Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (161)
  • добавить в избранное
    Добавить в закладки

Корпоративная безопасность шаг за шагом

Прочитали: 10872 Комментариев: 47 Рейтинг: 64

27 октября 2020

В выпуске «Защита как искусство баланса» мы говорили о том, что меры по защите не должны применяться с бухты-барахты. Нужно определить, что и в какой степени требуется защищать, что произойдет, если отказаться от защиты, и т. д. Сегодня подробнее рассмотрим процедуру выбора мер и способов защиты.

Документов, описывающих подобные процедуры, существует достаточно много. Мы разберем вопрос на примере процедуры, описанной в 17-м приказе ФСТЭК РФ. Почему именно он? Во-первых, он на русском, что уже удобно. Во-вторых, это довольно компактный документ, позволяющий ознакомиться с темой. И, в-третьих, описанная процедура должна применяться (как сказано в приказе) в том числе «для защиты общедоступной информации, содержащейся в государственных информационных системах» и является обязательной «при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении». Кроме того, описанные в приказе требования «могут применяться для защиты информации, содержащейся в негосударственных информационных системах».

То есть этот документ явно должен быть знаком всем, кто занимается выбором средств защиты на территории Российской Федерации.

Перейдем к самой процедуре (цитаты ниже даны из документа, размещенного на этой странице сайта ФСТЭК РФ).

14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).

…и в том числе включает:

  • принятие решения о необходимости защиты информации, содержащейся в информационной системе;
  • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты информации информационной системы.

Как видим, первый пункт – принятие решения. То есть защита должна быть применена осознанно. Логично, что решение должно приниматься ответственными лицами компании.

Далее составляется список угроз и моделей их реализации. Причем не всех подряд угроз, а тех, которые критичны для конкретного предприятия и условий его работы. Скажем, если компьютеры обычной компании размещены в подземном датацентре, то защиту целостности информации от угрозы космического излучения, скорее всего, реализовывать не нужно. А вот если за стенкой стоит ядерный реактор – тогда другое дело.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

Уже исходя из составленной модели угроз выбираются меры защиты. Причем тут тоже не все просто. Так, если речь о защите обычного компьютера от вирусов, то поставить на него антивирус – не проблема (хотя бывает всякое). А вот если нужно защитить от вирусов домашний роутер, то туда антивирус не установишь, и нужно принимать так называемые компенсирующие меры.

При необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Как видим, не антивирусом единым… Можно, например, выделить часть компьютеров в отдельную подсеть или ужесточить требования к парольной защите. Способов много.

Но вернемся к приказу.

При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:

  • анализ целей создания информационной системы и задач, решаемых этой информационной системой;
  • определение информации, подлежащей обработке в информационной системе;
  • анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц.

Как видим, здесь первым пунктом идет вопрос в духе: «А зачем нам это нужно?». Вопрос серьезный, и выбираемые меры защиты напрямую зависят от ответа на него. Скажем, мы – ИП, ведем бухгалтерию на коленке. Что мы теряем при заражении? Скорее всего, копии договоров и список контактов. Наверняка достаточно будет бэкапа. Даже и антивирус, возможно, не нужен, если бэкап делается правильно. А вот если мы – ядерный центр и, проникнув к нам, хакеры могут… (тут включайте воображение!), то, понятное дело, одним антивирусом здесь не обойдешься.

Второй пункт выше понятен. Дополним только, что нужно определить еще и важность информации. Скажем, график чистки туалетов не требует такой защиты, как договоры компании. То есть для разной корпоративной информации могут применяться разные меры защиты.

Третий пункт тоже ясен – закон есть закон.

Минимум пятеро управляющих баров и ресторанов в Гренобле задержаны полицией.

В этих барах не соблюдали малоизвестный закон от 2006 года, который обязывает в течение одного года хранить логи активности всех клиентов, которые подключались к Wi-Fi.

Источник

Отметим, что должны быть назначены ответственные за безопасность. Если их нет, то, скорее всего, ничего хорошего из этой благой затеи не выйдет.

#антивирус #бэкап #законодательство #корпоративная_безопасность #ответственность #роутер

Антивирусная правДА! рекомендует

Итак, мы выбрали меры защиты. Что же, устанавливаем антивирус – и по домам? Вовсе нет. Не расходитесь – продолжим тему в следующем выпуске.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей