Перейти до основного вмісту

ОРГАНІЗАЦІЯ ТА ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В МЕЖАХ КОМПАНІЇ

ОРГАНІЗАЦІЯ ТА ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В МЕЖАХ КОМПАНІЇ

Кожна компанія, в процесі здійснення своєї діяльності, повинна приділяти значну увагу інформаційній безпеці, що полягає зокрема в розробці різноманітних стратегій управління процесами, створенні інструментів та політик, необхідних для запобігання, виявлення, документування та протидії загрозам цифровій та нецифровій інформації.

Інформаційна безпека в контексті цінності компанії

Інформаційна безпека, в широкому розумінні цього слова є сукупністю технічних та організаційних заходів, а також розроблених документів, основною метою яких є захист та збереження інформації, якою володіє компанія. Разом з тим, інформаційна безпека все ж залишається складовою частиною кібербезпеки, що є значно ширшою категорією та включає в себе не лише захист інформації та даних, а й захист систем, мереж та інше.

До основних цілей інформаційної безпеки також відноситься створення набору бізнес-процесів, які захищатимуть інформаційні активи незалежно від того, як форматується інформація, чи вона перебуває в транзиті, обробляється чи знаходиться в стані спокою, тобто зберігається у відповідних базах даних.

Цінність компанії, на думку деяких експертів, визначається перш за все в тому, яка інформація перебуває у володінні компанії, а також як ця інформація зберігається. Безпека інформації є вирішальним фактором для забезпечення здійснення ефективних ділових операцій, а також для збереження та завоювання довіри клієнтів, як майбутніх, так і існуючих.

Організація інформаційної безпеки в рамках компанії

Для можливості максимально ефективно забезпечити інформаційну безпеку в рамках компанії, насамперед необхідно визначитися з основною стратегією, якої повинна дотримуватися компанія. Така стратегія повинна визначатися керівництвом компанії, з одночасним залученням спеціалістів з інформаційної безпеки, якими можуть виступати як працівники компанії, так і залучені зовнішні підрядники. Результатом розроблюваної стратегії зазвичай є затверджений проект з інформаційної безпеки, а також шляхи та методи його реалізації.

Після визначення глобальної стратегії, компанія, як правило, створює спеціалізовану команду спеціалістів з питань інформаційної безпеки (Information security team / IS team) для впровадження та підтримки проекту з інформаційної безпеки. Зазвичай, цією групою керує головний співробітник інформаційної безпеки (Chief information security officer/CISO). Інші ж члени команди повинні обиратися, виходячи з рівня їхньої компетенції та вмінь в питаннях безпеки інформації.

Information security team відповідає за управління ризиками, реалізацію процесів, з допомогою яких постійно оцінюються вразливості та загрози по відношенню до інформації, якою володіє компанія, а також за приймання і застосування відповідних захисних засобів контролю. Разом з тим, команда з інформаційної безпеки повинна реагувати на всі порушення безпеки інформації та оперативно приймати рішення про усунення таких порушення, а також про мінімізацію ризиків для інтересів компанії чи фундаментальних прав, свобод та інтересів фізичних осіб, якщо порушення будь-яким чином стосується персональних даних таких осіб.

Проект з реалізації інформаційної безпеки повинен будуватися  навколо основних трьох аспектів безпеки, які полягають в підтримці конфіденційності, цілісності та доступності до інформації, в тому числі в межах ІТ систем та баз даних компанії. Впровадження таких принципів допоможе забезпечити розкриття конфіденційної інформації лише уповноваженим сторонам (конфіденційність), запобігти несанкціонованому зміненню даних (цілісності) та гарантувати, що до інформації можуть отримати доступ тільки уповноважені сторони (за наявності).

Перший аспект безпеки це конфіденційність. Такий аспект зазвичай вимагає використання ключів шифрування та шифрування. Тобто, якщо компанія забезпечує недоступність до інформації шляхом її шифрування, обов’язково повинні бути ключі, зокрема у вигляді паролів, які дають можливість дешифрувати інформацію в її первинний вигляд, для можливості використання інформації для цілей компанії.   

