В современных реалиях информация является одним из активов предприятия. Защищать ее – прямая необходимость. К тому же, этого требует закон: конфиденциальные сведения или сведения, составляющие государственную тайну, нужно охранять в соответствии с требованиями нормативных документов. Поэтому важным шагом перед началом обработки таких сведений станет проектирование комплексной системы защиты информации (КСЗИ).
Проектирование системы защиты информации – это разработка комплекса мероприятий, направленных на защиту информации от незаконного доступа или утечки.
Алгоритм проектирования КСЗИ
КСЗИ обязана обеспечивать полноценную защиту информации, но при этом не должна отрицательно сказываться на прямой деятельности предприятия. Поэтому расчет и проектирование системы защиты – ответственный этап, на котором определяются надежные и экономически оправданные меры и средства защиты информации (СЗИ).
Проектирование системы защиты информации на предприятии осуществляется по следующему алгоритму:
- Разрабатывается паспорт объекта. Указываются виды деятельности, организационная структура.
- Разрабатывается модель деятельности объекта. Описываются рабочие процессы, процессы управления и т.д.
- Определяется вид защищаемой информации.
- Описывается информационная среда объекта. Сюда относятся внутренние документы, регулирующие работу с информацией; нормативные документы; а также программно-аппаратные средства.
- Определяются конкретные объекты, которые требуется защищать. Например, серверы, ПО, накопители, мониторы, телефонные линии и др.
- Определяется класс автоматизированной системы.
- Разрабатывается модель угроз.
- Рассчитываются риски.
- Определяются и обосновываются необходимые СЗИ.
- Создается техническое задание на разработку КСЗИ.
Нормативная база с требованиями по информационной безопасности (ИБ) отличается для разных объектов и для различных видов защищаемой информации. Изучить соответствующие документы необходимо перед проектированием КСЗИ.
В общем виде КСЗИ должны включать в себя такие подсистемы:
- антивирусная защита,
- защита от незаконного доступа,
- учет лиц, имеющих доступ к сведениям,
- шифрование информации,
- межсетевое экранирование,
- выявление фактов незаконного доступа,
- анализ эффективности СЗИ.
Принципы проектирования системы защиты информации
При разработке КСЗИ необходимо руководствоваться несколькими принципами:
- Принцип законности: меры по защите информации должны быть законными.
- Принцип полноты обязывает охранять любые сведения, утечка которых может привести к негативным последствиям. Например, защищать не только коммерческую тайну, но и персональные данные.
- Принцип обоснованности: нужно определить информацию, которую защищать необходимо, и сведения, в защите которых нет никакой нужды. Это позволит сконцентрироваться на охране важных сведений и избежать лишних трат.
- Принцип формирования спец. отдела, который будет заниматься непосредственно вопросами информационной безопасности.
- Принцип вовлеченности: каждый сотрудник, работающий с защищаемыми сведениями, обязан их охранять.
- Принцип ответственности: за несоблюдение правил ИБ сотрудники несут ответственность, предусмотренную законом и нормативными документами.
- Принцип всех правил: нужно соблюдать все установленные правила в установленном порядке.
- Принцип превентивности предполагает принятие охранных мер еще до получения сведений.
Грамотно спроектированная КСЗИ позволит свести к минимуму риски утечки информации, поэтому важно уделить этому этапу особое внимание. Однако стоит понимать, что даже самую надежную КСЗИ не следует принимать за абсолютную гарантию безопасности. Для полноценной защиты нужно проводить постоянный мониторинг ИБ и модернизировать методы защиты при необходимости.
