Услуги по защите информации от внутренних угроз и утечек конфиденциальных и персональных данных

Требования со стороны бизнеса к защите конфиденциальной информации растут год от года, топ-менеджмент охотнее финансирует проекты по информационной безопасности, а разработчики предлагаю всё более технологичные решения. При этом одним из определяющих критериев при выборе решений остается его итоговая стоимость, включающая цену программного обеспечения, аппаратных компонентов, работ. Большинство проектных работ во многих организациях для снижения итоговой стоимости по-прежнему выполняются силами собственных специалистов. С одной стороны, это действительно позволяет минимизировать затраты на проектные работы, но с другой стороны — приходится использовать квалифицированных сотрудников в зачастую рутинных операциях, в то время как отделам информационной безопасности и без этого не хватает ресурсов. Более того, использование собственных ресурсов возможно далеко не во всех операциях, так как, например, для проведения аудита необходимы особые компетенции, которые лишь отчасти связанны с информационной безопасностью.

Компания SecurIT разработала специальные пакеты услуг, опираясь на свой международный опыт и потребности бизнеса заказчиков:

• построение системы защиты персональных данных,
• аудит информационной безопасности,
• планирование и реализация пилотного проекта,
• разработка политик безопасности,
• развертывание средств IPC в информационной сети организации,
• поддержка и обновления продуктов,
• обучение и развитие специалистов служб ИБ.

Услуги являются важной составляющей IPC-решений компании и позволяют организациям реализовывать комплексный подход к проектам защиты конфиденциальной информации от внутренних угроз. Основное преимущество пакетов услуг SecurIT — обширные компетенции Сервисного центра компании — специалисты SecurIT имеют опыт планирования, внедрения, управления и поддержки комплексных СУИБ в крупнейших российских и западных корпорациях различных сфер деятельности. Для реализации комплексных проектов по информационной безопасности, выходящих за рамки внутренних угроз, компания SecurIT может привлечь лучших бизнес-партнёров. Заказ пакетов услуг SecurIT позволяет не только получить высококвалифицированный сервис, но и минимизировать издержки компании, высвободить рабочее время сотрудников служб информационной безопасности для выполнения их непосредственных задач.

Построение системы защиты персональных данных

Защита персональных данных физических лиц, обрабатываемых организацией, является одной из важнейших задач в области информационной безопасности. К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице. Согласно требованиям закона 152-ФЗ «О персональных данных» информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями настоящего закона к 1 января 2010 года. Положения закона дополнительно уточняют постановления правительства № 781 от 17 ноября 2007 и № 687 от 15 сентября 2008, а также «Приказ трёх» (совместный приказ ФСТЭК, ФСБ, Мининформсвязи) N 55/86/20 от 13 февраля 2008 года. В частности, необходимо защищать персональные данные с использованием шифровальных средств, средств предотвращения несанкционированного доступа и утечек информации по техническим каналам в процессе сбора, систематизации, накопления, хранения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных.

За несоблюдение положений закона 152-ФЗ «О персональных данных» предусматривается гражданская, уголовная, административная, дисциплинарная и другие виды ответственности. Более того, в определенных случаях следствием нарушения организацией закона «О персональных данных» может стать временная приостановка деятельности или отзыв лицензии. Надзор в сфере персональных данных выполняют ФСБ РФ, ФСТЭК России и Роскомнадзор, который вправе проводить плановые и внеплановые проверки организаций, обрабатывающих персональные данные.

