Попробовать бесплатно
    13.02.2023

    Защита информации и система защиты информации в компании

    Защита информации в организации – это задача, которая требует серьезного подхода от руководителей. Они осознают, что спорадические и хаотичные меры не гарантируют надежной защиты. Информационная безопасность должна быть комплексной и эффективной системой. Эксперты аналитического центра Falcongaze SecureTower поделились своим опытом о том, как построить такую систему и на чем сосредоточиться. В статье они дали ответы на следующие вопросы:

    • Что такое защита информации? Какие ее виды существуют?
    • Какие риски несет организация, если не заботится о защите информации?
    • Что входит в систему защиты информации? Какие аспекты нужно учитывать при создании данной системы?
    • Как обеспечить надежную и постоянную работу системы защиты информации в организации?
    • Каким требованиям должна соответствовать система защиты информации?
    • Какие правила необходимо соблюдать при разработке системы защиты информации? 
    • Как внедрить систему защиты информации в организации?

     

    Что такое защита информации?

    Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Это определение дано в официальном документе ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». 

     

    ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

    Давайте разберемся, что это значит.

    Комплекс мер по защите информации от утечки обеспечивает ее конфиденциальность и целостность. Это означает, что информация остается доступной только для тех, кто имеет на нее право, и не может быть использована против ее владельца. Для достижения этой цели необходимо:

    1. Предотвращать разглашение информации, то есть ее распространение среди лиц, которые не имеют к ней доступа по закону или договору.
    2. Предотвращать несанкционированный доступ к информации, то есть ее просмотр, копирование, изменение или удаление без разрешения владельца или ответственного лица.
    3. Исключать (затруднять) получение информации заинтересованными субъектами, то есть теми, кто активно ищет информацию, чтобы извлечь из нее выгоду или нанести ущерб.

    Защита информации необходима для того, чтобы организация не пострадала от непредвиденных или вредоносных событий, связанных с ее данными. Какие именно риски и угрозы существуют для информации, каждая организация должна определить самостоятельно, исходя из своих целей и задач. Чтобы эффективно защитить информацию, недостаточно просто установить антивирус или пароль. Нужно разработать комплексный план защиты, который будет охватывать все аспекты работы с информацией: какие меры защиты применять, в каком объеме и последовательности, как контролировать их исполнение, как реагировать на инциденты и т.д.  

     

    Зачем нужна системная защита информации?

    Посмотрим на результаты опроса, который провели среди экспертов по информационной безопасности в конце 2022 года. Опрос касался того, как они решают проблемы с нарушениями информационной безопасности. В ходе опроса выяснилось следующее:

    1. Примерно 48% специалистов начинают защищать информацию после того, как ее украли, испортили, исказили. 
    2. Из этих действий по защите информации большая часть (74%) делается однократно и не повторяется (Схема 1).
    3. В течение полугода после нарушения информационной безопасности в почти каждой второй (46%) организации случаются новые нарушения.
    4. В каждой седьмой (17%) организации нарушения информационной безопасности происходят даже во время внедрения мер защиты после предыдущего нарушения.

    Из этого видно, что бессистемная защита информации не работает и опасна. Необходимо подходить к этому вопросу комплексно и заблаговременно.  

     

    Схема 1: Соотношение системной и бессистемной защиты информации в организациях в 2022 году

    Соотношение системной и бессистемной защиты информации в организациях в 2022 году

     

    Эти данные позволяют сделать вывод, что бессистемная защита информации широко распространена и неэффективна, а её результативность сложно спрогнозировать. В связи с этим лица, ответственные за информационную безопасность в организации, должны стремиться отказаться от хаотичной и точечной защиты информации и работать в направлении создания системы защиты информации.

     

    Что такое система защиты информации?

    Определение дано в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».  
    Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
     
    Существует два уровня системы защиты информации: государственный и объектовый. Нас больше интересует объектовый уровень, который относится к организациям и предприятиям. Давайте подробнее рассмотрим, что включает в себя понятие «система защиты информации» и какие компоненты она содержит. 
     
    1. Органы и исполнители системы защиты информации
    За систему защиты информации отвечает руководитель организации, который определяет ее цели, задачи и принципы. За конкретные направления и функции системы защиты информации отвечает руководитель соответствующего подразделения, координирующий деятельность специалистов и исполнителей. Специалисты и исполнители – это те, кто непосредственно реализует системообразующие решения, принятые на вышестоящих уровнях. Они выполняют различные операции по защите информации, такие как шифрование, аутентификация, контроль доступа, мониторинг и т.д. 

     

    2. Техника защиты информации 
    Техника защиты информации – это набор различных средств, которые помогают защищать информацию от утечки, кражи, подделки и других угроз. Среди них выделяют:
    Средства физической защиты, которые предотвращают несанкционированный доступ к информации. 
    Криптографические средства защиты, которые шифруют информацию, делая ее непонятной для посторонних.
    Средства контроля защиты, которые проверяют, насколько хорошо работает система защиты. Например, аудит, тестирование, мониторинг и т.д.
    Средства и системы управления, которые координируют и регулируют процессы защиты информации.

     

    3. Объекты защиты информации
    Объекты защиты информации – это все то, что содержит или использует информацию, которая нуждается в защите. К ним относятся:
    Территория, на которой расположена организация или предприятие.
    Здание или сооружение, в котором находится информация.
    Помещение, в котором установлено оборудование для обработки информации.
    Информация сама по себе и информационные ресурсы, которые хранят, передают или обрабатывают информацию.
     

    Векторы организации любой системы защиты информации

    Система защиты информации должна соответствовать определенным критериям, которые зависят от целей ее защиты. Эти критерии можно выразить в виде общих векторов организации системы защиты информации (Схема 2). Они универсальны и подходят для любой сферы деятельности.
     
    Схема 2: Векторы организации системы защиты информации и их характеристика

    Векторы организации системы защиты информации и их характеристика

     

    Как же сделать систему защиты информации эффективной и надежной?

    Это требует постоянного внимания и усилий со стороны организации. Необходимо обеспечивать систему защиты информации по нескольким направлениям деятельности, таким как:
    1. Правовой элемент. Наличие специальных документов, которые регулируют порядок работы с информацией и предусматривают ответственность за ее нарушение. 
    2. Организационный элемент. Он предполагает создание специализированных служб, которые занимаются охраной, контролем и анализом информации в организации. 
    3. Аппаратный элемент. Он основан на применении технических устройств, которые защищают информацию от несанкционированного доступа, копирования, изменения или уничтожения. Такие устройства могут быть разными в зависимости от типа и объема информации. 
    4. Информационный элемент. Он состоит из данных, которые необходимы для функционирования системы защиты информации. Это могут быть статистические, параметрические или исследовательские данные, характеризующие состояние и уровень защиты информации.
    5. Программный элемент. Он включает в себя программные средства, которые обеспечивают мониторинг, обработку и защиту информации от различных угроз. Это могут быть расчетные, статистические или учетные программы, отслеживающие потенциальные каналы утечки и воздействия на информацию.
    6. Математический и лингвистический элемент. Он заключается в использовании соответствующих методов для формирования расчетов и выводов, которые позволяют объективно и точно оценить защиту информации. Это могут быть математические или лингвистические модели, алгоритмы или формулы, определяющие степень защиты информации.
    7. Нормативно-методический элемент. Он подразумевает соблюдение организацией всех правил и норм, которые устанавливаются внешними органами и службами. Это могут быть законы, постановления, инструкции или рекомендации, регламентирующие защиту информации.

