Попробовать бесплатно
    27.02.2023

    Обеспечение информационной безопасности организации

    Как обезопасить информацию в своей организации? Это непростая задача, которая требует комплексного решения. В этой статье мы представляем вам основные положения, подготовленные специалистами аналитического центра Falcongaze SecureTower. Они помогут вам понять, что такое информационная безопасность, какие цели и этапы она имеет, а также какие принципы важно учитывать в процессе решения задач по обеспечению безопасности информации. 

    Как обеспечить информационную безопасность в организации?

    Информационная безопасность организации (ИБ организации) – это состояние, когда информация и ресурсы организации надежно защищены от незаконного доступа, изменения, утечки и других опасностей в информационной среде. Согласно ГОСТ Р 53114-2008 для достижения этого состояния информация интеллектуальная собственность и инфраструктура организации должны соответствовать трем требованиям безопасности:

    1. Конфиденциальность. Информация не раскрывается и недоступна посторонним.
      Целостность. Информация не подвергается незаконному изменению.
      Доступность. Авторизованные пользователи имеют доступ к информации без излишних задержек.

    Чтобы защитить организацию от информационных угроз, необходимо проводить специальную деятельность, которая называется обеспечением информационной безопасности организации (ОИБ организации).

    Она включает в себя такие задачи, как:

    • Устранение внутренних и внешних угроз для информации организации.
    • Обеспечение физической и технической защиты информационных ресурсов.
    • Исследование и оценка потенциальных угроз и уязвимостей.
    • Создание и соблюдение правил и норм безопасности.
    • Повышение уровня осведомленности сотрудников по вопросам безопасности.
    • Отслеживание и решение возникающих проблем и инцидентов.

    общие цели обеспечения безопасностиИнформационная безопасность (ИБ) – это важный аспект деятельности любой организации, который требует постоянного внимания и контроля. Для того чтобы защитить информационные активы от различных угроз, организация должна следовать определенной последовательности действий, которая состоит из следующих этапов:

    • Анализ объектов, определение информационных активов.
    • Идентификация потенциальных угроз информационным активам.
    • Обнаружение слабых мест в рабочих процессах.
    • Оценка рисков организации в случае нарушения безопасности информационных активов.
    • Разработка политики и процедур, регламентирующих обеспечение информационной безопасности.
    • Согласование и реализация мер по обеспечению информационной безопасности.
    • Проведение регулярного аудита по обеспечению информационной безопасности. 

    Этапы обеспечения информационной безопасности

     

    Как организация может защитить свою информацию?

    Организация, которая хочет защитить свою информацию от несанкционированного доступа, должна следовать стандарту ГОСТ Р 53114-2008. Этот стандарт определяет, какие меры нужно принимать для создания и/или реализации методов и средств защиты информации в организации. Меры защиты информации не являются статичными, а должны адаптироваться к изменяющейся ситуации.

    Организация должна учитывать два фактора:

    • Реальность угроз для информационных систем.
    • Новизну атак на инфраструктуру.

    Информационная безопасность основывается на четырех типах мер, которые применяются в разных сферах деятельности.

    Тип 1. Административные меры. Они направлены на повышение осведомленности и ответственности сотрудников в теме защиты информации. Примером административных мер являются составление политики безопасности компании, программы безопасности, правовая и документальная подготовка введения режима коммерческой тайны на предприятии.

    Политика безопасности – это документальное фиксирование подхода организации к осуществлению мер по обеспечению информационной безопасности предприятия. Политика безопасности составляется после этапа анализа рисков и учитывает это исследование проблемных зон компании, а также специфику деятельности, человеческие и финансовые ресурсы, доступные к реализации мер ИБ.

    Как правило документ «Политика безопасности» состоит из разделов: вводной части (фиксирование проблематики защиты информации), организационной (фиксирование участников, задействованных подразделений и ответственных лиц), штатной (ранжирование должностей по влиянию на ИБ, фиксирование мер дополнительного обучения), фиксирование мер физической защиты, фиксирование мер разграничения доступа к информации, фиксирование программных мер и мер управления компьютерами и компьютерными сетями, фиксирование мер обеспечения непрерывной работы компании, юридическими мерами.

    Программа безопасности – это конкретные практические меры осуществления ИБ, является частью политики безопасности.

    Коммерческая тайна – любые ценные сведения компании о технологических, технических, организационных, продуктовых, маркетинговых, финансовых и др. решениях, которые влияют напрямую либо косвенно на доход компании.

