Обеспечение информационной безопасности организации

Обеспечивать информационную безопасность в организации или на предприятии – объёмная задача, для грамотного решения которой потребуется комплексный подход. В статье специалисты аналитического центра Falcongaze SecureTower собрали основную информацию, которая поможет понять, что такое обеспечение информационной безопасности, каковы цели этого процесса, из каких этапов он состоит, каких принципов следует придерживаться в процессе реализации задач по обеспечению информационной безопасности, а также какие меры обеспечения информационной безопасности существуют.

 

Что значит «обеспечить информационную безопасность в организации»?

Согласно ГОСТ Р 53114-2008 информационная безопасность организации (ИБ организации) – это состояние, при котором её интересы или цели защищены от влияния угроз из информационной сферы. Чтобы значимые информационные активы и инфраструктура организации достигла описанного состояния, они должны обладать тремя свойствами информационной безопасности:

1. Конфиденциальностью.
2. Целостностью.
3. Доступностью.

Соответственно, обеспечение информационной безопасности организации (обеспечение ИБ организации, также встречается аббревиатура ОИБ организации) – это деятельность, направленная на:

• ликвидацию угроз информационной безопасности организации (внутренних и внешних);
• сокращение ущерба, который вызвали реализованные угрозы информационной безопасности.

Общие цели обеспечения информационной безопасности бизнеса:

• содействовать эффективности всех рабочих процессов;
• поддерживать условия эффективного управления;
• сохранять позитивные тенденции развития бизнеса;
• сохранять основы культуры компании;
• поддерживать сплоченность коллектива.

Для выполнения этих целей (а также других, индивидуализированных) в каждой организации будут поставлены конкретные задачи. Например, к ним можно отнести:

• защиту баз данных;
• контроль носителей информации;
• блокировку данных, передаваемых по каналам связи;
• создание резервных копий и т.д.

 

Как обеспечивать информационную безопасность в организации?

Чтобы деятельность по обеспечению ИБ организации была результативной, нужно правильно поддерживать состояние защищенности её информационных активов. Для выполнения этого условия все процессы, связанные с обеспечением ИБ, должны быть выстроены с комплексную систему, состоящую из конкретных этапов (Схема 1).

Схема 1

Этапы обеспечения информационной безопасности

 

Как индивидуализировать обеспечение информационной безопасности организации?

Отправными точками при выстраивании процесса обеспечения информационной безопасности организации являются:

• законы и стандарты в области информационной безопасности;
• структурные особенности компании и особенности управления компанией;
• информация о модели деятельности компании и среде ведения бизнеса;
• потребности организации в информационной безопасности;
• доступные ресурсы (человеческие, материально-технические, информационные, финансовые и т.д.).
• описание бизнес-процессов, разъяснения по их реализации и т.д.;
• информация, которая помогает контролировать успешность и эффективность деятельности по обеспечению информационной безопасности.

Эти пункты индивидуализируют деятельность по обеспечению ИБ организации. Они помогают понять:

• где находятся информационные активы, требующие защиты;
• где в структуре ведения бизнеса организации есть уязвимости, какие они;
• где и когда могут возникнуть угрозы информационной безопасности;
• какие действия могут совершать нарушители информационной безопасности;
• какие защитные меры (административно-организационные, технические и физические) могут потребоваться, какие из них будут наиболее эффективными.

 

Три принципа обеспечения информационной безопасности организации

Есть несколько основных принципов, при соблюдении которых деятельность по обеспечению ИБ организации будет наиболее эффективной и успешной. Во многих случаях при игнорировании этих принципов (хотя бы одного) работа по выполнению конкретных задач может быть либо выполнена не так, как планировалось, либо не выполнена вовсе. Перечислим принципы обеспечения ИБ организации:

Принцип 1. Руководство организации должно оказывать видимую и достаточную поддержку в обеспечении информационной безопасности, а также своевременно и в полной мере выполнять обязательства в этом направлении: например, от целеполагания до финансирования.

Принцип 2. Работники, осуществляющие деятельность по обеспечению информационной безопасности организации, должны понимать цели и задачи обеспечения ИБ организации. Также они должны уметь выстраивать и редактировать порядок реализации целей и задач, которые будут поддерживать компанию в рабочем состоянии. В случае проблем, ошибок или нарушений ответственные лица должны объяснять причины недопустимости таких действий, ссылаясь на внутренние документы организации, в которых закреплены такие правила.

Принцип 3. У всех работников организации должно быть правильное понимание политики информационной безопасности. Они должны быть обеспечены всем необходимым, чтобы найти ответы на свои вопросы самостоятельно. В трудных ситуациях они должны иметь возможность получать своевременную консультацию.

 

Классификация мер обеспечения информационной безопасности

В соответствии с ГОСТ Р 53114-2008 меры обеспечения информационной безопасности – это совокупность действий, которые направлены на разработку и (или) практическое применение способов и средств обеспечения информационной безопасности организации.

В каждой организации меры обеспечения информационной безопасности могут меняться в зависимости от:

• актуальности моделей угроз информационным системам;

• появления новых типов атак на инфраструктуру.

Все меры обеспечения информационной безопасности можно разделить на три основных типа.

Тип 1. Организационно-административные меры обеспечения информационной безопасности. К таким мерам относится разработка, внедрение и контроль исполнения локальных нормативных актов, организационно-распорядительной документации в сфере защиты информации: например, положение о коммерческой тайне или политика в области обработки персональных данных. Также к мерам этого типа будет относиться проведение обучающих семинаров и тренингов по информационной безопасности для сотрудников.

Тип 2. Физические меры обеспечения информационной безопасности. Чаще всего они включают в себя систему контроля и управления доступом на территории организации.

Тип 3. Программные и технические меры обеспечения информационной безопасности. Сюда можно отнести проектирование и внедрение средств защиты информации: межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа (например, таким средством является DLP-система Falcongaze SecureTower) и т.д.

Все меры обеспечения информационной безопасности организации содержатся в Приложении А к ГОСТ Р ИСО/МЭК 27001:2021. В соответствии с документом приведём их ключевые разделы (Схема 2).

Схема 2

Меры обеспечения информационной безопасности организации

 

Организация, которая стремится уделить достаточно внимания информационной безопасности, не должна ограничиваться лишь организационными мерами обеспечения ИБ. Отметим, что внедрение лишь этих мер не поможет обеспечить информационную безопасность компании на должном уровне. Чтобы защита корпоративных данных была эффективной, потребуется внедрение DLP – программного обеспечения, способного контролировать действия в сети организации, ликвидировать риски утечек данных и т.д. Чтобы оценить все возможности DLP-системы, установите бесплатную тестовую версию Falcongaze SecureTower.