+375 17 336-55-95
info@iqdata.by
  • Учебный центр
  • Интернет-магазин
  • Контакты
    • 09.01.2025

    Построение современной системы защиты информации в компании

    Система защиты информации (СЗИ)  — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности организации. Как и большинство технических процессов, СЗИ нужно создавать и  поддерживать в актуальном состоянии. Можно сказать, что это не сиюминутное действие, а постоянный процесс по улучшению и совершенствованию системы безопасности. Защита может быть эффективной, если она находится в состоянии развития.

    О том, как происходит построение системы защиты информации, и о ее аттестации рассказывает руководитель проекта отдела защиты информации iqData Наталья Кийко.

    Комплекс мероприятий по защите информации включает:

    • Аудит системы защиты информации.
    • Проектирование и создание СЗИ.
    • Аттестация СЗИ.

    1 этап. Аудит системы защиты информации

    Аудит системы защиты информации — это наиболее эффективный способ получения независимой оценки уровня защищенности компании, который подразумевает анализ внедренных практик, политик, процессов, используемых средств защиты информации в текущий момент времени. Для проведения этой процедуры с каждой компанией у нас работает команда экспертов — специалисты по защите информации и инженеры.

    Специалисты по защите информации изучают и анализируют разработанные локальные правовые акты, внедренные в компании политики. Мы проверяем и инспектируем структуру и перечень информационных систем, изучаем их взаимосвязь друг с другом, анализируем и аудируем перечень персональных данных, которые обрабатываются в компании. Проводим анализ распределения ролей, ответственности и обязанностей в области информационной безопасности между специалистами заказчика.

    Инженеры проводят аудит корпоративной сети передачи данных, серверного оборудования, анализ системы виртуализации заказчика, проверяют корректность настройки антивирусного обеспечения, межсетевых экранов, инфраструктурных сервисов и так далее.

    Результат аудита — подробный отчет, в котором мы описываем, какое оборудование и ПО развернуто в компании, какие у него есть недостатки. При проведении работ специалисты руководствуются законодательством в сфере защиты информации Республики Беларусь. Кроме того, мы предоставляем заказчикам рекомендации по совершенствованию системы защиты, отдельное описание мер по ликвидации обнаруженных проблем, подробный анализ выполнения требований законодательства, помощь в классификации обрабатываемой информации и отнесения к классу типовых систем.

    2 этап. Проектирование и создание системы информационной защиты

    На стадии проектирования СЗИ информационной системы разрабатываются основные проектно-технические решения, формируется технический состав систем, определяются номенклатура применяемого оборудования и используемых материалов, места установки отдельных элементов системы.

    Оптимальный расчет проекта сводит затраты на расходные материалы, оборудование и работы к минимуму. Грамотно составленная документация — гарантия быстро и качественно выполненных работ.  

    На этапе проектирования определяются требования к  системе защиты информации в техническом задании на создание системы защиты информации. Также на данном этапе разрабатывается политика информационной безопасности компании, схема защиты информации. Мы индивидуально подходим к каждому заказчику, учитывая специфику и запросы его бизнеса. Например, если заказчик хочет дополнительно усилить свой внешний периметр или закупить дополнительные средства защиты информации, мы учитываем данные средства в техническом задании.

    При необходимости на этапе создания СЗИ заказчик закупает средства защиты информации. По запросу возможно осуществление монтажа и наладки закупленных средств защиты информации нашими специалистами. В ходе проведения работ осуществляется ознакомление специалистов заказчика с новым оборудованием и программным обеспечением. При необходимости более глубокого их изучения у нас работает собственный учебный центр. Нашими инженерами проводится проверка корректности выполнения внедряемыми средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с элементами ИС.

    Также нами разрабатываются необходимые ЛПА в развитие требований и положений Политики ИБ, контролируется реализация организационных мер защиты информации в целях выполнения требований, которые доводятся до сведения субъектов ИС под подпись.

    3 этап. Аттестация системы защиты информации

    Можно сказать, что аттестация — это повторный аудит, только уже новой, созданной системы защиты информации на предмет выполнения установленных законодательством требований по защите информации в соответствии с программой и методикой аттестации. Аттестация предусматривает комплексную оценку СЗИ в реальных условиях эксплуатации ИС. Мероприятия аттестации проводятся до полного завершения всех проверок вне зависимости от промежуточных результатов испытаний.

    В том числе на данном этапе проводится сканирование системы на наличие уязвимостей, и в случае обнаружения уязвимостей выполняются рекомендации производителя сканера по их устранению.

    По белорусскому законодательству, аттестат системы защиты информации действителен в течение не более 5 лет. Но по своему опыту скажу, что это просто гигантский срок для ИТ-сферы. Поэтому каждый руководитель компании и владелец бизнеса должен понимать, что после завершения аттестации он несет ответственность перед регулирующими органами, своими сотрудниками, акционерами за информационную безопасность компании и поддержание СЗИ в актуальном состоянии для противостояния современным угрозам.

    Сколько времени занимает аудит, проектирование и создание СЗИ

    Срок аттестации информационной системы компании, начиная с проведения первого аудита и заканчивая непосредственно получением аттестата, всегда отличается в зависимости от специфики и особенностей бизнеса, его масштаба.

