• Главная
  • Построение систем защиты информации

Построение систем защиты информации

Наша фирма занимается оказанием квалифицированных услуг, касающихся технической настройки системы защиты информации для организаций и предприятий. Оказание данных услуг позволяет защитить клиента от утечек конфиденциальных данных/сведений компании, а также от попыток несанкционированного доступа.

Информационная защита предприятия, организуемая на техническом уровне, предполагает проведение комплекса работ по оснащению офисных и серверных помещений специализированными средствами ограничения доступа посторонних лиц. В процессе организации будет осуществляться шифрование данных компании, выявление потенциальных каналов утечки конфиденциальной информации, информирование сотрудников предприятия об установлении и необходимости придерживания заданных правил и политик.

Техническая защита позволяет значительно улучшить сохранность технических данных, запатентованных данных, купленных методик и лицензий, ноу-хау и наработок личного характера. Методики и средства технической защиты обеспечивают данным предприятия высшую степень информационной безопасности, что особенно важно для данных по осуществлению финансовых операций, взятым кредитам, контрагентам. Защите также подлежит информация о персональных данных сотрудников предприятия, руководстве, клиентах и поставщиках.

Выстраивание эффективной технической защиты для информационных баз и систем организации, с учетом влияния рисков из глобальной сети, подразумевает грамотную сортировку всей хранящейся и обрабатывающейся информации на предприятии в соответствии с ее индивидуальной спецификой и уровнем ценности.

Главные объекты системы технической защиты информации

  • Базы данных (БД), объединяющие в себе информацию о клиентах (заказчиках), поставщиках услуг, товаров и ресурсов, а также партнерах компании.
  • Бумажная и электронная документация, в том числе данные по электронному документообороту (ЭДО).
  • Информация, являющаяся коммерческой тайной для предприятия: данные об активах и пассивах организации, заработная плата ключевых сотрудников, дебиторская и кредиторская задолженность.
  • Производственные, технологические и технические данные, в том числе спецификация базовых производственных процессов, использование определенных ноу-хау, состав оборудования для производства, техническая топология производственных цепочек и т.д.

Главные риски для объектов технической защиты информации

  • Внешние риски. К ним относятся конкурентные предприятия, злоумышленники и т.д.
  • Внутренние риски. Подразумеваются собственные работники предприятия, а также представители руководства.

Следует учитывать, что объекты коммерческой тайны доступны многим работникам предприятия, которые могут передать информацию третьим лицам, стремящимся нанести организации максимальный вред. При этом передача соответствующих данных может осуществляться либо сознательно, либо неосознанно. Что касается руководителей предприятия, они могут не уделять должного внимания обеспечению информационной безопасности компании, полагая, что соответствующие риски и угрозы относятся к категории ложных, несущественных, мнимых. Выстраивание комплексной защитной системы для данных предприятия должно начинаться с качественной проработки нормативов техконтроля защиты информации.

Во многих случаях организация строго контроля за действиями работников компании не является задачей повышенной сложности. Гораздо более сложным процессом будет осуществление контроля за действиями руководителей предприятия.

Защита информации компании по техническим каналам

Выстраивание защитной системы для данных конфиденциального или коммерческого характера будет подразумевать осуществление комплекса мероприятий, направленных на решение следующих задач.

  • Защита от проникновения посторонних на территорию строений или помещений, предназначающихся для хранения носителей конфиденциальной информации.
  • Защита самих носителей данных от порчи или уничтожения в результате преступных действий, а также при возникновении форс-мажорных обстоятельств (стихийные бедствия и прочее).
  • Защита важной информации от хищения по техническим каналам.

Требования к оборудованию и средствам информационной защиты

  • Круглосуточное слежение и готовность к отражению атак хакеров.
  • Многоуровневая система контрольных зон (защитный уровень определяется степенью ценности защищаемых данных).
  • Одномоментное использование сразу нескольких видов защитных средств в рамках выстраивания информационной защитной системы.
  • Регулярное проведение обновления технических каналов, а также средств защиты данных.

Хищение важной информации предприятия зачастую осуществляется по таким техническим каналам, как неэкранированная проводка, контуры и приборы, пребывающие под действием электромагнитных полей опасного типа. Доступ к техническим каналам передачи информации подразумевает получение контроля над беззащитной системой, с возможностью ее блокировки, наведения искажений и помех, а также несанкционированного использования ресурсов базы данных. Получение доступа к информации, находящейся под защитой, может осуществляться посредством использования передающего импульс устройства, которое выводит из строя большую часть инженерно-технического оборудования защитного назначения.

Методы техзащиты каналов, по которым потенциально может произойти утечка информации, основываются на решениях, разрабатываемых специализированными проектными организациями, обладающими лицензией ФСТЭК. Кроме того, соответствующие методы могут разрабатываться службой безопасности самой компании. Выделяются три базовых этапа проведения работ.

  • Подготовка. Проводится тщательный анализ потенциальных угроз, с которыми приходится сталкиваться информации и помещениям, где она хранится. Проводится категоризация данных по степени их важности. После этого из бюджета выделяются средства на проведение инженерно-технических разработок.
  • Проектирование. Установка средств технического характера, а также специального программного обеспечения.
  • Завершающий этап. Ввод в действие систем безопасности и их последующее сопровождение, включающее в себя обновление ПО на своевременной основе.

Мероприятия по выстраиванию комплексной системы защиты данных

  • Формирование эффективной службы или отдела безопасности компании.
  • Использование специальных технических устройств.
  • Мониторинг системы на наличие слабых звеньев, предоставляющих возможность получения доступа к защищаемой информации.

Разработка базовых принципов выстраивания системы защиты данных комплексного характера должно начинаться с анализа потенциальных рисков, с выявлением конкретных проблемных зон. К таким зонам часто относят следующее:

  • Технические возможности получения несанкционированного доступа к защищаемым данным.
  • Бреши в защитной системе, позволяющие преступникам изменить важные данные, скопировать их или полностью уничтожить.
  • Каналы, создающие потенциальные риски утечки финансовой, коммерческой или технологической информации.

Разработка и определение базовых принципов выстраивания комплексной защиты данных на этапе проведения оценки должны включать в себя изучение потенциальных действий работников предприятия, разделение рабочих запросов по категориям свой/чужой, назначение конкретных групп доступа для специалистов предприятия и доверенных лиц. Выявление подозрительных или ненадежных сотрудников компании осуществляется за счет проведения поведенческого анализа специалистов.

Технические средства защиты информации (СЗИ)

Обеспечение технической безопасности защищаемых, конфиденциальных и секретных данных может осуществляться с применением различных методик и средств. В частности, может использоваться:

  • Программное обеспечение антивирусного характера.
  • Программное обеспечение для повышения уровня безопасности каналов связи, с минимизацией рисков несанкционированного доступа к данным.
  • Программное обеспечение, позволяющее прервать доступ к глобальной сети.

Использование специальных программ является наиболее эффективным способом контролирования процессов обмена конфиденциальной информацией, а также ограничения доступа к защищаемым данным посторонним лицам. В компании не должны применяться нелицензированные программные продукты, а также программное обеспечение, имеющее сертификаты безопасности специализированного характера. Использование программ без лицензий может привести к тому, что в системе распространятся вирусы. Целью вредоносного ПО является сбор защищенных данных, с последующей их передачей третьим лицам.

Аппаратные средства защиты информации

К аппаратным СЗИ относятся различные устройства, позволяющие эффективно пресекать разглашение или утечку конфиденциальных данных, с обеспечением полной защиты от несанкционированного доступа к секретной информации. К подобным аппаратно-техническим средствам относятся шумогенераторы, сетевые фильтры, радиоприемники сканирующего типа и т.д. Чтобы устройства смогли быть причислены к данной категории, они должны обладать следующим функционалом.

  • Проведение исследования системы на наличие потенциально опасных каналов утечки конфиденциальной информации.
  • Выявление и блокировка слабозащищенных каналов на объектах и в конкретных помещениях компании.
  • Выявление местоположения проблемных участков и зон.
  • Выявление вредоносного программного обеспечения и соответствующих устройств.
  • Противодействие стороннему доступу к конфиденциальным данным.

Аппаратные средства характеризуются высокой эффективностью в вопросе обеспечения безопасности компании, с обеспечением должной защиты от субъективных факторов воздействия и использования сторонних модификаций. Впрочем, не обходится без недостатков. Аппаратные средства не проявляют достойной гибкости, могут иметь большой объем и массу, а также характеризоваться высокой ценой. С точки зрения предоставляемых функциональных возможностей, аппаратные средства подразделяются на устройства для рекогносцировки, выявления, обнаружения, детализации измерительного процесса, активной и пассивной защиты.

Защита информации организационно-технического типа

Организационно-техническая защита данных позволяет обеспечивать контроль за доступом к конфиденциальным данным, в том числе и в плане ограничения работы с защищаемой информацией путем задействования разграничений полномочий специалистов предприятия. На данном этапе могут предприниматься следующие меры.

  • Тщательный подбор сотрудников предприятия, строгая проверка, проведение профессионального инструктажа.
  • Обеспечение грамотного проведения программно-технических действий.
  • Назначение лиц, ответственных за определенные защитные участки используемого оборудования.
  • Выстраивание принципов режимности на объектах, к которым можно отнести и режим секретности.
  • Физическая охрана объектов режимного характера.
  • Монтаж металлических дверей с замочными механизмами взломостойкого типа, решеток на окна и т.д.

Защитные средства инженерно-технического характера

В категорию инженерно-технических защитных средств, не включающую в себя программные, физические и аппаратные методики, входят специализированные средства криптографического и шифровального типа, позволяющие обеспечить безопасность хранения телеметрических и компьютерных данных, телефонных переговоров, информационных сообщений и тому подобной информации. Математическое преобразование данных позволяет гарантировать полное нераспознавание информации посторонними личностями. В рамках криптографической защиты может использоваться как открытый, так и симметричный ключ.

Во многих случаях в организациях устанавливается защитная система комбинированного типа. Она включает в себя программные, аппаратные, физические и криптографические методы защиты от хищения конфиденциальной информации и проникновения посторонних лиц. Так что, разделение описанных методик на отдельные категории является делом условным. Под информационной защитой подразумевается полный комплекс методических модулей программно-аппаратного характера, с оснащением разными шифровальными алгоритмами для повышения уровня защищенности информации.

Требования к системе защиты информации

Технические и криптографические требования к системам защиты данных обнаруживаются в таких документах, как ГОСТ 50922-2007, 52863-2007, 51624-2000, 51275-2007.

Разработка защитных средств специализированного типа должна осуществляться организациями с лицензией ФСТЭК, действующими в тесной взаимосвязи со службой безопасности компании. При этом совместной проработке должны подвергаться конкретные требования защиты, использующиеся аналитические методики, определение уровня защитных средств, выбор аппаратуры и программного обеспечения, вопросы организации рабочего процесса с предупреждением и выявлением случаев нарушения целостности контуров защиты. Информационные объекты должны проходить обязательную аттестацию.

Общие рекомендации по защите информации

Рекомендации, касающиеся обеспечения защиты информации можно обнаружить в спецтребованиях СТР-К. Заметим, что предоставляемые рекомендации определяются категориями защиты, режимами обработки данных, степенью конфиденциальности информации. Рекомендуется использовать дифференцированный подход с осуществлением разработки и применением мер защиты, обеспечивающих противодействие стороннему доступу к информации.

Лицензирование в области защиты информации

Основной особенностью технического обеспечения является обязательная необходимость проведения сертификации средств защиты, с лицензированием доступа к данным, представляющим коммерческую тайну. Лицензирование и сертификация проводятся в соответствии с требованиями ФСТЭК.

Выбор типа лицензии зависит от того, к какой области относится деятельность предприятия. Немаловажное значение также будет иметь уровень намеченных задач по обеспечению безопасности информации.

Получение выбранной лицензии (СЗКИ, ТЗКИ, ТЗИ ГТ, СЗИ ГТ, ПД ИТР) связано с проделыванием следующей последовательности действий.

  • Обеспечение безопасности, с проведением соответствующих работ в рамках законодательных требований.
  • Обеспечение защиты помещений, проведение проверки компьютерных систем.
  • Разработка нормативной документации и специализированного программного обеспечения.
  • Заказ специальной экспертной оценки.

После подачи необходимых документов лицензия выдается регулятором в течение 45 дней.

ЧЕМ МЫ МОЖЕМ ВАМ ПОМОЧЬ?

СВЯЖИТЕСЬ С НАМИ

Отправить заявку

    Карта проезда