На правах рекламы
Erid: F7NfYUJCUneTTTy9Udc2 

© starush / Фотобанк 123RF.com

Обеспечение информационной безопасности в организации – это современный уровень защиты данных бизнеса и госсектора. Антагонистами этого процесса являются злоумышленники, использующие хакеров, фишинг, DDoS-атаки и многие другие совершенствующиеся сервисы. При отсутствии внедрения надежной системы информационной безопасности, организации могут быть оштрафованы, привлечены к административной или уголовной ответственности, что приводит к остановке бизнес-процессов, убыткам, потере репутации, судебным разбирательствам и другим неприятным последствиям.

Целью обеспечения информационной безопасности (ИБ) в организации является создание таких условий, которые создадут бесперебойную работу в условиях возможных атак. Защита информационной безопасности включает в себя меры по обеспечению целостности и конфиденциальности, но при этом доступности для пользователей имеющих необходимые права.

1. Этапы обеспечения информационной безопасности в организации

1) Определение информации, которую необходимо защищать в организации

На этом этапе требуется анализ информационных активов, например: базы данных, серверов, программного обеспечения

Совет:

• Распределите информацию по классификации критичности (от общего доступа до служебно-секретного (ДСП));
• Не забывайте учитывать: клиентские базы, облачные хранилища и т.д.

Реальный кейс. Организация передает по договору клиентскую базу на хранение облачному серверу и считает, что тем самым снимает с себя ответственность в случае утечки данных. Однако, прямую ответственность несет организация, а облачный сервер выступает, как провайдер. Соответственно именно организация обязана наладить информационную безопасность во всех своих направлениях.

ВАЖНО! Регулярно проводить оценку программного обеспечения и аппаратных средств, используемых в организации. Таким образом, всегда есть данные о доступных ресурсах и их защищенности. В связи с этим, организация может прослеживать слабые места в системе безопасности и расставить приоритеты в обеспечении защиты информационной безопасности.

2) Оценка возможных угроз

Угрозы безопасности информации – возможность возникновения такого явления или события, следствием, которого могут быть нежелательные воздействия на информацию. Информационные угрозы могут делиться на виды:

Также угрозы можно разделить на:

• Внешние (вирусы, хакеры, несанкционированный доступ третьего лица к информационной системе организации);

Реальный кейс. В этом году крупнейший бренд одежды 12Storeez был подвергнут серьезной кибератаке, была попытка вымогательства. Злоумышленники требовали выкуп в криптовалюте, но услышали отказ. Как таковой утечки данных не было, однако, организация продолжает восстанавливать работу информационных систем. Организации нанесен серьезный ущерб от атаки в сумме около 50 000 000 рублей.

• Внутренние (неосторожность сотрудника организации и незнание в области информационной безопасности может привести к тому, что произойдет утечка данных).

Реальный кейс внутренней угрозы. В Пятигорске выбросили на свалку светокопии паспортов, ИНН и СНИЛС граждан. На свалке были многочисленные личные данные клиентов одного из банка: заверенные копии паспортов, СНИЛС, кредитные договоры и много другое. Данные документы, вместо того, чтобы уничтожить, вывезли в промзону города на свалку. Документы обнаружил экологический патруль, который отслеживает стихийные свалки.

• Технические сбои (сбой в работе оборудования). Организация обязана иметь план "Б" и в случае технических неполадок применить его, чтобы в работе организации не было сбоя, который мог бы привести, например, к потери данных.

Получить БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ по обеспечению информационной безопасности в организации, можно у экспертов "КЕЙС ГРУПП"

3) Меры обеспечения информационной безопасности:

Внедрение технических мер:

• Межсетевые экраны, которые фильтруют сетевой трафик и предотвращают несанкционированный доступ к внутренним ресурсам организации;
• Системы обнаружения и предотвращения атак – анализируют подозрительные активности в сети и могут автоматически реагировать на угрозы, блокируя вредоносные действия до того, как они смогут нанести ущерб;
• Антивирусные системы служат для предотвращения заражения вредоносным программным обеспечением;
• Системы предотвращения утечек данных – защищают конфиденциальную информацию от утечек;
• Системы управления доступом и двухфакторная аутентификация минимизируют риски несанкционированного входа в системы.

