Организационные меры защиты информации

• Зачем защищать данные
• Что понимается под информационной безопасностью
• Основные угрозы безопасности данных
• Принципы защиты информации
• Меры обеспечения информационной безопасности

Зачем защищать данные

Защита данных является одной из важных задач, так как данные — это ценный актив. Неправомерный доступ и раскрытие важных сведений повлекут за собой нарушение конфиденциальности и целостности информации, а последствия могут быть критическими для компании, вплоть до остановки бизнес-процессов. Кроме того, утечка сведений о конкретных людях может привести к краже денег с их банковских счетов, использованию данных в мошеннических целях. В случае утечек данных, за которые предусмотрена ответственность, организации грозят штрафы и судебные иски.

Что понимается под информационной безопасностью

Информационная безопасность (ИБ) — это защита информации и обслуживающей ее инфраструктуры от несанкционированного доступа (НСД), утечки, искажения и уничтожения данных. Сюда же входят и меры по предотвращению, выявлению и устранению последствий угроз. Главная цель ИБ — обеспечить конфиденциальность, целостность и доступность информации.

Конфиденциальность и доступность означает, что информация предоставляется только тем, кому разрешен доступ.

Целостность — защита данных от неправомерных изменений.

Основные угрозы безопасности данных

Выделяют три основных группы угроз.

Угрозы конфиденциальности — несанкционированный доступ к данным: взлом информационных ресурсов, использование уязвимостей ПО, их кража или копирование, перехват информации (взлом электронной почты, мессенджеров, перехват СМС-сообщений). Такая ситуация возникает, если злоумышленник получит доступ к системе.

Угрозы целостности — неправомерное изменение информации (подмена реальной информации на фиктивную для получения выгоды) или ее уничтожение (например, в результате сбоев системы). К этому может привести как преднамеренное действие злоумышленника, так и ошибка в работе.

Угрозы доступности — действия злоумышленников, в результате которых добросовестные пользователи не могут получить доступ к данным. Например, атака типа «отказ в обслуживании» приводит к нарушению штатного режима функционирования информационной системы в результате подложных запросов.

Также угрозы ИБ бывают внешние и внутренние, умышленные и случайные, естественные и искусственные.

Принципы защиты информации

Под принципами ЗИ понимают набор правил, которые указывают, как обрабатывают и защищают персональные данные. Перечислим их:

• Легитимность, справедливость и прозрачность — данныех получены законно и открыто.
• Целевая ограниченность — данные используют для конкретных целей, например, банки собирают личную информацию о клиентах для ведения финансовых операций, и эта информация не должна передаваться третьим лицам.
• Минимизация данных — собирают сведения, необходимые для достижения указанных целей.
  Точность — данные должны быть точными и актуальными, опечатка в данных может привести к проблемам с госорганами или банками.
• Ограничение хранения — информация хранится ограниченное время, необходимое для достижения конкретных целей. Дальнейшее хранение данных увеличивает риск утечки.
• Целостность и конфиденциальность — при обработке информации необходимо обеспечить ее безопасность, включая защиту от НСД, случайной потери, уничтожения или повреждения.
• Ответственность — сотрудник, ответственный за обработку данных, обязан соблюдать эти принципы. Для протоколирования процесса обработки данных устанавливается специальное ПО, ведутся журналы учета.

В каждой компании выбирают наиболее подходящие ей меры обеспечения ИБ.

Меры обеспечения информационной безопасности

Различают организационные и технические меры ИБ.

Организационные меры защиты информации (ЗИ) — обучение персонала, определение правил доступа, статусов и обязанностей пользователей, способов профилактики компьютерных преступлений, восстановления данных и проверки безопасности. Сюда входит разработка и поддержание системы управления ИБ, проведение регулярных аудитов безопасности и комплекса мер по предупреждению инцидентов безопасности.

Все эти меры нужны, чтобы обеспечить охрану объектов информатизации (помещений с оборудованием: серверами, компьютерами, предназначенными для работы с данными, коммуникационными узлами),; сохранность и конфиденциальность информации и предотвратить несанкционированное использование данных.

Для реализации оргмер в компании создают необходимые условия: выделяют помещения, закупают необходимое оборудование, устанавливают пропускной режим к объектам информатизации. А также разрабатывают и вводят локальные документы, устанавливающие порядок работы с защищенной информацией.

Основу таких документов составляют федеральные, региональные и ведомственные нормативно-правовые акты. В них определены порядок разработки и внедрения политики ИБ, принципы, стандарты и требования к работе с информационными ресурсами, обучение персонала взаимодействию с конфиденциальными данными, периодичность проведения плановых проверок оценки информационных систем и средств.

Однако на деле соблюдать все правила непросто. Необходимо знать много нормативно-правовых актов по ИБ и определить их для своей организации самостоятельно, ведь в законе не перечислены документы по обеспечению ИБ. Для этого нужно разбираться в юридической сфере и в информационной безопасности.

Приведем примерный перечень документов по ЗИ:

• Положения: о защите персональных данных и правилах использования внутренней ИТ-инфраструктурой.
• Распоряжения: о назначении ответственных лиц, правилах хранения и допуска к носителям данных.
• Должностные инструкции специалистов и ответственных за ПО.
• Список лиц с доступом к важной информации.
• Правила: отождествления пользователя, установки ПО, резервного копирования.
• Журналы учета: съемных носителей, технических средств обработки и передачи информации, проведения инструктажей, тестирования средств ЗИ, профилактических мероприятий.

Кроме того, сейчас ощущается острая нехватка специалистов в области ИБ: по данным «СерчИнформ», 66% организаций РФ считают, что ИБ-специалистов не хватает, а 12% организаций понимают, что кадровый голод только усиливается.

Технические меры ЗИ зависят от технических возможностей организации и уровня сотрудников. Для защиты информации компании могут использовать шифрование данных при передаче и хранении, системы аутентификации и авторизации для контроля доступа, антивирусное ПО.

Оптимальное решение — использовать комплексное программное обеспечение для контроля действий пользователей, информационных потоков и событий системы.

Staffcop Enterprise — это отечественное ПО, которое решает такие задачи, как:

• поиск утечек информации;
• контроль сотрудников;
• расследование инцидентов ИБ;
• контроль и блокировка съемных носителей;
• учет рабочего времени сотрудников;
• удаленное администрирование.

Мы предоставляем 15 дней на бесплатное тестирование. Оцените полный функционал Staffcop Enterprise прямо сейчас.