+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    13.12.2024

    Классы безопасности информационных систем

    Знаете ли вы, что нужно сделать, чтобы повысить уровень информационной безопасности вашего бизнеса? Многие руководители предприятий ставят перед собой задачу внедрить меры защиты, не имея четкого представления о классах безопасности, к которым нужно стремиться. В этой статье мы рассмотрим основные классы безопасности информационных систем.

    Далее мы подробно рассмотрим:

    1. Какова роль информационной безопасности на предприятиях?

    2. Классификации безопасности информационных систем

    3. Уровни и классы безопасности для информационных систем

    4. Другие международные стандарты

    5. Как DLP-система помогает поддерживать информационную безопасность? 

    Какова роль информационной безопасности на предприятиях?

    Одной из ключевых ролей информационной безопасности на предприятиях является защита конфиденциальных данных (далее — КД). Конфиденциальные данные могут включать в себя коммерческую тайну, сведения о клиентах, финансовую отчетность и другую чувствительную информацию, важную для работы организации. Внедряя меры безопасности для информационных систем, предприятия могут значительно сократить риски несанкционированного доступа или неправильного использования своих информационных активов.

    Помимо прочего, соблюдение мер информационной безопасности (далее — ИБ) позволяет предприятиям соответствовать требованиям контролирующих организаций. Так, например, во многих странах вопросы защиты персональных данных регулируются на государственном уровне. Несоблюдение таких требований может привести к юридической ответственности, штрафам и репутационному ущербу. И, наоборот, внедряя эффективные меры ИБ, компании могут гарантировать соблюдение предписаний — и тем самым избежать потенциальных юридических рисков и штрафов.

    Кроме защиты конфиденциальных данных и обеспечения соответствия нормативным требованиям, меры ИБ также помогают компаниям сохранять деловую репутацию. Утечка любых чувствительных данных из-за кибератаки или действий инсайдеров может нанести значительный ущерб репутации — и это приведет к потере доверия клиентов и доходов. 

    Помимо этого, меры ИБ также помогают предприятиям сохранять конкурентное преимущество. Внедряя эффективные меры защиты данных, компании могут оставаться конкурентоспособными и сохранять позиции на рынке. 

    Наконец, поддерживать высокий уровень ИБ особенно важно в условиях текущей геополитической ситуации. Крупные предприятия, телекоммуникационные сети, государственные организации, объекты критической информационной инфраструктуры подвергаются регулярным атакам со стороны киберкриминальных группировок и хактивистов.

    Совокупность мер и средств безопасности может быть уникальной для каждой информационной системы, при этом задача остается единой — обеспечение целостности, доступности, конфиденциальности данных. Поэтому для оценки устойчивости и защищенности конфиденциальной информации было разработано множество классификаций. Некоторые из них получили статус международных. 

    Опираясь на описанные в таких классификациях требования, тысячи организаций по всему миру выстраивают архитектуру собственных информационных систем. 

    Классификации безопасности информационных систем

    В этом материале под информационной системой предприятия (далее — ИС) мы будем понимать совокупность программных и аппаратно-технических средств, предназначенных для хранения, обработки и передачи информации, циркулирующей внутри организации.Классы безопасности информационных систем

    В основу большинства известных классификаций легла система, предложенная в «Критериях определения безопасности компьютерных систем», предложенных в 1983 году Минобороны США. Документ, также называемый «Оранжевой книгой», был предназначен для определения требований безопасности к ИС, используемым в военных целях, включая аппаратное и программное обеспечение.

    Тем не менее, некоторые положения «Оранжевой книги» устарели. В первую очередь это связано с активным развитием информационных технологий, цифровизации экономики и общества. Чтобы исправить неточности, которые возникли вследствии усложнения большинства современных информационных систем, и адаптировать положения к новым условиям, был разработан стандарт ISO/IEC 15408. Стандарт определяет требования к системам защиты и оценивает их. Он описывает структурированный подход к оценке безопасности продуктов и систем, включая программное обеспечение, технические средства — и системы в целом.

    Далее мы подробно рассмотрим международные стандарты в области описания типов защиты ИБ. 

    Уровни и классы безопасности для информационных систем

    В «Оранжевой книге» описаны 4 уровня  информационной безопасности(D, C, B, A), разделенные на классы от самого низкого к высокому: C1, C2, B1, B2, B3, A1. 

    Классы безопасности информационных систем

    Таким образом, классов ИБ всего шесть. Разберем их подробнее.