    Например, аттестация компании, в которой до 10 рабочих мест, не имеющих подключений к открытым каналам передачи данных, займет около 3 недель. В то же время аттестация СЗИ на крупном предприятии с более чем тысячей пользователей может занять до 9 месяцев или дольше. Ведь чаще всего после проведения аудита компания закупает дополнительное оборудование. А сроки поставок, например, межсетевого экрана, сегодня могут варьироваться от 3 месяцев и дольше.

    Поэтому я рекомендую любой компании начинать готовиться к аттестации заблаговременно. Хотя бы за год до истечения предыдущего аттестата следует провести аудит, чтобы заранее выявить существующие проблемы в системе защиты информации, проконтролировать поддержание СЗИ в актуальном состоянии и выполнение своими сотрудниками функций по технической защите информации, своевременность осуществления обновлений средств защиты информации, оценить необходимость в приобретении или модернизации аппаратно-программных средств.

    Какие проблемы выявляются у компаний при аудите

    1. Отсутствие либо неработающий межсетевой экран.

    Как это ни парадоксально, но у многих белорусских компаний отсутствуют межсетевые экраны, либо они есть, но не поддерживаются производителями или отсутствуют необходимые подписки и лицензии. Как итог — компания вообще не защищена от внешних атак.

    2. Отсутствие контроля за пользователями.

    В этом случае речь идет не об отслеживании, чем сотрудник занимается в рабочее время, а именно о соблюдении им правил информационной безопасности. Например, частота смены пароля, его сложность, соблюдение локальных правовых актов по информационной безопасности и т. д.

    3. Не разработаны инструкции по информационной безопасности.

    Всем известен простой принцип — «Что не запрещено, то разрешено». Именно по нему работает большинство сотрудников. И если нет никаких документов в компании по информационной безопасности, то не стоит потом пенять на сотрудника, что он перешел по незнакомой ссылке в письме или другим образом поставил под удар информационную безопасность бизнеса.

    4. Нет специалиста по информационной безопасности.

    Это простительно для небольших компаний, но когда на предприятии с тысячами сотрудников обязанности по обеспечению информационной безопасности вешают на системных администраторов, чаще всего это ничем хорошим не заканчивается.

    5. Поддержание СЗИ в актуальном состоянии.

    Как уже отмечалось выше, информационная безопасность — это постоянный процесс. Но многие тот же аудит и аттестацию проводят лишь для галочки. В то же время ежедневно злоумышленники изобретают все более ухищренные способы для проникновения в корпоративную сеть, и большинство компаний оказываются к этому не готовы.

    6. Персонал.

    При функционировании системы защиты информации необходима тщательная организация текущей работы с персоналом, включающая периодические мероприятия по повышению уровня грамотности сотрудников в области защиты информации, проведение семинаров и тренингов.

    Работник является не только основным звеном, но и потенциальной угрозой, так как чаще несанкционированный доступ и утечка информации обусловлены злоумышленными действиями или же небрежностью пользователей и персонала. Эти факторы практически невозможно исключить или локализовать при помощи аппаратных и программных средств, криптографии и физической защиты.

    Решения и услуги
    Облачные решения и сервисы безопасности Облачные решения и сервисы безопасности Системная интеграция Системная интеграция Управляемые услуги Управляемые услуги Разработка Разработка Обучение Обучение
    Интернет-магазин

    Другие статьи

    Все новости
    Центр кибербезопасности iqData занял второе место в Беларуси
    Центр кибербезопасности iqData занял второе место в Беларуси
    19 марта на IT Security Conference подвели итоги и наградили победителей крупнейших киберучений среди команд всех Центров кибербезопасности страны cybeRRing - NTEC 2026. По их результатам команда ЦКБ iqData заняла 2-е место в стране.
    20.03.2026
    Облако как инструмент стратегической гибкости
    Облако как инструмент стратегической гибкости
    Руководитель направления развития облачных сервисов и корпоративных решений iqData Евгений Шиперко рассказывает об облачных технологиях и их значении для развития компаний.
    11.03.2026
    iqData заключила партнерское соглашение с компанией Exahouse
    iqData заключила партнерское соглашение с компанией Exahouse
    Компания iqData (ООО «СофтЛайн Директ») заключила партнерское соглашение с компанией Exahouse (ООО «ЭКСАХАУС») и запустила услугу Managed Database на базе СУБД Postgre BY в аттестованном Центре обработки данных.
    23.02.2026
    Новый стандарт информационной безопасности для банков (СФУТ 9.03-2025)
    Новый стандарт информационной безопасности для банков (СФУТ 9.03-2025)
    21 января опубликован стандарт финансовых услуг и технологий СФУТ 9.03-2025. Он вступает в силу с 1 января 2027 года. В материале кратко рассказываем об основных изменениях.
    26.01.2026
    Платформа DION выходит на рынок Беларуси
    Платформа DION выходит на рынок Беларуси
    Партнёрство предусматривает локальное развертывание DION на облачных мощностях iqData и создание центра компетенций по продукту.
    15.01.2026
    Почему Индустрия 4.0 не состоялась?
    Почему Индустрия 4.0 не состоялась?
    Руководитель направления САПР iqData Олег Елистратов рассказывает о ключевых технологиях для сферы промышленности.
    29.12.2025