Защита информации, что делать? Введение.

Из архива, дата первой публикации установлена очень приблизительно.

Всем привет! В этот раз я хочу рассказать о том, чему меня учили в институте, о том, что не знают большинство руководителей организаций. О построение комплексной защиты информации на предприятии.

В наше время сложилась ситуация, когда защиту информации преподносят как соответствие требованиям законодательства и подзаконных нормативных актов, что пишет регулятор. Часто такие вещи выглядят как готовый комплект документов с назначенным ответственным, что уже не плохо, но и не хорошо. Ведь у нас просто есть бумажки для проверки, от которых эффект в реальной жизни минимален, а защита осуществляется за счет сил отдела информационных технологий. Я ни в коем случае не хочу задеть специалистов данной области, но это не их забота описывать процессы организации, оценивать риски и выстраивать комплексный подход к информационной безопасности. Я ни разу не видел администратора информационных систем пишущего Политику защиты конфиденциальной информации, или Политику обработки персональных данных.

Так вот, в начале работ всегда требуется понять какие данные подлежат защите, сколько будет стоить потеря этих данных и от кого мы будем их защищать. Ведь применяемые меры по сохранению конфиденциальности определенного перечня данных должны быть адекватными (минимум затрат, максимум эффекта, и главное не принести раздражение сотрудникам от ваших нововведений).  Как узнать что важно? Изучить бизнес процессы организации, познакомиться с коллегами (руководителями направлений и ответственными сотрудниками), узнать что ценно для них и почему. Пообщались, собрали все в единый документ — предварительный перечень конфиденциальной информации в организации. Обсудили созданный перечень с коллегами, при необходимости внесли правки и полезли дальше.

Продолжаем анализ, определяем точки хранения конфиденциальной информации и лиц имеющих к ним доступ. Определяем наш периметр защиты. Определяем внешний контур защиты (периметр) в виде стен граничащих с улицей, дверей, заборов. Определяем внутренний контур защиты (периметр) в виде тех же стен, но уже вокруг точек хранения конфиденциальной информации рабочих мест сотрудников имеющих доступ к этой информации. Так мы увидим где проходят наши границы влияния и сможем накидать будущий список требуемых мер. Нарисовали.

Организации бывают разные, иногда это маленький офис с хранением данных в дата-центре, предприятие занимающие этаж\здание со своими вычислительными мощностями, организация может иметь офисы в разных городах, или же все пишут продукт на «удалёнке» иногда встречаясь в арендуемом конференц-зале. После определения перечня конфиденциальной информации, точек их хранения, лиц, имеющих доступ, и периметра организации мы уже должны понимать в какую организацию мы попали, и как мы будем работать дальше. Теперь вспоминаем базовые методы защиты информации:

• Организационные меры: законы, политики, регламенты, инструкции, перечни, журналы.
• Инженерно-технические сооружения: стены, заборы, двери, шлагбаумы, турникеты. Все что препятствует физическому проникновению.
• Программно, программно-технические средства: средства защиты от НСД, антивирусы, базы данных, средства доверенной загрузки, видеонаблюдение, криптография, средства резервирования и т.д. и т.п.

Кто-то со мной может поспорить, мол есть еще морально-этические меры защиты и добавит что-то еще. Ок, есть. Я считаю что это все относиться к организационным мерам защиты. Мы, безопасники, вместе с кадровиками и руководителями направлений, должны рассказать, обучить и контролировать выполнение правил работы с конфиденциальной информацией. Что так же влияет на моральный дух коллектива, и меняет взаимодействие с внешними контрагентами. Тут нельзя «борщить» и нужно быть постоянно в контакте с коллегами. Безопасность не должна раздражать и быть избыточной, или совсем топорной. Меня смешит, когда прилетает письмо по электронной почте, с подписью «вся информация в данном письме является конфиденциальной». Конфиденциальность информации — свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право. Каким образом сохраняется указанное свойство информации при передаче по открытым каналам связи без использования криптографических алгоритмов? Не понимаю.

Мы потратили уйму времени на сбор вышеуказанных данных и у нас уже есть некоторый результат проведенных работ:

1.     Мы познакомились с коллегами и узнали ответственных сотрудников.

2.     Мы определили перечень конфиденциальной информации.

3.     Мы определили точки хранения и места обработки конфиденциальной информации.

4.     Мы определили перечень сотрудников имеющих доступ к конфиденциальной информации.

5.     Мы определили контур защиты (наш периметр).

6.     Мы узнали какие меры применяются для защиты конфиденциальной информации в организации и как обрабатывается эта информация.

Теперь нам нужно выявить недостатки мер защиты, а может избыточность применяемых мер. Понять,всем ли сотрудникам, из составленного перечня, требуется, для выполнения должностных обязанностей, доступ к конфиденциальной информации. Определить кто же нам может угрожать, кому интересна информация которой мы обладаем, и как злоумышленник может получить к ней доступ.

Продолжение следует…