Другий аспект безпеки – цілісність. Він передбачає, наприклад, що коли інформація завантажується (записується) або надсилається в будь-яке місце, а потім зчитується чи отримується назад, вона повинна бути точно такою, якою вона була в момент надсилання чи завантаження. Інколи, для більшої гарантії безпеки інформації, компанії може знадобитися надсилання однієї і тієї ж інформації у два різних місця, тобто, створення резервної копії інформації.  

Третій аспект безпеки полягає в доступності інформації, що означає під собою забезпечення своєчасного використання нової інформації, а також оперативне відновлення інформації протягом прийнятного, в рамках загальноприйнятої практики, строку відновлення, який би не порушував інтереси будь-яких осіб, незалежно від того, юридичні це особи чи фізичні. Мається на увазі, що доступ до інформації повинен бути вільний та безперебійний, але тільки звісно ж тільки для тих осіб, хто має на те право.

Не секрет, що заходи інформаційної безпеки повинні бути також зосереджені на мережевих системах та комп’ютерній інфраструктурі компанії, яка найчастіше всього може стати об’єктом кібератак та інших зловмисних дій, направлених на знищення, крадіжку або пошкодження інформації, що належить або якою користується компанія.   

Політики та процедури, які регламентують інформаційну безпеку

В процесі впровадження проекту з інформаційної безпеки, компанія повинна забезпечити наявність відповідних документів, якими повинні керуватися працівники компанії, залучені компанією особи, а також Information security team, забезпечуючи реалізацію тих чи інших заходів. Іншими словами, компанія повинна розробити та провадити ISMS (information security management system), що являє собою набір керівних принципів, політик та процесів, що створений для допомоги компанії в процесі управління безпекою інформації та у випадках, пов’язаних з порушенням даних. Маючи розроблений  набір керівних принципів, компанія має можливість мінімізувати ризики в контексті безпеки інформації, а також може забезпечити безперервність роботи у разі зміни персоналу.

Компанія може використовувати шаблонні рішення, які користуються популярністю на ринку. Наприклад, стандарти ISO 27001 є надзвичайно популярною та відомою основою для розроблюваної компанією ISMS. Разом, з тим, компанією повинні враховуватися всі аспекти своєї діяльності, а також інші особливості інформації, якою володіє компанія.

Керівні принципи, процеси та політики інформаційної безпеки зазвичай передбачають розробку та імплементацію фізичних та технічних заходів безпеки для захисту інформації від несанкціонованого доступу, використання, розповсюдження або знищення. Ці заходи можуть включати в себе пастки, систему управління ключами шифрування, мережеві системи виявлення вторгнень, політику паролів, політику управління системою електронних адрес та політику антивірусних заходів.

Немаловажним заходом, який повинен включатися в ISMS, є проведення аудиту існуючих документів та систем компанії на відповідність вимогам, які гарантують максимальний захист інформації. Аудит безпеки повинен проводитися компанією з метою оцінки здатності компанії підтримувати захищеність системи на основі та в рамках встановлених критеріїв.

Висновок

Основна порада, в процесі забезпечення інформаційної безпеки, полягає в залученні кваліфікованих спеціалістів в сфері інформаційної безпеки в процесі імплементації та реалізації проекту з інформаційної безпеки в рамках компанії.

Також, однією з основних порад буде використання світових визнаних стандартів, які забезпечують основний каркас інформаційної безпеки. Компанії, в свою чергу, залишається тільки пристосувати запропоновані алгоритми до своїх внутрішніх процесів, з допомогою яких забезпечується безпека інформації. Це наприклад стандарти ISO або PCI DSS.

Загалом же, підходьте до питання організації інформаційної безпеки досить виважено та скрупульозно, обов’язково застосовуючи сучасні досягнення в області техніки, комп’ютерних технологій, а також, враховуючи вимоги законодавства, зокрема у сфері захисту персональних даних.