ОРГАНИЗАЦИЯ И ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РАМКАХ КОМПАНИИ

02 января 2020

Каждая компания, в процессе осуществления своей деятельности, должна уделять значительное внимание информационной безопасности, состоящий в частности в разработке различных стратегий управления процессами, создании инструментов и политик, необходимых для предотвращения, выявления, документирования и противодействия угрозам цифровой и нецифровой информации.

Информационная безопасность в контексте ценности компании

Информационная безопасность в широком смысле этого слова представляет собой совокупность технических и организационных мероприятий, а также разработанных документов, основной целью которых является защита и сохранение информации, которой владеет компания. Вместе с тем, информационная безопасность все же остается составной частью кибербезопасности, что значительно шире категории и включает в себя не только защиту информации и данных, но и защиту систем, сетей и прочее.

К основным целям информационной безопасности также относится создание набора бизнес-процессов, которые будут защищать информационные активы независимо от того, как форматируется информация, или она находится в транзите, обрабатывается или находится в состоянии покоя, то есть сохраняется в соответствующих базах данных.

Ценность компании, по мнению некоторых экспертов, определяется прежде всего в том, какая информация находится во владении компании, а также как эта информация сохраняется. Безопасность является решающим фактором для обеспечения осуществления эффективных деловых операций, а также для сохранения и завоевания доверия клиентов, как будущих, так и существующих.

Организация информационной безопасности в рамках компании

Для возможности максимально эффективно обеспечить информационную безопасность в рамках компании, прежде всего необходимо определиться с основной стратегией, которой должна придерживаться компания. Такая стратегия должна определяться руководством компании, с одновременным привлечением специалистов по информационной безопасности, которыми могут выступать как сотрудники компании, так и привлеченные внешние подрядчики. Результатом разрабатываемой стратегии обычно утвержден проект по информационной безопасности, а также пути и методы его реализации.

После определения глобальной стратегии, компания, как правило, создает специализированную команду специалистов по вопросам информационной безопасности (Information security team / IS team) для внедрения и поддержки проекта по информационной безопасности. Обычно, этой группой руководит главный сотрудник информационной безопасности (Chief information security officer / CISO). Другие же члены команды должны избираться, исходя из уровня их компетенции и умений в вопросах безопасности информации.

Information security team отвечает за управление рисками, реализацию процессов, с помощью которых постоянно оцениваются уязвимости и угрозы по отношению к информации, которой владеет компания, а также за прием и применение соответствующих защитных средств контроля. Вместе с тем, команда по информационной безопасности должна реагировать на все нарушения безопасности информации и оперативно принимать решения об устранении таких нарушениях, а также о минимизации рисков для интересов компании или фундаментальных прав, свобод и интересов физических лиц, если нарушения каким-либо образом касается персональных данных таких лиц.

Проект по реализации информационной безопасности должен строиться вокруг основных трех аспектов безопасности, заключающиеся в поддержке конфиденциальности, целостности и доступности информации, в том числе в рамках ИТ систем и баз данных компании. Внедрение таких принципов поможет обеспечить раскрытие конфиденциальной информации только уполномоченным сторонам (конфиденциальность), предотвратить несанкционированный изменению данных (целостности) и гарантировать, что к информации могут получить доступ только уполномоченные стороны (при наличии).

Первый аспект безопасности это конфиденциальность. Такой аспект обычно требует использования ключей шифрования и шифрования. То есть, если компания обеспечивает недоступность информации путем ее шифрования, обязательно должны быть ключи, в том числе в виде паролей, которые дают возможность дешифровать информацию в ее первоначальный вид, для возможности использования информации для целей компании.

Второй аспект безопасности — целостность. Он предусматривает, например, что когда информация загружается (записывается) или направляется в любое место, а затем считывается или получается назад, она должна быть точно такой, какой она была в момент отправки или загрузки. Иногда, для большей гарантии безопасности информации, компании может понадобиться отправки одной и той же информации в два разных места, то есть создание резервной копии информации.

Третий аспект безопасности заключается в доступности информации, что означает под собой обеспечение своевременного использования новой информации, а также оперативное обновление информации в течение приемлемого, в рамках общепринятой практики, срока восстановления, который бы не нарушал интересы всех лиц, независимо от того, юридические это лица или физические. Имеется в виду, что доступ к информации должен быть свободен и бесперебойный, но только конечно же только для тех лиц, кто имеет на это право.

Не секрет, что меры информационной безопасности должны быть также сосредоточены на сетевых системах и компьютерной инфраструктуре компании, чаще всего всего может стать объектом кибератак и других вредоносных действий, направленных на уничтожение, кражу или повреждения информации, относящейся или какой пользуется компания .

Политики и процедуры, регламентирующие информационную безопасность

В процессе реализации проекта по информационной безопасности, компания должна обеспечить наличие соответствующих документов, которыми должны руководствоваться сотрудники компании, привлеченные компанией лица, а также Information security team, обеспечивая реализацию тех или иных мероприятий. Другими словами, компания должна разработать и осуществлять ISMS (information security management system), которая представляет собой набор руководящих принципов, политик и процессов, созданный для помощи компании в процессе управления безопасностью информации и в случаях, связанных с нарушением данных. Имея разработан набор руководящих принципов, компания имеет возможность минимизировать риски в контексте безопасности информации, а также может обеспечить непрерывность работы в случае смены персонала.

Компания может использовать шаблонные решения, которые пользуются популярностью на рынке. Например, стандарты ISO 27001 является чрезвычайно популярной и известной основой для разрабатываемой компанией ISMS. Вместе с тем, компанией должны учитываться все аспекты своей деятельности, а также другие особенности информации, которой владеет компания.

Руководящие принципы, процессы и политики информационной безопасности обычно предусматривают разработку и осуществление физических и технических мер безопасности для защиты информации от несанкционированного доступа, использования, распространения или уничтожения. Эти меры могут включать в себя ловушки, систему управления ключами шифрования, сетевые системы обнаружения вторжений, политику паролей, политику управления системой электронных адресов и политику антивирусных мероприятий.

Немаловажным пресечения, которая должна включаться в ISMS, является проведение аудита существующих документов и систем компании на соответствие требованиям, которые гарантируют максимальную защиту информации. Аудит безопасности должен проводиться компанией с целью оценки способности компании поддерживать защищенность системы на основе и в рамках установленных критериев.

вывод

Основной совет, в процессе обеспечения информационной безопасности, заключается в привлечении квалифицированных специалистов сфере информационной безопасности в процессе внедрения и реализации проекта по информационной безопасности в рамках компании.

Также, одной из основных советов будет использование мировых признанных стандартов, обеспечивающих основной каркас информационной безопасности. Компании, в свою очередь, остается только приспособить предложены алгоритмы к своим внутренних процессов, с помощью которых обеспечивается безопасность информации. Это например стандарты ISO или PCI DSS.

В целом же, подходите к вопросу организации информационной безопасности достаточно взвешенно и скрупулезно, обязательно применяя современные достижения в области техники, компьютерных технологий, а также, учитывая требования законодательства, в частности в сфере защиты персональных данных.