Защита информации и система защиты информации в компании

Со временем руководство большинства организаций, которые стремятся обеспечивать информационную безопасность своей деятельности, понимают, что единичные и хаотичные решения по предотвращению угроз информационной безопасности не могут быть абсолютным гарантом защиты. Чтобы защита информации в организации приносила максимальную пользу, а ресурсы, которые необходимо выделять на её функционирование, не тратились зря, она должна существовать как система. В статье специалисты аналитического центра Falcongaze SecureTower ответили на следующие вопросы:

• Что такое защита информации? Какие направления защиты информации существуют?
• Чем организации грозит бессистемная защита информации?
• Что такое система защиты информации? Какие векторы организации свойственны любой системе защиты информации?
• Как обеспечить функционирование системы защиты информации в организации?
• Какие требования предъявляются к системе защиты информации?
• Каких принципов создания системы защиты информации рекомендуется придерживаться?
• Как внедрить систему защиты информации в организации?

 

Что такое «защита информации»?

Приведём определение термина «защита информации», которое содержится в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»:

 

 

 

Поясним это понятие подробнее. Рассмотрим, на что направлена защита информации от утечки, несанкционированного или непреднамеренного воздействия.

Защита информации от утечки направлена на:

• предотвращение неконтролируемого распространения защищаемой информации из-за ее разглашения и несанкционированного доступа к ней;
• исключение (затруднение) получения защищаемой информации заинтересованными субъектами.

Защита информации от несанкционированного воздействия направлена на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к:

• разрушению;
• уничтожению;
• искажению;
• сбою в работе;
• незаконному перехвату и копированию;
• блокированию доступа к информации;
• утрате;
• уничтожению;
• сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия направлена на предотвращение воздействия на защищаемую информацию:

• ошибок ее пользователя;
• сбоя технических и программных средств информационных систем;
• природных явлений;
• иных нецеленаправленных на изменение информации событий.

Оказываемое в этом случае воздействие может приводить к:

• искажению;
• уничтожению;
• копированию,
• блокированию доступа к информации;
• утрате;
• уничтожению
• сбою функционирования носителя информации

Цель защиты информации следует определять индивидуально в каждой организации. В самом общем смысле такой целью может являться исключение ущерба из-за каких-либо нежелательных событий с информацией.

Чтобы достигнуть цели защиты информации, важно иметь основную идею, которая определяет состав, содержание, взаимосвязь и последовательность проведения определённых технических и организационных мероприятий.

 

Последствия бессистемной защиты информации в организации

Объясним с практической точки зрения, почему защита информации не должна быть бессистемной. В последнем квартале 2022 года среди специалистов в сфере информационной безопасности был проведён опрос, касающийся реагирования на нарушения информационной безопасности и предотвращения их последствий. Вот некоторые данные, полученные в ходе опроса:

• около 48% действий по защите информации инициируются лишь после произошедшей утечки информации, несанкционированного или непреднамеренного воздействия на неё;
• около 74% из таких действий являются «одноразовой» процедурой (Схема 1);
• по истечении 3-6 месяцев после инцидента в 46% из таких организаций случается как минимум 1 повторный инцидент нарушения информационной безопасности (как иной, так и аналогичный);
• в 14% из таких организаций новые инциденты нарушения информационной безопасности (как иные, так и аналогичные) происходят ещё в процессе внедрения мер защиты после предыдущего инцидента.

Схема 1

Соотношение системной и бессистемной защиты информации в организациях в 2022 году

 

 

Эти данные позволяют сделать вывод, что бессистемная защита информации широко распространена и неэффективна, а её результативность сложно спрогнозировать. В связи с этим лица, ответственные за информационную безопасность в организации, должны стремиться отказаться от хаотичной и точечной защиты информации и работать в направлении создания системы защиты информации.

 

Что такое система защиты информации?

Приведём определение термина «система защиты информации», которое содержится в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»:

 

 

Систему защиты информации можно рассматривать как с государственного, так и с объектового уровня. Сконцентрируемся на последнем, так как нас интересует система защиты информации именно в организации или на предприятии, и разъясним подробнее все указанные компоненты определения понятия «система защиты информации».

Органы и исполнители системы защиты информации. Системой защиты информации в организации управляет в первую очередь руководитель организации, затем – руководитель соответствующего структурного подразделения. Они принимают системообразующие решения, которые могут быть переданы на исполнение ответственным специалистам соответствующего подразделения или службы, а также непосредственно исполнителям на местах.

Техника защиты информации. К технике защиты информации могут быть отнесены средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Объекты защиты информации. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

 

Векторы организации любой системы защиты информации

Если ориентироваться на цели защиты информации, то любая система защиты информации должна иметь следующие общие векторы организации (Схема 2). Они специально сформулированы без ориентации на какую-либо конкретную сферу деятельности.

Схема 2

Векторы организации системы защиты информации и их характеристика

 

 

Как обеспечить функционирование системы защиты информации?

