Обеспечение безопасности обрабатываемой информации – одна из первостепенных задач ИТ- и ИБ-подразделений органов власти и коммерческих организаций. Автоматизация управления процессами информационной безопасности существенно снижает трудозатраты на выполнение требований законодательства, позволяет быстро оценить достаточность и корректность применения программных и аппаратных средств защиты информации, что сокращает расходы на их приобретение и обновление. Но перед тем, как приступить к защите информации, рекомендуем хорошо подготовиться. Заместитель генерального директора «Кейсистемс – Безопасность» М. Сорокин поделился своими советами, с чего стоит начать путь к защите информации.
1. Найдите и прочитайте свежие статьи или посмотрите обучающие вебинары экспертов по теме защиты информации, в которых собраны и проанализированы различные требования законодательства (https://proglib.io/p/security-digest, https://www.youtube.com/@alfa-doc).
2. Проведите небольшой самостоятельный аудит, чтобы ответить на вопросы:
− что вы должны защищать? (какая информация, которую вы обрабатываете, относится к защищаемой: например, к персональным данным);
− где и в каком виде обрабатывается эта информация? (на каких рабочих станциях, серверах, в каких программных продуктах, на каких ваших сайтах);
− кто из ваших сотрудников работает с этой информацией?
− откуда вы получаете эту информацию и куда (в какие организации) она может отправляться?
3. Критически посмотрите на результаты аудита и постарайтесь избавиться от бесполезной для вашей деятельности информации.
Важно! Если вы обрабатываете бесполезную для вашей деятельности информацию, которая по закону относится к защищаемой, вы тратите лишние деньги на её защиту.
4. Разберитесь с количеством ваших информационных систем, в которых обрабатывается защищаемая информация.
ГОСТ Р 53622-2009 определяет информационно-вычислительную систему как совокупность данных (или баз данных), систем управления базами данных и прикладных программ, функционирующих на вычислительных средствах как единое целое для решения определённых задач. Именно этот принцип можно использовать при определении количества и состава ваших информационных систем. Система может состоять из нескольких серверов, автоматизированных рабочих мест, сетевых и периферийных устройств, различных операционных систем, сред виртуализации, одного или нескольких прикладных программных продуктов. Если их применение объединяется общей целью – это одна информационная система.
Важно! Правильное разделение ваших программных и аппаратных ресурсов на информационные системы позволит вам минимизировать расходы на их защиту и облегчит решение вопросов разграничения прав доступа сотрудников к различным системам.
5. Пригласите ИБ-интегратора.
Выполнив предыдущие рекомендации, вы сможете определить границы проводимых работ и ускорить работы ИБ-интегратора, а также более компетентно принять результаты.
В рамках мероприятий ИБ-интегратора автоматизируйте всё, что касается организационных мер по защите информации (разработку документации, журналов, планов, отчётов, уведомлений, согласий и т.д.). Это позволит вам вместо получения разового результата в виде документов, которые быстро устаревают, получить собственный инструмент и организовать постоянный процесс защиты информации. При этом не стесняйтесь тестировать предложенные вам ИБ-интегратором инструменты управления процессами информационной безопасности и технические средства защиты информации.
Успехов в защите информации! Ставьте лайки, чтобы вдохновлять своих коллег в борьбе за безопасность!