Внедрение организационных мер (например: прохождение сотрудниками организации обучения в сфере информационной безопасности или повышения квалификации в этой области). По статистике, большое количество инцидентов информационной безопасности происходят по вине пользователей: переход по фишинговой ссылке, отправка персональных данных по незашифрованной почте, слабый пароль (12345) и т.д.

4) Разработка и внедрение документов по ИБ, необходимых для организации

Для выстраивания работы по ИБ наиболее важным этапом является разработка необходимых документов. Это важно не только для выстраивания архитектуры безопасности самой организации, но и для регулирования и закрепления ответственности ее сотрудников.

Пакет документов по ИБ должен базироваться на действующем законодательстве, а именно: ФЗ от 27.07.2006 №152-ФЗ "О персональных данных", ФЗ от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации" и т.д. За основу можно взять следующий перечень документов, а именно:

• Приказы
• Акты
• Журналы
• Памятки
• Порядок
• Инструкции
• Положения
• Политика – является основным документом, в котором должно быть закреплено следующее:

1) Технические процессы обработки защищаемой информации в информационных системах;

2) Правила и процедуры идентификации и аутентификации пользователей ИС, политика разграничения доступа к ресурсам ИС, управления информационными потоками, управления установкой (инсталляцией) компонентов программного обеспечения, контроля установки обновлений программного обеспечения и т.д.

• Правила
• Перечень помещений/сотрудников
• План мероприятии по информационной безопасности и контролю защищенности;
• Модель угроз (содержит описание угроз и нарушителей безопасности информационной системы, в которых обрабатывается защищаемая информация. В документе в качестве объектов защиты рассматривается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средства обеспечения функционирования ИС)
• Технические паспорта
• Иные документы

Чтобы правильно разработать и внедрить документы, необходимые для обеспечения информационной безопасности в организации – вы можете ПОЛУЧИТЬ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ у экспертов "КЕЙС ГРУПП"

2. Виды инцидентов в информационной безопасности

Инцидент информационной безопасности в организации – случай или событие, которое указывает на то, что информация организации украдена в связи с тем, что система защиты не сработали. Инциденты влекут нарушение работы организации. Они могут повлечь серьезные события, например, DDoS-атаку (кибератака, целью, которой является сделать веб-ресурс или сервис недоступным для пользователей путем перегрузки его огромным количеством трафика или запросов).

Виды инцидентов:

1) Преднамеренные инциденты:

• Незаконный доступ к системам и данным;
• Фишинговая атака (пример: электронные письма на почте для распространения вредоносных ссылок и вложений, которые могут выполнять различные функции;

2) Вредоносные ПО: вирусы; рекламное ПО и тд.
3) DoS-атака (ведет к серьезным последствиям);
4) Случайные инциденты:

• Ошибки сотрудников организации (человеческий фактор). Нажатие на объявление в интернете, посещение заряженного сайта может привести к необратимым последствиям работы организации;
• Нелицензированное ПО.

Важно! Необходимо, чтобы атаки на информационную безопасность организации сводились к минимуму.

3. Чек-лист ключевых этапов и мер для обеспечения информационной безопасности в организации

1. Анализ внутренней и внешней информации организации, систем, ПО и тд. Определение, какую именно информацию необходимо защищать и выявление уязвимых мест. Оценка возможных угроз.
2. Разработка плана защиты информации и его реализация;
3. Обучение сотрудников и повышение квалификации (значительно снижает риск ущерба);
4. Разработка пакета документов по ИБ и его актуализация на случай изменений в организации или законодательстве;
5. Готовность к инцидентам (разработанный план действий на случай инцидентов и инструктаж сотрудников).

Если у вас есть вопросы о том, как правильно выстроить и обеспечить информационную безопасность в организации – вы можете ПОЛУЧИТЬ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ у экспертов "КЕЙС ГРУПП"