Информзащита

Ваша компания построила подсистему информационной безопасности. Завершена модернизация корпоративной информационной системы, в которой задействованы механизмы безопасности платформ и приложений, специализированные средства защиты. Вы CIO и у вас нет уверенности в надежности построенной системы ИБ. Вы назначены ответственным за информационную безопасность в организации.

В каждом из этих случаев перед Вами неизбежно встают вопросы:

Какое «наследство» Вы получили?

Хороша или плоха система ИБ?

Защищает ли она от реальных, причем реальных именно для Вас угроз или является набором втиснутых в информационную систему технических и программных средств с известными функциями, но непонятными результатами работы?

Самостоятельно ответить на эти вопросы очень трудно. Ведь для создания системы был задействован весь потенциал Ваших специалистов или компании-подрядчика, и ждать в этом случае каких-либо новых и, главное, объективных, оценок не приходится. А они очень нужны – от эффективности построенной защиты зависит безопасность бизнеса и конкурентоспособность компании.

Необходимую помощь окажут Вам независимые эксперты, накопившие опыт выполнения таких работ в других компаниях, опирающиеся на лучшие отечественные и мировые практики, собранные в национальных и  международных стандартах и рекомендациях. Обследование Вашей информационной системы, анализ существующих практик обеспечения безопасности информации, соотнесение их с актуальными угрозами и новыми тенденциями в информационных технологиях, проверка результатов на основании опыта экспертов и лучших мировых практик – вот содержание нашего предложения по оценке уровня информационной безопасности и управления ею. При наличии внутренних (отраслевых, корпоративных и т.п.) стандартов мы проведем оценку и на соответствие этим требованиям. Если надо подтвердить результаты обследования системы и анализа внутренних нормативных документов средствами объективного контроля, наши специалисты выполнят для Вас инструментальные оценки – тест на проникновение и сканирование защищенности.

В ряде случаев регуляторы требуют периодическую оценку безопасности. В этом случае мы готовы выполнить аудит Вашей системы на соответствие требованиям (например, стандартов Банка России или международного стандарта безопасности платежных систем PCI DSS).

Для целого класса систем (обрабатывающих информацию, составляющую государственную тайну, находящихся на экологически опасных производствах, обрабатывающих персональные данные) является обязательным получение государственного аттестата соответствия. Для таких систем наши специалисты проведут аттестацию объектов информатизации.

Подготовка к аудиту или аттестации – процесс сложный, требующий специальных знаний и опыта. Наши специалисты помогут подойти к процедуре оценки соответствия в полной готовности, сократив время и Ваши расходы на реализацию требований регуляторов. Могут быть предоставлены также услуги, связанные с подготовкой к получению лицензий на деятельность, связанную с обеспечением информационной безопасности.

Как правильно строить систему информационной безопасности?

Существуют ли общие принципы и правила, определяющие порядок построения системы защиты? Если да, то какие?

Чем система информационной безопасности конкретно Вашей организации должна отличаться от других и почему?

Как при построении системы защиты максимально учесть особенности вашей информационной инфраструктуры, специфику отрасли, в которой работает ваша компания, угрозы, актуальные именно для вас?

Какова очередность построения подсистем, реализующих те или иные механизмы обеспечения безопасности и почему?

Наконец, какие из многочисленных решений на рыке подходит именно вам?

Вопросы, вопросы, вопросы…

Ответить на них помогут эксперты нашей компании, которые, обобщая опыт многих проектов, выполненных для крупнейших предприятий и организаций различных сегментов экономики, готовы предложить разработку документов, определяющих принципы и порядок построения систем информационной безопасности.

Наиболее высокоуровневый документ, концепция информационной безопасности, определяет системные требования к механизмам защиты, увязывающие их с бизнес-целями и особенностями информационной среды предприятия, наиболее общие принципы и правила построения системы, порядок выбора тех или иных средств защиты информации, предоставления безопасных информационных услуг и поведения пользователей системы.

Полученные после оценки текущего состояния системы защиты результаты будут основой для формирования программы развития ИБ, в которой меры и механизмы защиты будут проранжированы в зависимости от потребностей  бизнеса, уровня рисков в информационной сфере, значимости конкретно для вас тех или иных угроз, и будет предложена оптимальная последовательность действий по построению системы в долгосрочной и среднесрочной перспективе. Нельзя сделать все сразу. На это, как правило, нет ресурсов – ни людских, ни материальных. Но не сделать вовремя что-то важное – значит, поставить под удар весь бизнес. Что является первоочередной задачей именно для Вас – защита портала, резервное копирование или блокирование несанкционированных действий пользователей? Что можно сделать во вторую очередь, а что отложить в долгий ящик? На эти вопросы вы получите ответы при формировании программы развития ИБ.

Реализация изложенных в концепции общих принципов, намеченной стратегии развития требует детализации. Какие конкретно механизмы защиты электронной почты надо реализовать, чтобы достигнуть заданного уровня безопасности какие средства для этого использовать? Как сконфигурировать и настроить межсетевой экран, кто, почему и как принимает решении об открытии или закрытии портов, сервисов и служб? Как выполнить экранирование, чтобы не блокировать бизнес-процессы, использующие информационную инфраструктуру, и не создать «дыр» в системе защиты?

