Для создания на предприятии эффективной системы технической информационной безопасности требуется продуманный и последовательный подход. Процесс разработки подобных систем включает в себя следующие этапы:
- многосторонний анализ работающих в компании информационных ресурсов;
- подбор подходящей концепции кибербезопасности, которая соответствует специфичным особенностям и типу используемых в компании данных;
- интеграция необходимых, соответствующих рискам технических средств защиты;
- создание организационных мер защиты информации, которые будут соответствовать особенностям профессиональной деятельности организации.
Меры, которые будет принимать руководство компании в сфере технической информационной безопасности, должны соответствовать существующим нормативно-законодательным актам, стандартам, иначе в противном случае возможно возникновение административно-правовых споров. В связи с этим работники отдела информационной безопасности должны систематически проверять регламенты и требования ФСТЭК России и федерального законодательства №149, что позволит исключить допущение нарушений. Правовое соответствие деятельности компании в сфере технической информационной безопасности – основа, на которой должна выстраиваться вся система защиты данных.
Определение рисков, источников опасности
Одной из наиболее важных стадий формирования системы технической информационной безопасности является процесс, во время которого сотрудники ИБ-отдела компании или внешние специалисты должны изучить риски и определить конкретные источники опасности для компании. Без успешного прохождения этого этапа невозможно создать эффективную систему защиты данных организации.
После установления всех вероятных киберугроз, опасность утечки информации существенно снижается, но всё равно не будет равна нулю. Требуется предпринять следующие действия:
- составление списка оборудования, на котором есть конфиденциальные данные, учет всех существующих каналов связи (основных и вспомогательных, проводных и беспроводных);
- определение наиболее ответственных участков, разграничение доступа в помещения с установленным оборудованием, создание системы отслеживания за перемещением работников, третьих лиц по предприятию;
- составление списка документации и информационных массивов, техническую информационную безопасность которых надо обеспечить в первую очередь, установление уровня допуска, составление перечня доверенных пользователей;
- формирование службы информационной безопасности в качестве отдельного подразделения, в которую войдут ИБ-специалисты, программисты, системные администраторы (альтернатива – передача задач ИБ-службы на аутсорсинг).
Используемые методы технической информационной безопасности
Методики и способы, которые применяются для организации технической защиты данных, должны быть разработаны и внедрены с учетом особенностей профессиональной деятельности конкретной организации. Многие из внедряемых методов технической информационной безопасности являются универсальными и показывают высокий уровень эффективности функционирования в компаниях разного размера и сферы деятельности:
- криптозащита информации (шифрование);
- инсталляция и эксплуатация на компьютерном оборудовании файрволлов (межсетевых экранов);
- контроль событий, которые происходят внутри информационной системы (отслеживание попыток авторизации, взаимодействия с файлами, информацией);
- резервное копирование баз данных, операционных систем;
- применение электронной цифровой подписи (ЭЦП) в целях подтверждения авторства доверенного пользователя;
- использование smart-карт, цифровых ключей при работе системы допусков и ограничения перемещения сотрудников предприятия;
- формирование системы паролей, позволяющей эффективно идентифицировать и аутентифицировать работников компании.
Помимо описанных выше мер, настоятельно рекомендовано введение процедуры проверки и тестирования работников организации, которые располагают высоким уровнем допуска. Также рекомендовано присутствие сотрудников по кибербезопасности в помещениях, где выполняет обработка конфиденциальной информации.
Разные вариации требований по технической информационной безопасности и криптозащиты данных сформулированы в соответствующих государственных стандартах: 50922-2007, 51275-2007, 51624-2000, 52863-2007.