     

    Требования к системе защиты информации в организации

    Что нужно для того, чтобы защитить информацию в организации? Какие элементы должны быть в системе защиты информации? Давайте рассмотрим основные требования (Схема 3) и их характеристики.
    • Эффективность. Система защиты информации должна обеспечивать полное и качественное выполнение своих задач. Если система не справляется со своей функцией, то она теряет смысл своего существования.
    • Централизация управления. Система защиты информации должна подчиняться единому центру управления и контроля. Это позволит избежать хаоса, противоречий и несогласованности в действиях разных элементов системы. Например, если каждый отдел или служба будет самостоятельно регулировать свою деятельность в рамках системы, то это может привести к конфликтам, ошибкам и утечкам информации.
    • Планирование. Система защиты информации должна базироваться на четком и детальном плане действий. Это поможет всем участникам системы (отделам, службам, направлениям) понимать свою роль и ответственность в общем процессе. Планирование также поможет определить приоритеты, ресурсы и сроки выполнения задач.
    • Точность. Система защиты информации должна четко определять, какая информация является объектом защиты. Если какая-то информация остается без должного внимания и контроля, то она может стать уязвимой для внешних или внутренних угроз.
    • Активность. Система защиты информации должна не только реагировать на возникающие угрозы, но и прогнозировать, предупреждать их. Для этого системе необходимо иметь средства, которые позволят анализировать и блокировать потенциальные источники опасности.
    • Надежность. Система защиты информации должна использовать такие методы и средства, которые гарантируют надежный контроль за всеми каналами передачи и хранения информации. Также система должна предотвращать любые попытки несанкционированного доступа к информации.
    • Индивидуальность. Система защиты информации должна учитывать специфику и особенности каждой организации. Системе нужно адаптироваться к используемым рабочим инструментам и бизнес-процессам, а также к уровню риска и требованиям законодательства.
    • Гибкость. Система защиты информации должна легко модифицироваться и дополняться. А также иметь простую и удобную архитектонику и конфигурацию, которая позволит вносить изменения в соответствии с меняющимися условиями и потребностями. Если система защиты информации будет жесткой и сложной, то она может потерять свою эффективность.

     

    Схема 3: Требования к системе защиты информации

    Требования к системе защиты информации

     

    Какие принципы должна соблюдать система защиты информации в организации: советы экспертов

     Информация – это важный актив для любой организации. От того, насколько хорошо она защищена, зависят ее конкурентоспособность и безопасность. Поэтому нужно создать систему защиты информации, которая будет соответствовать следующим принципам:
    1. Простота и экономичность. Система защиты информации не должна быть излишне сложной и требовать больших затрат на техническое обслуживание. Если система становится слишком громоздкой и дорогой, то нужно подумать о ее улучшении.
    2. Понятность и удобство. Система защиты информации должна быть понятной и удобной для пользователей. Если система вызывает затруднения и недовольство у сотрудников, то это может привести к ошибкам и нарушениям в ее работе.
    3. Согласованность и совместимость. Система защиты информации должна быть согласована и совместима с основными направлениями деятельности организации. Если система мешает или замедляет выполнение ключевых задач, то это может негативно сказаться на эффективности и рентабельности организации.
    4. Гибкость и индивидуализация. Система защиты информации не может быть реализована как одно решение для всех. Ее регламентация должна учитывать разные уровни доступа, права и обязанности пользователей. Также система должна учитывать специфику и особенности каждой организации, ее рабочих инструментов и бизнес-процессов.
    5. Контроль и отказоустойчивость. Система защиты информации должна иметь механизмы контроля и отказоустойчивости. Это значит, что система должна предусматривать возможность отключения защиты в определенных случаях (например, по запросу руководителя). Однако отключение защиты одного элемента не должно влиять на защиту других элементов.

     

    Как внедрить систему защиты информации?

    Если вы хотите создать систему защиты информации в своей организации, то вы можете воспользоваться опытом компании Falcongaze. Мы знаем, как защищать информацию в разных сферах деятельности и с разным числом сотрудников. Узнайте, как эффективно решать задачи по защите конфиденциальных данных. С помощью DLP-систему Falcongaze SecureTower, вы сможете обеспечить информационную безопасность своего бизнеса.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации