Система защиты информации (СЗИ)  — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности организации. Как и  большинство технических процессов, СЗИ нужно создавать и  поддерживать в актуальном состоянии. Можно сказать, что это не сиюминутное действие, а постоянный процесс по улучшению и совершенствованию системы безопасности. Защита может быть эффективной, если она находится в состоянии развития.

О том, как происходит построение системы защиты информации, и о ее аттестации рассказывает руководитель проекта отдела защиты информации Noventiq Belarus Наталья Кийко.

Комплекс мероприятий по защите информации включает:

• Аудит системы защиты информации.
• Проектирование и создание СЗИ.
• Аттестация СЗИ.

1 этап. Аудит системы защиты информации

Аудит системы защиты информации — это наиболее эффективный способ получения независимой оценки уровня защищенности компании, который подразумевает анализ внедренных практик, политик, процессов, используемых средств защиты информации в текущий момент времени. Для проведения этой процедуры с каждой компанией у нас работает команда экспертов — специалисты по защите информации и инженеры.

Специалисты по защите информации изучают и анализируют разработанные локальные правовые акты, внедренные в компании политики. Мы проверяем и инспектируем структуру и перечень информационных систем, изучаем их взаимосвязь друг с другом, анализируем и аудируем перечень персональных данных, которые обрабатываются в компании. Проводим анализ распределения ролей, ответственности и обязанностей в области информационной безопасности между специалистами заказчика.

Инженеры проводят аудит корпоративной сети передачи данных, серверного оборудования, анализ системы виртуализации заказчика, проверяют корректность настройки антивирусного обеспечения, межсетевых экранов, инфраструктурных сервисов и так далее.

Результат аудита — подробный отчет, в котором мы описываем, какое оборудование и ПО развернуто в компании, какие у него есть недостатки. При проведении работ специалисты руководствуются законодательством в сфере защиты информации Республики Беларусь. Кроме того, мы предоставляем заказчикам рекомендации по совершенствованию системы защиты, отдельное описание мер по ликвидации обнаруженных проблем, подробный анализ выполнения требований законодательства, помощь в классификации обрабатываемой информации и отнесения к классу типовых систем.

2 этап. Проектирование и создание системы информационной защиты

На стадии проектирования СЗИ информационной системы разрабатываются основные проектно-технические решения, формируется технический состав систем, определяются номенклатура применяемого оборудования и используемых материалов, места установки отдельных элементов системы.

Оптимальный расчет проекта сводит затраты на расходные материалы, оборудование и работы к минимуму. Грамотно составленная документация — гарантия быстро и качественно выполненных работ.  

На этапе проектирования определяются требования к  системе защиты информации в техническом задании на создание системы защиты информации. Также на данном этапе разрабатывается политика информационной безопасности компании, схема защиты информации. Мы индивидуально подходим к каждому заказчику, учитывая специфику и запросы его бизнеса. Например, если заказчик хочет дополнительно усилить свой внешний периметр или закупить дополнительные средства защиты информации, мы учитываем данные средства в техническом задании.

При необходимости на этапе создания СЗИ заказчик закупает средства защиты информации. По запросу возможно осуществление монтажа и наладки закупленных средств защиты информации нашими специалистами. В ходе проведения работ осуществляется ознакомление специалистов заказчика с новым оборудованием и программным обеспечением. При необходимости более глубокого их изучения у нас работает собственный учебный центр. Нашими инженерами проводится проверка корректности выполнения внедряемыми средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с элементами ИС.

Также нами разрабатываются необходимые ЛПА в развитие требований и положений Политики ИБ, контролируется реализация организационных мер защиты информации в целях выполнения требований, которые доводятся до сведения субъектов ИС под подпись.

3 этап. Аттестация системы защиты информации

Можно сказать, что аттестация — это повторный аудит, только уже новой, созданной системы защиты информации на предмет выполнения установленных законодательством требований по защите информации в соответствии с программой и методикой аттестации. Аттестация предусматривает комплексную оценку СЗИ в реальных условиях эксплуатации ИС. Мероприятия аттестации проводятся до полного завершения всех проверок вне зависимости от промежуточных результатов испытаний.

В том числе на данном этапе проводится сканирование системы на наличие уязвимостей, и в случае обнаружения уязвимостей выполняются рекомендации производителя сканера по их устранению.