    Уровень D — нулевой

    Уровень D назначается ИС, безопасность которых была оценена, при этом была признана неудовлетворительной.

    Уровень C — Дискреционная защита

    Уровень безопасности С подразумевает внедрение практики дискреционного управления доступами. Это значит, что пользователи могут получить допуск только к тем данным, на которые им предоставлено разрешение. Уровень C разделен на два класса: C1 и C2.

    Класс безопасности C1

    Для класса безопасности C1 необходимо реализовать следующие меры:

    • внедрить дискреционную модель управления доступом
    • обязать пользователей проходить идентификацию и аутентификацию;
    • создать изолированную среду для доверенной вычислительной базы — для защиты от внедрения извне;
    • регулярно проводить аудит эффективности и устойчивости средств, выбранных для обеспечения ИБ;
    • мониторить эффективность и устойчивость инфраструктуры ИС с использованием специализированного ПО;
    • задокументировать критерии работы ИС, а для пользователей написать регламенты.

    Класс C2

    В дополнение к требованиям класса C1 класс C2  подразумевает введение мер ответственности для пользователей за нарушение правил, принятых на предприятии. Для этого необходимо:

    • четко определить права доступа к конфиденциальной информации предприятия для каждого пользователя или целой группы;
    • журналировать каждое действие персонала при работе с информационными ресурсами: файлами, папками, документами, сервисами, приложениями и проч.;
    • использовать программу учета, позволяющую идентифицировать каждого автора операции с информационным ресурсом;
    • обеспечивать надежный уровень защиты журнала данных об активности пользователей за рабочими станциями;
    • регулярно тестировать выбранные средства и меры защиты, в том числе направленные на защиту журнала активности пользователей.

    На заметку! Проводить аудит выбранных мер безопасности следует не реже 1 раза в 6 месяцев.

    Уровень B — Мандатная защита

    Уровень B подразумевает принудительное управление доступом на основе классификации информации и допуска пользователя. Основными требованиями этого уровня являются использование меток безопасности, а также создание и внедрение формальной или неформальной политики безопасности

    Класс B1

    Чтобы соответствовать классу B1, ИС должны соответствовать всем требованиям, предъявляемым к системам класса C2, и, помимо этого, поддерживать систему меток конфиденциальности.

    Чтобы назначить ИС класс B1, необходимо:

    • присвоить метки конфиденциальности каждому пользователю или ресурсу;
    • реализовать систему принудительного управления доступами для всех пользователей и ко всем данным;
    • регулярно проводить аудит ИС и системы безопасности для выявления и устранения уязвимостей;
    • привести архитектуру системы к соответствию модели, описанной в принятой в организации формальной или неформальной политике безопасности.

    Класс B2

    За обеспечение ИБ отвечают администраторы или офицеры безопасности. Помимо этого, необходимо предоставить инструменты управления конфигурацией системы.

    В дополнение к мерам класса B1 необходимо:

    • выявить и контролировать скрытые каналы утечки информации;
    • инвентаризировать все информационные активы предприятия и классифицировать их по степени конфиденциальности;
    • мониторить и регистрировать все события ИБ, при этом доступ к информации о событиях необходимо ограничить;
    • еще на этапе разработки, а затем и на этапе эксплуатации ИС контролировать изменения в любых  высокоуровневых спецификациях, файлах, исходном коде и проч.;
    • разработать и внедрить официальную политику безопасности;
    • регулярно тестировать систему на устойчивость к учеткам, взлому, внедрениям, а также оценивать действенность выбранных мер ИБ. 

    Класс B3

    Для соответствия данному классу необходимо контролировать все виды доступа субъектов к объектам. Помимо этого следует:

    • выявлять и анализировать все инциденты информационной безопасности, оперативно пресекать попытки нарушения правил, описанных в политике ИБ;
    • структурировать систему ИБ таким образом, чтобы исключить из нее подсистемы, не отвечающие за реализацию защитных мер, то есть систему не следует делать избыточно сложной;
    • создать условия для быстрого восстановления работы системы в случае сбоев — без ослабления защиты;
    • назначить роль администратора безопасности, выделить ему права доступа к журналам событий и инцидентов, а также критически важных компонентов системы, при этом другие сотрудники не могут получить такие права;
    • внедрить средства оповещения ответственных лиц о возникновении событий, важных для безопасности системы.

    Устойчивость системы класса B3 необходимо продемонстрировать регуляторам. 

