С чего начать внедрение ИБ для бизнеса

Рано или поздно практически любая компания сталкивается с проблемой безопасности информационных систем. В этих целях создается подразделение ИБ, которое и поддерживает должный уровень защиты, и в том числе, выполняет правила, рекомендованные Центром интернет-безопасности (CIS).

Рассмотрим алгоритм, по которому строится информационная безопасность компании, и основные рекомендации для бизнеса любого масштаба.

Уровни внедрения ИБ

Очень часто подход к информационной безопасности в компании делится на несколько уровней – от базового к организационному, или от минимального к максимальному:

• Минимальное внедрение ИБ считается обязательным для любого бизнеса. Оно подразумевает применение основных мер для защиты от массовых атак.
• Расширенное внедрение предполагает применение дополнительных практик. Такой уровень требуется для бизнеса со сложной иерархической структурой и несколькими профилями безопасности.
• Максимальное внедрение предполагает снижение рисков и уязвимостей «до нуля». Используется для крупных корпораций и социально значимых компаний, которые работают с большим количеством пользователей.

Поддержка руководства

Инициатива создания отдела ИБ может исходить от руководства, в результате не возникнет никаких проблем с согласованием действий. Однако на деле подразделение создается стихийно: во многих компаниях уже присутствует служба безопасности, которая не понимает, зачем требуется еще один отдел и что входит в технические меры защиты. В этом случае может возникнуть ряд сложностей с внедрением всех необходимых требований.

Инициатива создания защиты обычно исходит от рядовых специалистов, то есть «снизу вверх». Если руководство организации не до конца понимает необходимость мер по обеспечению информационной безопасности бизнеса, то подобный подход будет малоэффективен. Даже при создании соответствующего отдела есть риск, что вопросами безопасности будут заниматься по остаточному признаку.

При внедрении технологии «сверху вниз» в процесс оказываются втянуты топ-менеджеры и владельцы, что приносит большую пользу и эффективность. Руководство смотрит на ИБ с позиции бизнеса, поэтому тщательно оценивает все риски и разрабатывает необходимые процедуры.

Если инициатива защиты исходит «снизу», то лучше всего заручиться поддержкой руководства, а при организации необходимых процедур придерживаться принципа «сверху вниз».

Состав рабочей группы

Следующий обязательный шаг – определение сотрудников, которые будут принимать активное участие в создание ИБ.

Бизнес часто предпочитает отдать задачи по организации информационной безопасности на аутсорсинг. Такой подход довольно распространен, но имеет свои «подводные камни». Например, внешние специалисты не всегда могут оценить важность и ценность тех или иных ресурсов для компании. Поэтому в рабочей группе обязательно должен быть сотрудник фирмы, который проконтролирует все этапы создания ИБ.

Анализ рисков

Управление рисками – одна из важнейших стадий подготовки технической защиты компании. На этом этапе необходимо провести ряд работ:

• Определить информационные активы, которые представляют наибольшую ценность.
• Выявить, какие требования нужно выполнить для соблюдения законодательства.
• Проанализировать имеющиеся уязвимости с точки зрения информационной безопасности.
• Выявить возможные угрозы для бизнеса.
• Оценить риски и возможный ущерб.
• Определить источники угроз.
• Подготовить отчет для презентации руководству компании.

Подобный подход позволит определить угрозы и их возможный ущерб для компании, а после этого – рассчитать вероятность наступления тех или иных событий. Подробный отчет также станет незаменимым для определения перечня выполняемых технических мер.

Организационные мероприятия

Внедрение системы обеспечения информационной безопасности потребует разработки политики, инструкций и стандартов. В документах должна быть зафиксирована ответственность сотрудников за нарушение установленных правил и разглашение конфиденциальной информации.

Важно понимать, что ни одна система ИБ не может существовать без соответствующей документальной базы. При этом разработанные регламенты должны полностью отражать все принимаемые в компании меры и периодически обновляться.

Способы защиты информации

После выполнения всех подготовительных мер потребуется выбор методов обеспечения ИБ, а затем – их внедрение в действующую ИТ-инфраструктуру.

Каждое средство защиты данных оценивается с точки зрения эффективности и затратности. Стоит понимать, что прибыль в этом случае будет косвенной – речь идет о минимизации определенных рисков.

Потребуется учесть следующие параметры:

• Затраты на приобретение и внедрение.
• Необходимость в обучении специалистов.
• Угрозы, с которыми можно бороться с помощью этой меры.

Комплекс мер для ИБ

Подробнее расскажем, какие меры в обязательном порядке потребуется ввести, чтобы обеспечить минимальный уровень безопасности. Начать стоит с инвентаризации и учета всех устройств. Предполагается применение следующих решений:

• Создание детального реестра устройств, на которых хранятся корпоративные данные. Обязательно указание сетевого и аппаратного адреса, имя владельца и т. д.
• Регулярный пересмотр и обновление реестра (каждые полгода или чаще).
• Разработка мер реагирования на любые неавторизованные устройства (например, удалять из сети или помещать в карантин).

Отдельно потребуется выполнить инвентаризацию и учет ПО. Эта процедура включает в себя:

• Создание реестра используемых ПО с подробными характеристиками.
• Регулярное обновление реестра (не реже раза в полгода).
• Проверка авторизованного ПО на поддержку вендором.
• Алгоритм реагирования на неавторизованное ПО.

Обязательным пунктом информационной безопасности успешного электронного бизнеса является защита данных. На минимальном уровне ИБ от компании потребуется:

• Наладить процесс управления всеми данными.
• Создать реестр учета сведений.
• Настроить специальные списки для управления доступом к документам.
• Создать реестр  конфиденциальных документов.
• Разработать списки пользователей с указанием уровня доступа к системе.
• Использовать меры для сохранности данных.
• Определить уровень допустимых потерь.
• Настроить безопасное уничтожение данных.
• Использовать инструменты шифрования.

Компания обязана использовать защищенные конфигурации для устройств и ПО, а также настроить параметры управления учетными данными.

Отдельные меры потребуются для управления контролем доступами. К их числу относят:

• Выбор способов предоставления доступа.
• Особенности отзыва прав доступа.
• Применение многофакторной аутентификации.

Обязательной мерой является непрерывное управление уязвимостями. Оно может включать в себя создание отдельных документов по управлению уязвимостями, использование автоматического управления патчами ОС и прикладного ПО.

Управление информационной безопасностью бизнеса включает в себя ряд мер по сбору журналов аудита и их хранению в надежном хранилище. Кроме этого, от компании потребуется наладить процесс управления журналами и использовать логирование для всех корпоративных устройств.

Обеспечение ИБ подразумевает под собой комплекс мер по защите электронной почты и браузера. Компании рекомендуется:

• Использовать приложения и браузеры последних версий, с полной поддержкой вендора.
• Применять сетевую фильтрацию URL.
• Использовать фильтрацию DNS.

Защита системы от вредоносных программ должна выполняться с помощью специальных программ и приложений. Необходимо настроить автоматическое обновление сигнатур защиты и запретить автозапуск съемных устройств.

Отдельные меры при создании системы ИБ касаются восстановления данных. Что стоит предпринять:

• Определить приоритеты при восстановлении данных и меры защиты резервных копий.
• Настроить автоматическое резервное копирование.
• Предпринять меры для защиты данных для восстановления.

Еще один немаловажный аспект безопасности информационных систем – это управление сетевой инфраструктурой. Потребуется следить за актуальностью инфраструктуры, проверять наличие последних версий ПО и продумать безопасную сетевую архитектуру.

Также важно выполнять тестирование на возможное проникновение в систему, настроить централизованные оповещения о событиях безопасности и внедрить сетевое IDS-решение.

Многие компании дополнительно используют инструменты для фильтрации трафика между сетевыми сегментами и управления доступом для удаленных устройств. Однако на начальном уровне безопасности такие меры могут и не потребоваться.

Доведение информации до заинтересованных лиц

На следующем этапе потребуется донести сведения по информационной безопасности организации до всех пользователей. Важно объяснить сотрудникам, как работает система, какие правила им потребуется соблюдать и т. д.

Компания может понести огромные убытки, если меры по ИБ не будут исполняться на 100%. Поэтому каждый специалист фирмы должен владеть основами информационной безопасности и знать о регламенте действий в любой непредвиденной ситуации.

Мониторинг и оценка

После внедрения всех необходимых мер работа над системой не прекращается. Потребуется постоянный мониторинг и оценка результатов ИБ. Важно понять, изменился ли уровень технической защиты в лучшую сторону, какие угрозы остались без внимания и нет ли критических ошибок, которые потребуют срочного устранения. Все процедуры выполняются циклично, система постоянно совершенствуется, проводится обучение новых сотрудников и анализ инцидентов.

Остались вопросы об информационных технологиях и безопасности бизнеса? Специалисты нашего дата-центра Xelent готовы ответить на них!

Защищенное облако 152 ФЗ

Защищенное облако 152 ФЗ – ИТ-инфраструктура, предназначенная для создания информационных систем персональных данных (ИСПДн), соответствующих требованиям федеральных законов.

Частное облако с управлением через vCloudDirector

Простая, удобная и надежная интеграция облачной инфраструктуры в IT-инфраструктуру компании с глубокими индивидуальными настройками.

Размещение серверов (colocation)

Мы советуем размещать сервера на ru-площадках, находящихся в регионе, где работает ваша компания. Это нужно для максимального качества связи. Наши клиенты могут воспользоваться хостингом для размещения серверов в ЦОД Санкт-Петербурга и Москвы.