По белорусскому законодательству, аттестат системы защиты информации действителен в течение не более 5 лет. Но по своему опыту скажу, что это просто гигантский срок для ИТ-сферы. Поэтому каждый руководитель компании и владелец бизнеса должен понимать, что после завершения аттестации он несет ответственность перед регулирующими органами, своими сотрудниками, акционерами за информационную безопасность компании и поддержание СЗИ в актуальном состоянии для противостояния современным угрозам.

Сколько времени занимает аудит, проектирование и создание СЗИ

Срок аттестации информационной системы компании, начиная с проведения первого аудита и заканчивая непосредственно получением аттестата, всегда отличается в зависимости от специфики и особенностей бизнеса, его масштаба.

Например, аттестация компании, в которой до 10 рабочих мест, не имеющих подключений к открытым каналам передачи данных, займет около 3 недель. В то же время аттестация СЗИ на крупном предприятии с более чем тысячей пользователей может занять до 9 месяцев или дольше. Ведь чаще всего после проведения аудита компания закупает дополнительное оборудование. А сроки поставок, например, межсетевого экрана, сегодня могут варьироваться от 3 месяцев и дольше.

Поэтому я рекомендую любой компании начинать готовиться к аттестации заблаговременно. Хотя бы за год до истечения предыдущего аттестата следует провести аудит, чтобы заранее выявить существующие проблемы в системе защиты информации, проконтролировать поддержание СЗИ в актуальном состоянии и выполнение своими сотрудниками функций по технической защите информации, своевременность осуществления обновлений средств защиты информации, оценить необходимость в приобретении или модернизации аппаратно-программных средств.

Какие проблемы выявляются у компаний при аудите

1. Отсутствие либо неработающий межсетевой экран.

Как это ни парадоксально, но у многих белорусских компаний отсутствуют межсетевые экраны, либо они есть, но не поддерживаются производителями или отсутствуют необходимые подписки и лицензии. Как итог — компания вообще не защищена от внешних атак.

2. Отсутствие контроля за пользователями.

В этом случае речь идет не об отслеживании, чем сотрудник занимается в рабочее время, а именно о соблюдении им правил информационной безопасности. Например, частота смены пароля, его сложность, соблюдение локальных правовых актов по информационной безопасности и т. д.

3. Не разработаны инструкции по информационной безопасности.

Всем известен простой принцип — «Что не запрещено, то разрешено». Именно по нему работает большинство сотрудников. И если нет никаких документов в компании по информационной безопасности, то не стоит потом пенять на сотрудника, что он перешел по незнакомой ссылке в письме или другим образом поставил под удар информационную безопасность бизнеса.

4. Нет специалиста по информационной безопасности.

Это простительно для небольших компаний, но когда на предприятии с тысячами сотрудников обязанности по обеспечению информационной безопасности вешают на системных администраторов, чаще всего это ничем хорошим не заканчивается.

5. Поддержание СЗИ в актуальном состоянии.

Как уже отмечалось выше, информационная безопасность — это постоянный процесс. Но многие тот же аудит и аттестацию проводят лишь для галочки. В то же время ежедневно злоумышленники изобретают все более ухищренные способы для проникновения в корпоративную сеть, и большинство компаний оказываются к этому не готовы.

6. Персонал.

При функционировании системы защиты информации необходима тщательная организация текущей работы с персоналом, включающая периодические мероприятия по повышению уровня грамотности сотрудников в области защиты информации, проведение семинаров и тренингов.

Работник является не только основным звеном, но и потенциальной угрозой, так как чаще несанкционированный доступ и утечка информации обусловлены злоумышленными действиями или же небрежностью пользователей и персонала. Эти факторы практически невозможно исключить или локализовать при помощи аппаратных и программных средств, криптографии и физической защиты.

Если у вас остались вопросы по аудиту, проектирвоанию, созданию или аттестации системы защиты информации, можете обращаться к специалистам Noventiq Belarus:
+375 (17) 336 55 95

Еще больше про информационную безопасность бизнеса мы рассказываем в нашей группе в LinkedIN. Кроме того, там публикуем анонсы мероприятий и экспертные интервью. Подписывайтесь!

Также можете оставлять свои вопросы в форме ниже: