Как компании обеспечить информационную безопасность: внедряем ИБ-продукты
В рамках предыдущей статьи, в которой говорилось о шести главных признаках того, что вашей компании нужен аудит информационных систем, эксперт ALSI, Алмас Ескелдиев, рассказывает о внедрении программных продуктов, обеспечивающих информационную безопасность предприятия.
Информационная и физическая безопасность — как раз тот случай, когда цель оправдывает средства. Игнорирование реалий обходится компаниям очень дорого. Рассмотрим основные пункты, которые необходимы для обеспечения информационной безопасности компании.
Аудит информационных систем на предмет информационной безопасности
Комплексный аудит информационных систем предприятия на предмет рисков и уязвимостей как со стороны внешних, так и со стороны внутренних угроз подразумевает поиск слабых мест в информационных системах предприятия, анализ соответствия существующим стандартам в области ИБ. По завершению аудита предлагаются рекомендации по формированию политик предприятия в области ИБ. Формально это относится к части комплексного аудита информационных систем.
Анализ рисков для информационных систем предприятия
Данный вид работ во многом пересекается с аудитом информационных систем, представленным в двух версиях — внешнем и внутреннем. Но анализ рисков менее формальная процедура, которая базируется, в том числе, на анализе со стороны социальной инженерии — то есть, угроз со стороны "внутреннего периметра" предприятия. Именно сотрудники компании являются на сегодня главной целью злоумышленников ввиду низкой стоимости целевой атаки с их участием. По завершению анализа предлагаются рекомендации в части формирования устойчивой культуры внутри предприятия, направленной на противодействие атакам, связанным с социальной инженерией.
Внедрение системы безопасности: основные этапы
От того, насколько тщательно компания подходит к изучению текущего состояния информационной системы и ее ресурсов, зависит разработка стратегии улучшения нынешней ситуации и соответствие современным требованиям ИБ.
Алгоритм внедрения ИБ-системы:
- Сбор описания объектов на программном и инфраструктурном уровне в архитектуре ИС, определение основных характеристик.
- Сбор требований к наиболее оптимальной форме ИС при учете ограничений, связанных с человеческими, временными, финансовыми параметрами.
- Сбор необходимой документации, ознакомление сотрудников с положением и их обучение основам ИБ.
- Работа по внедрению технико-программных средств для исключения возникновения инцидентов ИБ и повышения эффективности реакций на них.
Такой алгоритм внедрения ИБ-системы может выполняться локальными силами организации — специалистами ДИТ, а для трудновыполнимых участков стоит обратиться к услугам аутсорсинговых консультантов.
Организационная сторона вопроса
Информационная безопасность компании невозможна без утверждения единой методики обеспечения защиты данных. Политика согласовывается топ-менеджментом и содержит более детальные и развернутые задачи ИБ в организации.
В ней должны быть такие пункты, как:
- Описание целей обеспечения безопасности, принципы информационной защиты.
- Расположение информации по степени ее важности для компании.
- Перечень сотрудников, которые имеют доступ к базе данных на конкретных условиях.
- Основные правила взаимодействия с компьютерами и комплектующими, флешками и др.
- Определение ответственности за нарушение политики безопасности.
Техническая сторона вопроса
Существует ряд ПО, помогающих формировать эффективную систему информационной безопасности:
- Антивирусы.
- Файрволы (межсетевые экраны).
- Фильтры e-mail почты с функциями защиты от вирусов и спама.
- Криптографическая защита.
- Мониторинг корректной работы инфраструктуры.
- DLP-система (специализированное ПО для защиты компании от утечки конфиденциальной информации).
Использование столь простых средств позволяет создавать ИБ предприятия на достаточно высоком уровне с гарантированной системой защиты и отсутствием инцидентов.