Система защиты информации будет максимально полезной, если в организации будут заботиться о её обеспечении, функционировании. Обеспечение системы защиты информации должно происходить одновременно по нескольким направлениям деятельности. Перечислим их.

1. Правовое обеспечение системы защиты информации. Под таким обеспечением понимается существование в организации ряда разработанных индивидуальных регламентирующих документов, обязательных для исполнения.
2. Организационное обеспечение системы защиты информации. Под таким обеспечением понимается существование установленных организационных служб: например, это может быть охрана информации, допуск к ней или информационно-аналитическая работа.
3. Аппаратное обеспечение системы защиты информации. Под таким обеспечением понимается использование для защиты информации соответствующих технических средств. Список таких средств в разных организациях может отличаться.
4. Информационное обеспечение системы защиты информации. Под таким обеспечением понимается наличие данных, без которых невозможно было бы функционирование системы: к ним могут относиться различная статистика, параметры или сведения, полученные в ходе каких-либо замеров или исследований.
5. Программное обеспечение системы защиты информации. Под таким обеспечением понимается наличие программных инструментов, к которым могут быть отнесены расчетные, статистические или учётные программы, способные следить за различными каналами утечки и путей несанкционированного или непреднамеренного воздействия.
6. Математическое и лингвистическое обеспечение системы защиты информации. Под таким обеспечением понимается умение использовать в работе соответствующие методы формирования расчётов или формулирования выводов, необходимые для получения объективной и конкретной оценки защиты информации.
7. Нормативно-методическое обеспечение системы защиты информации. Под таким обеспечением понимается учёт организацией всех правил, установленных внешними контролирующими органами и службами.

 

Требования к системе защиты информации в организации

Составим список основных требований (Схема 3) к любой системе защиты информации в организации и кратко охарактеризуем их.

• Требование 1 – эффективность. Система защиты информации должна качественно, в полной мере выполнять свои функции. В ином случае её функционирование нецелесообразно.
• Требование 2 – централизация управления. Организационное управление системой защиты информации и контроль её работы должен быть централизованным. Например, если регламентация элементов системы происходит децентрализованно, высока вероятность несогласованности в действиях, противоречий в правилах и т.д.
• Требование 3 – планирование. В системе защиты информации планирование играет важную роль, так как помогает всем элементам системы (отделам, службам, направлениям) понимать порядок и объём непосредственно своих компетентных действий в общем процессе.
• Требование 4 – точность. В системе защиты информации должны существовать конкретные объекты (информация), которые подлежат защите. Если такая информация не находится под защитой системы, то высока вероятность, что её безопасность может оказаться под угрозой.
• Требование 5 – активность. Система защиты информации должна иметь средства, которые должны уметь не только обнаруживать и устранять угрозы, но и работать в режиме предвидения и предотвращения нежелательных инцидентов.
• Требование 6 – надёжность. В системе защиты информации должны использоваться такие методы и средства, которые способны надёжно контролировать все каналы утечки информации или способы нежелательного, несанкционированного доступа к информации.
• Требование 7 – индивидуальность. Система защиты информации должна строиться в соответствии с уникальными компонентами организации, учитывать все используемые рабочие инструменты и особенности функционирования бизнес-процессов.
• Требование 8 – гибкость. В систему защиты информации должно быть легко вносить изменения и дополнения. Сама её архитектура и конфигурация должна быть простой для усовершенствования. В ином случае она может оказаться неэффективной.

Схема 3

Требования к системе защиты информации

 

 

Принципы создания системы защиты информации в организации: общие рекомендации

Перечислим рекомендованные принципы создания системы защиты информации.

1. Система защиты информации не должна быть слишком сложной и дорогой в техническом обслуживании. Если система со временем отнимает всё больше сил, следует подумать о её совершенствовании.
2. Система защиты информации должна быть простой и понятной для пользователей. В ином случае при изменении штатного состава могут возникнуть проблемы в её сопровождении и использовании.
3. Функционирование системы информации не должно мешать основному, ключевому направлению работы всех процессов в организации. В ином случае работа такой системы будет препятствовать коммерческой или иной деятельности организации.
4. Система защиты информации не должна быть реализована как «одинаковые для всех запреты». Её регламентация должна предполагать разграничение доступа, присваивание конкретных привилегий и т.д.
5. В системе защиты информации должен быть предусмотрен порядок отключения защиты (например, связанный с каким-либо процессом). В то же время отключение защиты одного процесса не должно повлиять на защиту остальных процессов.

 

Как внедрить систему защиты информации?

Если в вашей организации принято решение внедрить систему защиты информации, то вы можете обратиться к опыту компании Falcongaze. Мы имеем практические знания по защите информации в различных организациях с разным количеством сотрудников. Узнайте, как быстро можно закрыть задачи по защите конфиденциальных данных. Внедрив DLP-систему Falcongaze SecureTower, вы обеспечите информационную безопасность своего бизнеса.