Как обеспечить информационную безопасность организации в современных реалиях? Рассказывают эксперты

Российская Федерация, 9.11.22 (ИА «Телеинформ»), - Современные ИТ-технологии упрощают большинство ежедневных рабочих процессов. Вне зависимости от размера и направления организации, ее информационные системы постоянно становятся все совершенней и, вместе с тем, сложнее.

Все больше от их корректной работы зависит функционирование всего предприятия, ведь каждый инцидент ставит под угрозу не только ее сохранность, но и финансовое состояние и репутацию. В 2022 году, после серии крупнейших утечек данных и кибератак на территории России, вопрос услуги информационной безопасности стал как никогда актуальным. Эксперты рассказали, какие основные аспекты и меры смогут максимально повысить уровень информационной защиты в организациях.

Основы ИБ

Информационная безопасность (ИБ) – это, в первую очередь, защищенность информации и элементов, которые предназначены для ее хранения и использования. Обеспечение информационной безопасности включает в себя набор технологий, практик и мер предотвращения несанкционированного доступа к данным и дальнейших манипуляций с ними.

В основе ИБ лежит три принципа которые необходимо реализовать – конфиденциальность, целостность и доступность информации. Надежная защита должна предотвращать риски, прежде чем появится нужда ликвидировать их последствия. Именно предупредительные меры по реализации всех трех принципов и являются наиболее эффективным подходом в создании системы защиты информации.

Есть ряд распространенных факторов, из-за которых возникают угрозы информационной безопасности чаще всего:

• Невнимательность и халатность сотрудников;
• Использование пиратского ПО на рабочих местах;
• DDoS-атаки – поток ложных запросов от тысяч географически распределенных источников, которые блокируют атакуемый веб-ресурс;
• Компьютерные вирусы;
• Корпоративный шпионаж;
• Конфискация оборудования (например серверов) в ходе проверок госорганов.

Интересный факт

Одной из крупнейших утечек данных в истории считается инцидент с компанией Adobe. В 2013 году злоумышленники похитили 153 миллиона зашифрованных записей, которые содержали информацию об именах клиентов, их кредитных картах, реквизитах транзакций, а также паролей для входа в систему. По итогу компании пришлось выплатить 1 миллион долларов издержек и плюс нераскрытую сумму пользователям для урегулирования исков.

Законодательная база

Такая важная область как информационная безопасность всегда была под строгим наблюдением законодательства РФ и регулирующих органов. Законы, нормативно-правовые акты и различные стандарты ГОСТ предполагают, что любая организация обязана предпринять меры по защите информации.

Основополагающие определения и требования к информационной безопасности в России представлены в Федеральном законе №152-ФЗ «О персональных данных». Этот документ регулирует обработку персональных данных, которую осуществляют государственные, муниципальные и частные организации. Все подобные организации называются операторами персональных данных, и они несут ответственность за их безопасность.

Помимо этого, существуют государственные предприятия, от функционирования которых зависит жизнедеятельность всей страны – это так называемые субъекты критической информационной инфраструктуры. Они несут особую ответственность за защиту своих информационных систем (ИС), которая определяется и регулируется законом №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Невыполнение требований закона и нарушения предусматривают административные штрафы и даже уголовную ответственность.

Также обеспечение информационной безопасности определяется деятельностью и нормативными документами контролирующих органов:

• ФСТЭК России. Определяет методики оценки угроз ИБ;
• ФСБ России. Утверждает меры по защите персональных данных при их обработке с использованием шифровальных СЗИ.

Именно поэтому любая компания, которая оказывает услуги в сфере ИБ, обязана иметь ряд лицензий от вышеперечисленных регуляторов для проведение полного цикла работ.

Основные процессы информационной безопасности

Обеспечение информационной безопасности подразумевает гораздо больше чем простую проверку информационных ресурсов и установку определенных средств защиты, хотя и это – важная часть процесса. Однако в надлежащей защите нуждается широкий спектр организаций, каждая со своей спецификой в функционировании, масштабе и требованиях закона. Именно этим и обусловлено разнообразие услуг по ИБ.

1. Защита информации

• Безопасность ИС персональных данных. Защита персональных данных в соответствии с 152-ФЗ.
• Защита государственной тайны. Защита секретной государственной информации, обрабатываемой с помощью технических средств, а также обеспечение безопасности помещений для ведения секретных переговоров и правительственной связи.
• Защита конфиденциальной информации (в том числе коммерческой тайны). Обеспечение безопасности информации в помещениях для ведения конфиденциальных переговоров и внедрение СЗИ.
• Аудит информационной безопасности. Выявление недостатков защиты, определение потенциальных векторов атак, оценка эффективность средств ИБ, а также предоставление рекомендаций по их модернизации.
• Оценка защищенности ИС. Анализ мер защиты информации, который определяет соответствие требованиям основных нормативно-правовых актов, а также позволяет оценить реальный уровень защищенности от вероятных угроз.
• Аттестация объектов информатизации. Оценка соответствия системы защиты информации требованиям, правилам и стандартам в области ИБ.

2. КИИ

В работу с критической инфраструктурой входит три основополагающих и обязательных процесса:

• Категорирование объектов КИИ. Присвоение объекту КИИ критерия значимости и одной из категорий значимости, а также проверка сведений в контролирующих органах о результатах ее присвоения субъекту КИИ.
• Обеспечение безопасности объектов КИИ. Разработка необходимой документации, проведение тестирования на проникновение, внедрение СЗИ и дальнейший контроль за принятыми мерами.
• Подключение к ГосСОПКА – государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий кибератак на КИИ РФ.

3. Подключение к государственным информационным системам

• Аттестация ГИС. Комплекс мероприятий для приведения ГИС в соответствие требованиям законодательства РФ.
• Подключение к различным ГИС: ФИС ФРДО, ФИС ГИА и Приема, «Налог-3», сеть ИТКИ Минобрнауки и так далее.

4. Импортозамещение

Поставка, внедрение и интеграция российского ПО и сетевого оборудования. Отечественные решения помогают сохранить технологический суверенитет в условиях санкционного давления, выполнить требования законодательства, а также лучше заточены на обеспечение информационной безопасности пользователей.

5. Кибербезопасность

• Пентест. Тест на проникновение в информационную систему, в ходе которого имитируются потенциальные атаки и действия злоумышленников для обнаружения уязвимостей в информационной системе.
• Поставка средств защиты информации.
• Подключение к SOC-центру. Центр мониторинга ИБ, который оперативно реагирует на инциденты в ИС.

6. Обучение в сфере ИБ

Всем специалистам по ИБ нужно постоянно актуализировать свои знания и проверять собственную квалификацию. Для этого существуют специальные курсы учебных центров, которые имеют лицензию на проведение подобного обучения и выдачу официальных аттестационных документов.

Заключение

Информация – самый ценный ресурс и поэтому с каждым годом подвергается все более серьезным угрозам, которые могут прийти с самых неожиданных направлений. В наши дни самостоятельное обеспечение информационной защиты становится сложнее, а то и просто невозможным для большинства организаций. К счастью, сфера ИБ в России постоянно растет и развивается, и поэтому даже самый комплексные задачи можно решить с большей легкостью, доверив этот процесс системным интеграторам ИБ.

• Интереснейшие публикации иркутских СМИ — в соцсетях: ВКонтакте, Одноклассники, Telegram