+375 17 336-55-95
info@iqdata.by
  • Учебный центр
  • Интернет-магазин
  • Контакты
    • 09.01.2025

    Построение современной системы защиты информации в компании

    Система защиты информации (СЗИ)  — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности организации. Как и большинство технических процессов, СЗИ нужно создавать и  поддерживать в актуальном состоянии. Можно сказать, что это не сиюминутное действие, а постоянный процесс по улучшению и совершенствованию системы безопасности. Защита может быть эффективной, если она находится в состоянии развития.

    О том, как происходит построение системы защиты информации, и о ее аттестации рассказывает руководитель проекта отдела защиты информации iqData Наталья Кийко.

    Комплекс мероприятий по защите информации включает:

    • Аудит системы защиты информации.
    • Проектирование и создание СЗИ.
    • Аттестация СЗИ.

    1 этап. Аудит системы защиты информации

    Аудит системы защиты информации — это наиболее эффективный способ получения независимой оценки уровня защищенности компании, который подразумевает анализ внедренных практик, политик, процессов, используемых средств защиты информации в текущий момент времени. Для проведения этой процедуры с каждой компанией у нас работает команда экспертов — специалисты по защите информации и инженеры.

    Специалисты по защите информации изучают и анализируют разработанные локальные правовые акты, внедренные в компании политики. Мы проверяем и инспектируем структуру и перечень информационных систем, изучаем их взаимосвязь друг с другом, анализируем и аудируем перечень персональных данных, которые обрабатываются в компании. Проводим анализ распределения ролей, ответственности и обязанностей в области информационной безопасности между специалистами заказчика.

    Инженеры проводят аудит корпоративной сети передачи данных, серверного оборудования, анализ системы виртуализации заказчика, проверяют корректность настройки антивирусного обеспечения, межсетевых экранов, инфраструктурных сервисов и так далее.

    Результат аудита — подробный отчет, в котором мы описываем, какое оборудование и ПО развернуто в компании, какие у него есть недостатки. При проведении работ специалисты руководствуются законодательством в сфере защиты информации Республики Беларусь. Кроме того, мы предоставляем заказчикам рекомендации по совершенствованию системы защиты, отдельное описание мер по ликвидации обнаруженных проблем, подробный анализ выполнения требований законодательства, помощь в классификации обрабатываемой информации и отнесения к классу типовых систем.

    2 этап. Проектирование и создание системы информационной защиты

    На стадии проектирования СЗИ информационной системы разрабатываются основные проектно-технические решения, формируется технический состав систем, определяются номенклатура применяемого оборудования и используемых материалов, места установки отдельных элементов системы.

    Оптимальный расчет проекта сводит затраты на расходные материалы, оборудование и работы к минимуму. Грамотно составленная документация — гарантия быстро и качественно выполненных работ.  

    На этапе проектирования определяются требования к  системе защиты информации в техническом задании на создание системы защиты информации. Также на данном этапе разрабатывается политика информационной безопасности компании, схема защиты информации. Мы индивидуально подходим к каждому заказчику, учитывая специфику и запросы его бизнеса. Например, если заказчик хочет дополнительно усилить свой внешний периметр или закупить дополнительные средства защиты информации, мы учитываем данные средства в техническом задании.

    При необходимости на этапе создания СЗИ заказчик закупает средства защиты информации. По запросу возможно осуществление монтажа и наладки закупленных средств защиты информации нашими специалистами. В ходе проведения работ осуществляется ознакомление специалистов заказчика с новым оборудованием и программным обеспечением. При необходимости более глубокого их изучения у нас работает собственный учебный центр. Нашими инженерами проводится проверка корректности выполнения внедряемыми средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с элементами ИС.

    Также нами разрабатываются необходимые ЛПА в развитие требований и положений Политики ИБ, контролируется реализация организационных мер защиты информации в целях выполнения требований, которые доводятся до сведения субъектов ИС под подпись.

    3 этап. Аттестация системы защиты информации

    Можно сказать, что аттестация — это повторный аудит, только уже новой, созданной системы защиты информации на предмет выполнения установленных законодательством требований по защите информации в соответствии с программой и методикой аттестации. Аттестация предусматривает комплексную оценку СЗИ в реальных условиях эксплуатации ИС. Мероприятия аттестации проводятся до полного завершения всех проверок вне зависимости от промежуточных результатов испытаний.

    В том числе на данном этапе проводится сканирование системы на наличие уязвимостей, и в случае обнаружения уязвимостей выполняются рекомендации производителя сканера по их устранению.

    По белорусскому законодательству, аттестат системы защиты информации действителен в течение не более 5 лет. Но по своему опыту скажу, что это просто гигантский срок для ИТ-сферы. Поэтому каждый руководитель компании и владелец бизнеса должен понимать, что после завершения аттестации он несет ответственность перед регулирующими органами, своими сотрудниками, акционерами за информационную безопасность компании и поддержание СЗИ в актуальном состоянии для противостояния современным угрозам.

    Сколько времени занимает аудит, проектирование и создание СЗИ

    Срок аттестации информационной системы компании, начиная с проведения первого аудита и заканчивая непосредственно получением аттестата, всегда отличается в зависимости от специфики и особенностей бизнеса, его масштаба.

    Например, аттестация компании, в которой до 10 рабочих мест, не имеющих подключений к открытым каналам передачи данных, займет около 3 недель. В то же время аттестация СЗИ на крупном предприятии с более чем тысячей пользователей может занять до 9 месяцев или дольше. Ведь чаще всего после проведения аудита компания закупает дополнительное оборудование. А сроки поставок, например, межсетевого экрана, сегодня могут варьироваться от 3 месяцев и дольше.

    Поэтому я рекомендую любой компании начинать готовиться к аттестации заблаговременно. Хотя бы за год до истечения предыдущего аттестата следует провести аудит, чтобы заранее выявить существующие проблемы в системе защиты информации, проконтролировать поддержание СЗИ в актуальном состоянии и выполнение своими сотрудниками функций по технической защите информации, своевременность осуществления обновлений средств защиты информации, оценить необходимость в приобретении или модернизации аппаратно-программных средств.

    Какие проблемы выявляются у компаний при аудите

    1. Отсутствие либо неработающий межсетевой экран.

    Как это ни парадоксально, но у многих белорусских компаний отсутствуют межсетевые экраны, либо они есть, но не поддерживаются производителями или отсутствуют необходимые подписки и лицензии. Как итог — компания вообще не защищена от внешних атак.

    2. Отсутствие контроля за пользователями.

    В этом случае речь идет не об отслеживании, чем сотрудник занимается в рабочее время, а именно о соблюдении им правил информационной безопасности. Например, частота смены пароля, его сложность, соблюдение локальных правовых актов по информационной безопасности и т. д.

    3. Не разработаны инструкции по информационной безопасности.

    Всем известен простой принцип — «Что не запрещено, то разрешено». Именно по нему работает большинство сотрудников. И если нет никаких документов в компании по информационной безопасности, то не стоит потом пенять на сотрудника, что он перешел по незнакомой ссылке в письме или другим образом поставил под удар информационную безопасность бизнеса.

    4. Нет специалиста по информационной безопасности.

    Это простительно для небольших компаний, но когда на предприятии с тысячами сотрудников обязанности по обеспечению информационной безопасности вешают на системных администраторов, чаще всего это ничем хорошим не заканчивается.

    5. Поддержание СЗИ в актуальном состоянии.

    Как уже отмечалось выше, информационная безопасность — это постоянный процесс. Но многие тот же аудит и аттестацию проводят лишь для галочки. В то же время ежедневно злоумышленники изобретают все более ухищренные способы для проникновения в корпоративную сеть, и большинство компаний оказываются к этому не готовы.

    6. Персонал.

    При функционировании системы защиты информации необходима тщательная организация текущей работы с персоналом, включающая периодические мероприятия по повышению уровня грамотности сотрудников в области защиты информации, проведение семинаров и тренингов.

    Работник является не только основным звеном, но и потенциальной угрозой, так как чаще несанкционированный доступ и утечка информации обусловлены злоумышленными действиями или же небрежностью пользователей и персонала. Эти факторы практически невозможно исключить или локализовать при помощи аппаратных и программных средств, криптографии и физической защиты.

    Решения и услуги
    Облачные решения и сервисы безопасности Облачные решения и сервисы безопасности Системная интеграция Системная интеграция Управляемые услуги Управляемые услуги Разработка Разработка Обучение Обучение
    Интернет-магазин

    Другие статьи

    Все новости
    Платформа DION выходит на рынок Беларуси
    Платформа DION выходит на рынок Беларуси
    Партнёрство предусматривает локальное развертывание DION на облачных мощностях iqData и создание центра компетенций по продукту.
    19.11.2025
    Комплексная информационная безопасность
    Комплексная информационная безопасность
    09.11.2025
    Технологии, которые нужны бизнесу уже сегодня
    Технологии, которые нужны бизнесу уже сегодня
    23.04.2025
    Технологии настоящего. Что ждет нас в 2025 году
    Технологии настоящего. Что ждет нас в 2025 году
    Прогнозы от экспертов в области цифровизации и информационной безопасности.
    05.03.2025
    Изменения в Трудовом кодексе. Нормы по внедрению КЭДО в компании
    Изменения в Трудовом кодексе. Нормы по внедрению КЭДО в компании
    04.03.2025
    13 шагов к надежной и производительной сети Wi-Fi
    13 шагов к надежной и производительной сети Wi-Fi
    04.03.2025