    Уровень A — Проверенная защита

    Уровень A представлен классом A1 также называется «Верифицируемая безопасность». Для соответствия  дополнительно к требованиям класса B3 необходимо:

    • протестировать систему на устойчивость к внедрению и утечкам информации согласно требованиям, которые предъявляются к государственным ИС;
    • управлять настройками на протяжении всех стадий жизненного цикла ИС, а также элементов, которые связаны с обеспечением безопасности;
    • создать документы, подтверждающие соответствие архитектуры информационной системы уровню безопасности A.
    • Это наивысший класс безопасности для ИС. 

    Другие международные стандарты

    Наряду с «Оранжевой книгой» в 1991 году были выдвинуты «Европейские критерии безопасности информационных технологий», получившие распространение в странах Западной Европы. Некоторые положения из «Европейских критериев» соответствуют положениям из «Оранжевой книги».

    В Российской Федерации стандарты по оценке безопасности ИС устанавливает Федеральная служба по техническому и экспортному контролю (ФСТЭК). Приказ ФСТЭК №17 устанавливает классификации для безопасности государственных информационных систем.

    Согласно Приказу №17, все организационные и технические меры защиты любых чувствительных сведений должны быть направлены на исключение несанкционированного доступа к данным, их копированию, изменению и уничтожению.

    Степень защиты ИС классифицируют по наличию следующих мер:

    • аутентификация и авторизация пользователей и информационных активов;
    • внедрение системы разграничения доступа для персонала;
    • ограничение программной среды;
    • контроль доступа к физическим носителям информации и обеспечение их безопасности;
    • мониторинг и журналирование событий ИБ;
    • для защиты сведений назначается отдел или должностное лицо;
    • организации, осуществляющие услуги по обеспечению защиты данных, должны иметь соответствующие лицензии в соответствии с ФЗ от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности»;
    • использование специализированного ПО (антивирусов, систем защиты от вторжений, файрволов и проч.), все используемые средства защиты должны пройти сертификацию;
    • все средства, используемые для защиты ИС, должны иметь соответствующие сертификаты;
    • регулярный аудит устойчивости ИС и выбранных мер защиты;
    • обеспечение доступности данных и проч.

    Введение подобной классификации позволяет установить единые стандарты и требования как для разработчиков, так и для заказчиков. 

    Как DLP-система помогает поддерживать информационную безопасность?

    Установив DLP-систему Falcongaze SecureTower, вы сможете:

    • значительно сократить риски утечки конфиденциальных данных по вине сотрудников;
    • контролировать все известные каналы коммуникации;
    • вести журнал активности пользователей, архивировать собранные данные и использовать в случаях, когда нужно провести расследование инцидента;
    • получать уведомления о нарушениях правил информационной безопасности;
    • блокировать передачу конфиденциальных данных.

    DLP-система SecureTowerПомимо этого, внедрив DLP-систему Falcongaze SecureTower, вы сможете контролировать активность сотрудников за рабочими станциями, в том числе сотрудников, работающих удаленно.

    При установке SecureTower нет необходимости изменять конфигурацию сети, настройки почтового и прокси-сервера. Система не нуждается в подключении к интернету — все перехваченные данные сохраняются на серверах организации.

    Изучите возможности системы бесплатно в пробной 30-дневной версии.

    В заключение

    Безопасность вашей информационной системы может соответствовать любому из классов, которые были описаны в этом материале. Выберите класс, который наилучшим образом соответствует потребностям вашей организации.

    Важные публикации

    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Система защиты информации: принципы, методы, преимущества
    Система защиты информации: принципы, методы, преимущества
    Система защиты информации (СЗИ) – это комплекс мер и технологий, деятельность которых направлена на предотвращение утечки защищаемой информации из-за несанкционированного доступа, случайности, либо злонамеренности сотрудника. К основным методам относятся DLP и SIEM системы. В конце прописан порядок внедрения системы информационной безопасности в организацию.
    Средства и системы контроля и управления доступом
    Средства и системы контроля и управления доступом
    Безопасность организации или предприятия – одна из основных задач руководителя. Чтобы сократить риски реальной угрозы возникновения чрезвычайной ситуации, во многих случаях следует обеспечивать физическую защиту и охрану проектируемых или функционирующих объектов. Сегодня такие задачи возлагают на специальные средства и системы контроля и управления доступом (СКУД). В статье специалисты аналитического центра Falcongaze SecureTower собрали основную информацию, которую необходимо знать руководителю о СКУД.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации