Наша фирма занимается оказанием квалифицированных услуг, касающихся технической настройки системы защиты информации для организаций и предприятий. Оказание данных услуг позволяет защитить клиента от утечек конфиденциальных данных/сведений компании, а также от попыток несанкционированного доступа.
Информационная защита предприятия, организуемая на техническом уровне, предполагает проведение комплекса работ по оснащению офисных и серверных помещений специализированными средствами ограничения доступа посторонних лиц. В процессе организации будет осуществляться шифрование данных компании, выявление потенциальных каналов утечки конфиденциальной информации, информирование сотрудников предприятия об установлении и необходимости придерживания заданных правил и политик.
Техническая защита позволяет значительно улучшить сохранность технических данных, запатентованных данных, купленных методик и лицензий, ноу-хау и наработок личного характера. Методики и средства технической защиты обеспечивают данным предприятия высшую степень информационной безопасности, что особенно важно для данных по осуществлению финансовых операций, взятым кредитам, контрагентам. Защите также подлежит информация о персональных данных сотрудников предприятия, руководстве, клиентах и поставщиках.
Выстраивание эффективной технической защиты для информационных баз и систем организации, с учетом влияния рисков из глобальной сети, подразумевает грамотную сортировку всей хранящейся и обрабатывающейся информации на предприятии в соответствии с ее индивидуальной спецификой и уровнем ценности.
Главные объекты системы технической защиты информации
Главные риски для объектов технической защиты информации
Следует учитывать, что объекты коммерческой тайны доступны многим работникам предприятия, которые могут передать информацию третьим лицам, стремящимся нанести организации максимальный вред. При этом передача соответствующих данных может осуществляться либо сознательно, либо неосознанно. Что касается руководителей предприятия, они могут не уделять должного внимания обеспечению информационной безопасности компании, полагая, что соответствующие риски и угрозы относятся к категории ложных, несущественных, мнимых. Выстраивание комплексной защитной системы для данных предприятия должно начинаться с качественной проработки нормативов техконтроля защиты информации.
Во многих случаях организация строго контроля за действиями работников компании не является задачей повышенной сложности. Гораздо более сложным процессом будет осуществление контроля за действиями руководителей предприятия.
Защита информации компании по техническим каналам
Выстраивание защитной системы для данных конфиденциального или коммерческого характера будет подразумевать осуществление комплекса мероприятий, направленных на решение следующих задач.
Требования к оборудованию и средствам информационной защиты
Хищение важной информации предприятия зачастую осуществляется по таким техническим каналам, как неэкранированная проводка, контуры и приборы, пребывающие под действием электромагнитных полей опасного типа. Доступ к техническим каналам передачи информации подразумевает получение контроля над беззащитной системой, с возможностью ее блокировки, наведения искажений и помех, а также несанкционированного использования ресурсов базы данных. Получение доступа к информации, находящейся под защитой, может осуществляться посредством использования передающего импульс устройства, которое выводит из строя большую часть инженерно-технического оборудования защитного назначения.
Методы техзащиты каналов, по которым потенциально может произойти утечка информации, основываются на решениях, разрабатываемых специализированными проектными организациями, обладающими лицензией ФСТЭК. Кроме того, соответствующие методы могут разрабатываться службой безопасности самой компании. Выделяются три базовых этапа проведения работ.
Мероприятия по выстраиванию комплексной системы защиты данных
Разработка базовых принципов выстраивания системы защиты данных комплексного характера должно начинаться с анализа потенциальных рисков, с выявлением конкретных проблемных зон. К таким зонам часто относят следующее:
Разработка и определение базовых принципов выстраивания комплексной защиты данных на этапе проведения оценки должны включать в себя изучение потенциальных действий работников предприятия, разделение рабочих запросов по категориям свой/чужой, назначение конкретных групп доступа для специалистов предприятия и доверенных лиц. Выявление подозрительных или ненадежных сотрудников компании осуществляется за счет проведения поведенческого анализа специалистов.
Технические средства защиты информации (СЗИ)
Обеспечение технической безопасности защищаемых, конфиденциальных и секретных данных может осуществляться с применением различных методик и средств. В частности, может использоваться:
Использование специальных программ является наиболее эффективным способом контролирования процессов обмена конфиденциальной информацией, а также ограничения доступа к защищаемым данным посторонним лицам. В компании не должны применяться нелицензированные программные продукты, а также программное обеспечение, имеющее сертификаты безопасности специализированного характера. Использование программ без лицензий может привести к тому, что в системе распространятся вирусы. Целью вредоносного ПО является сбор защищенных данных, с последующей их передачей третьим лицам.
Аппаратные средства защиты информации
К аппаратным СЗИ относятся различные устройства, позволяющие эффективно пресекать разглашение или утечку конфиденциальных данных, с обеспечением полной защиты от несанкционированного доступа к секретной информации. К подобным аппаратно-техническим средствам относятся шумогенераторы, сетевые фильтры, радиоприемники сканирующего типа и т.д. Чтобы устройства смогли быть причислены к данной категории, они должны обладать следующим функционалом.
Аппаратные средства характеризуются высокой эффективностью в вопросе обеспечения безопасности компании, с обеспечением должной защиты от субъективных факторов воздействия и использования сторонних модификаций. Впрочем, не обходится без недостатков. Аппаратные средства не проявляют достойной гибкости, могут иметь большой объем и массу, а также характеризоваться высокой ценой. С точки зрения предоставляемых функциональных возможностей, аппаратные средства подразделяются на устройства для рекогносцировки, выявления, обнаружения, детализации измерительного процесса, активной и пассивной защиты.
Защита информации организационно-технического типа
Организационно-техническая защита данных позволяет обеспечивать контроль за доступом к конфиденциальным данным, в том числе и в плане ограничения работы с защищаемой информацией путем задействования разграничений полномочий специалистов предприятия. На данном этапе могут предприниматься следующие меры.
Защитные средства инженерно-технического характера
В категорию инженерно-технических защитных средств, не включающую в себя программные, физические и аппаратные методики, входят специализированные средства криптографического и шифровального типа, позволяющие обеспечить безопасность хранения телеметрических и компьютерных данных, телефонных переговоров, информационных сообщений и тому подобной информации. Математическое преобразование данных позволяет гарантировать полное нераспознавание информации посторонними личностями. В рамках криптографической защиты может использоваться как открытый, так и симметричный ключ.
Во многих случаях в организациях устанавливается защитная система комбинированного типа. Она включает в себя программные, аппаратные, физические и криптографические методы защиты от хищения конфиденциальной информации и проникновения посторонних лиц. Так что, разделение описанных методик на отдельные категории является делом условным. Под информационной защитой подразумевается полный комплекс методических модулей программно-аппаратного характера, с оснащением разными шифровальными алгоритмами для повышения уровня защищенности информации.
Требования к системе защиты информации
Технические и криптографические требования к системам защиты данных обнаруживаются в таких документах, как ГОСТ 50922-2007, 52863-2007, 51624-2000, 51275-2007.
Разработка защитных средств специализированного типа должна осуществляться организациями с лицензией ФСТЭК, действующими в тесной взаимосвязи со службой безопасности компании. При этом совместной проработке должны подвергаться конкретные требования защиты, использующиеся аналитические методики, определение уровня защитных средств, выбор аппаратуры и программного обеспечения, вопросы организации рабочего процесса с предупреждением и выявлением случаев нарушения целостности контуров защиты. Информационные объекты должны проходить обязательную аттестацию.
Общие рекомендации по защите информации
Рекомендации, касающиеся обеспечения защиты информации можно обнаружить в спецтребованиях СТР-К. Заметим, что предоставляемые рекомендации определяются категориями защиты, режимами обработки данных, степенью конфиденциальности информации. Рекомендуется использовать дифференцированный подход с осуществлением разработки и применением мер защиты, обеспечивающих противодействие стороннему доступу к информации.
Лицензирование в области защиты информации
Основной особенностью технического обеспечения является обязательная необходимость проведения сертификации средств защиты, с лицензированием доступа к данным, представляющим коммерческую тайну. Лицензирование и сертификация проводятся в соответствии с требованиями ФСТЭК.
Выбор типа лицензии зависит от того, к какой области относится деятельность предприятия. Немаловажное значение также будет иметь уровень намеченных задач по обеспечению безопасности информации.
Получение выбранной лицензии (СЗКИ, ТЗКИ, ТЗИ ГТ, СЗИ ГТ, ПД ИТР) связано с проделыванием следующей последовательности действий.
После подачи необходимых документов лицензия выдается регулятором в течение 45 дней.