    Тип 2. Физические меры. Они обеспечивают физическую защиту информации от несанкционированного доступа. Сюда можно отнести все решения по контролю физического доступа на территорию или к источнику хранения информации, запирающие устройства, системы видеонаблюдения, механические приспособления противодействия утечки информации (дополнительная звукоизоляция, защитные экраны и т.д.) и другое. Примером таких мер является установка системы контроля и управления доступом (СКУД) на территории организации.

    Тип 3. Программно-технические меры. Они предназначены для защиты информации от внешних и внутренних угроз в сети. Одни их самых распространенных мер, поскольку сегодня наиболее популярно проникновение в цифровой контур безопасности информации, нежели в физический. К ним можно отнести следующие: межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа к информации (DLP-система Falcongaze SecureTower), криптография, SIEM-системы. А также комплексные программно-технические решения противодействия проникновению (электронные замки с идентификаторами, системы биометрической идентификации и т.д.).

    Тип 4. Юридические меры. Они регулируют нормативно-правовые аспекты информационной безопасности. К ним относятся лицензирование и сертификация средств ИБ, нормативно-правовая база, регулирующая информацию, ее хранение, передачу, обмен, доступ, местные НПА по ИБ, оформление документации по защите информации и другое.

    Организация должна соблюдать все меры информационной безопасности, перечисленные в Приложении А к ГОСТ Р ИСО/МЭК 27001:2021. Это стандарт, регламентирующий требования к системе менеджмента информационной безопасности. Приложение А содержит следующие основные разделы: 

    Меры обеспечения информационной безопасности организации

    Как обеспечивать информационную безопасность в организации?

    Информационная безопасность (ИБ) – это важный аспект успешного бизнеса. Чтобы обеспечить надежную защиту информации в компании, необходимо учитывать следующие факторы:

    • Законодательство и стандарты, которые регламентируют требования к ИБ.
    • Структура и управление компанией, которые определяют роли и ответственности сотрудников в области ИБ.
    • Модель бизнеса и среда, в которой работает компания.
    • Потребности компании в защите информации, которые зависят от целей, стратегий и ценностей бизнеса.
    • Ресурсы, которые используются для обеспечения ИБ.
    • Бизнес-процессы, которые описывают, как осуществляется деятельность компании и как контролируется ИБ.
    • Информация, которая позволяет оценивать, насколько эффективны и успешны меры по обеспечению ИБ.

    Информационная безопасность – это важная составляющая любого бизнеса. Чтобы обеспечить ее, необходимо проанализировать следующие пункты индивидуализации:

    • Расположение и характеристики информационных активов, которые нуждаются в защите.
    • Слабые места в организационной структуре бизнеса, которые могут эксплуатироваться злоумышленниками.
    • Потенциальные источники и способы реализации угроз информационной безопасности.
    • Возможные действия нарушителей информационной безопасности и их последствия.
    • Необходимые и эффективные меры предотвращения и противодействия угрозам информационной безопасности.

    пункты индивидуализации помогают понять

    Выводы

    Чтобы добиться высокого уровня информационной безопасности (ИБ) организации, важно соблюдать несколько основных принципов. Если их игнорировать (даже частично), то качество работы по ИБ может снизиться. Вот эти принципы:

    Принцип 1. Руководство организации должно демонстрировать свою заинтересованность и поддержку в вопросах ИБ, а также неукоснительно выполнять все свои обязательства в этой области: от формирования целей до обеспечения ресурсами.

    Принцип 2. Сотрудники, занятые ИБ организации, должны иметь ясное представление о своих обязанностях и целях, связанных с защитой информации. Они также обязаны уметь организовывать и адаптировать свои действия, чтобы гарантировать стабильную работу компании. В случае появления проблем, ошибок или нарушений они должны давать аргументированные объяснения, ссылаясь на внутренние правила организации.

    Принцип 3. Все работники организации должны быть осведомлены и согласны с политикой ИБ. Они должны иметь возможность получать всю необходимую информацию, чтобы самостоятельно решать свои вопросы. В трудных ситуациях должны иметь доступ к профессиональной поддержке.

    Информационная безопасность – важный аспект деятельности любой организации. Однако недостаточно просто принять организационные меры. Без специального программного обеспечения, такого как DLP, защита корпоративных данных будет неэффективной. DLP – это решение, которое позволяет отслеживать и предотвращать утечки данных в сети организации. Чтобы узнать больше о DLP-системе и ее возможностях, скачайте бесплатную тестовую версию Falcongaze SecureTower.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации