносного программного обеспечения, которое представляет угрозу хищения данных, нарушения работы и уничтожения ИС. Относится к первому классу рисков. Ввиду актуальности и высокой доли вероятности проникновения в систему требует применения усиленных мер защиты.

Эффективная система защиты данных подразумевает использование одобренных и сертифицированных ФСТЭК СЗИ. Одним из примеров такого средства защиты являются DLP-системы, например, Solar Dozor. Solar Dozor выявляет и предотвращает утечки информации, выявляет факты мошенничества, сговоров, позволяет проводить расследование инцидентов. Solar Dozor – это сертифицированное ФСТЭК России решение по 4-му уровню контроля отсутствия недекларированных возможностей и техническим условиям.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Защита финансовой информации: как избежать утечек

Защита финансовой информации: как избежать утечек

Узнать больше
Видеоконференцсвязь (ВКС): основные понятия и принципы работы

Видеоконференцсвязь (ВКС): основные понятия и принципы работы

Узнать больше