На эти вопросы отвечают документы следующего уровня – политики безопасности, общие и частные.

Построение системы информационной безопасности в крупных компаниях холдингового типа, в состав которых входит большое количество дочерних компаний различного происхождения, имеет целый ряд специфических особенностей, таких, как разнородность используемых средств защиты, унаследованных в ходе формирования холдинга, наличие приложений различных производителей, используемых для поддержки одних и тех же основных бизнес-процессов и т.п. Общим является, как правило, одно – недостаток или низкая квалификация специалистов по информационной безопасности.

Все это существенно увеличивает совокупную стоимость владения средствами информационной безопасности,  эксплуатационные расходы на техническую поддержку продуктов, усложняет систему управления информационной безопасностью, не позволяет интегрировать информационные системы и масштабировать решения.

Мировой опыт построения систем информационной безопасности разнородных гетерогенных информационных систем показывает, что наиболее эффективным путем разрешения указанных выше проблем является разработка и использование в компаниях холдингового типаединых корпоративных стандартов по конкретным направлениям обеспечения информационной безопасности, определяющих архитектурные и функциональные  требования к конкретным подсистемам, требования по совместимости и масштабируемости, поддержки различных платформ и приложений.

Наконец, мы поможем вам выбрать и обосновать оптимальное решение из множества имеющихся на рынке. Решение, учитывающие особенности вашей информационной системы, используемых в ней платформ и приложений, обладающее необходимым функционалом и оптимальным соотношением цена/качество применительно к тем задачам, которые оно призвано решать.

Применение тех или иных средств защиты будет более эффективно, если с самого начала понимать, каким образом применение этих средств будет поддержано организационными мерами, предусматривающими взаимодействие различных сотрудников компании.

Как и кем будут выявляться и оцениваться риски, управляться система безопасности? Как оптимальнее реализовать процедуру предоставления доступа, не утомляя сотрудников бумажным согласованием, но и не раздавая лишних прав? Какова процедура предоставления пользователям прав доступа, кто и какие права в этой процедуре реализует? Как и кем выявляются и анализируются инциденты информационной безопасности, каков механизм реагирования на них? Как правильно установить режим коммерческой тайны, для защиты Ваших коммерческих секретов? Как организовать работу с персональными данными работников и клиентов, чтобы не нарушить закон, не парализовать работу с ними и не допустить их утечки?

На помощь придут наши консультанты, которые на основании результатов обследования бизнес-процессов и поддерживающей их информационной системы сформируют описание необходимых процессов и входящих в их состав процедур, их границы, ответственность конкретных исполнителей в рамках процессов и порядок действий в случае возникновения тех или иных ситуаций.

Наличие не просто поставленных, а документированных процессов управления информационной безопасностью является одним из ключевых требований международного стандарта ISO 27001-2005. Внедрение необходимых процессов и их документирование – важная часть работы любой организации, готовящейся к сертификации. И без помощи квалифицированных консультантов здесь будет трудно обойтись.

Особое место среди документов, определяющих развитие системы ИБ, занимает применение ЭЦП. Для корректного ее использования приходится решать массу не только технических и организационных, но и юридических вопросов. Без придания юридической значимости ЭЦП велики риски электронных сделок, не будет эффективен электронный документооборот. Мы готовы передать вам опыт решения подобных проблем.

Любые процессы и меры защиты в Вашей организации необходимо поддержать при помощи технических решений.

Программы и оборудование, входящие в состав решений, надо не только выбрать, купить и привезти на склад, но их необходимо  подключить к Вашей информационной системе, и настроить таким образом, чтобы они выполняли возложенные на них задачи, не вступая в конфликт другими компонентами информационной системы.

Решить данную задачу может проектирование, которое позволяет выбрать наиболее подходящие средства, удовлетворяющие Вашим требованиям, смоделировать интеграцию выбранных средств защиты в Вашу информационную систему так, чтобы результат представлял собой единый рабочий механизм.

Существующие типовые конфигурации оборудования и типовые настройки программных средств, как правило, подходят только для типовых информационных систем, которые нечасто встречаются на практике.

По этой причине отказ от проектирования может привести к тому, что установленное оборудование и программное обеспечение не будут решать возложенные на них задачи в лучшем случае, в худшем же – будут отключены из-за того, что они мешают нормально работать другим компонентам информационной системы. К тому же, через полгода-год вспомнить о том, что было подключено к Вашей информационной системе и как это работает будет уже почти невозможно.

При проектировании мы готовы учесть планы по модернизации Вашей информационной системы для обеспечения масштабируемости.

Результатом проектирования является технический или техно-рабочий проект, а также спецификация на закупки оборудования и программного обеспечения. Детальность (а, соответственно, стоимость и длительность) проектирования зависит, в первую очередь, от сложности технического решения, а во вторую – от того, кто затем будет осуществлять внедрение данного решения.

Проект детализирует состав технического решения и определяет режимы его работы в соответствии с конкретными условиями применения в Вашей информационной системе. Это позволяет избежать ненужных затрат как при закупках, так и при внедрении. В рамках проектирования мы разрабатываем подробный план внедрения, обеспечивая минимизацию времени на внедрение и распределяя область ответственности за отдельные шаги работ.

Мы готовы разработать для Вас проект решения на базе любого из продуктов, входящих в линейку продукции нашей компании.