Компания SecurIT имеет широкий опыт построения систем защиты персональных данных «под ключ». Специалисты SecurIT и бизнес-партнеры компании берут на себя весь комплекс работ, необходимый для приведения информационной сети организации в соответствие с законодательством и руководящими документами надзорных органов. Проект построения комплексной системы защиты персональных данных включает в себя:

• Первичное обследование и классификацию существующих информационных систем обработки персональных данных (ИСПДн).
• Аудит существующих процессов обработки персональных данных и их соответствия нормативно-правовым документам.
• Построение актуальных моделей угроз информационной безопасности персональных данных и модели нарушителя.
• Создание концепции и проектирование подсистемы информационной безопасности для информационных систем обработки персональных данных (ПИБ ИСПДн) .
• Разработку документированных процедур обработки персональных данных и политик доступа к ним со стороны сотрудников организации.
• Внедрение технических решений для защиты персональных данных.
• Написание необходимой эксплуатационной документации.
• Подготовку к получению лицензий ФСТЭК России и ФСБ РФ.
Аттестационные испытания и оформление аттестата соответствия, подтверждающего соответствие ИСПДн государственным стандартам и требованиям надзорных органов.

Построение системы защиты персональных данных специалистами SecurIT и бизнес-партнеров позволяет минимизировать издержки на приведение существующих информационных систем в полное соответствие законодательству и требованиям регуляторов. При этом необходимость изменения существующих в компании бизнес-процессов сводится к минимуму, что дает возможность дополнительно сократить расходы на соответствие требованиям закона 152-ФЗ «О персональных данных». Система защиты персональных данных также позволяют минимизировать внимание со стороны надзорных органов и возможные претензии со стороны субъектов персональных данных — работников, партнеров и клиентов. Более того, полное соответствие различным требованиям по защите персональных данных улучшает имидж организации и повышает ее инвестиционную привлекательность.

Напоминаем, что согласно пункту 3 статьи 25 Федерального закона 152-ФЗ «О персональных данных» все информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.

Аудит информационной безопасности

Применение информационных технологий значительно расширяет возможности деятельности организации и одновременно с этим создает новые операционные риски. Внутренние угрозы ИБ связаны с любым созданием, хранением, использованием, изменением, пересылкой и уничтожением информации. Любой сотрудник в компании является инсайдером и представляется потенциальную угрозу конфиденциальности данных организации. Современные аналитические исследования показывают, что большинство утечек является случайными, когда сотрудник непреднамеренно пересылает конфиденциальную информацию по электронной почте или через социальные сети, выносит записанную на флешку информацию, теряет ноутбук или распечатки документов. Любая подобная утечка может не только привести к значительным имиджевым потерям, но и к прямым многомиллионным убыткам или лишению лицензий на деятельность. Важно объективно оценить уровень рисков, возможный ущерб и расставить приоритеты при разработке рекомендаций для минимизации рисков и возможного ущерба. Аудит позволяет организации создать фундамент для разработки политик ИБ и построения эффективной системы внутреннего контроля.

Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной сети, локализовать имеющиеся проблемы и разработать эффективную программу построения СУИБ организации. Аудит ИБ включает в себя анализ существующих концепций, стандартов, политик и решений информационной безопасности, организационной документации и требований бизнеса организации, оценку соответствия нормативно-правовым актам и отраслевым стандартам. Самостоятельно провести полноценный аудит практически невозможно из-за отсутствия специалистов в штате организации и нецелесообразности их найма специально для проведения аудита. Крайне важным аспектом при аудите является независимость и объективность аудиторов — от результатов аудита в конечном итоге зависит эффективность информационной безопасности и конкурентоспособность бизнеса.

Разработка политик информационной безопасности

Создание эффективной системы внутреннего контроля невозможно без разработки и внедрения единых для всей организации стандартов и политик информационной безопасности. Стандарты ИБ позволяют формализовать процедуры, касающиеся защиты данных, и минимизировать несогласованность действий между службой информационной безопасности и другими подразделениями организации. Стандарты ИБ создают фундамент для внедрения частных политик безопасности, применения технических решений и будущего развития информационной безопасности на предприятии. Организационные меры играют огромную роль в построении эффективной СУИБ, так как их внедрение позволяет добиться эффективности от технических и административных решений и минимизировать риски нарушения правил ИБ со стороны сотрудников, что впоследствии может обернуться в неэффективность даже самых современных технических решений.

Ключевыми административными инструментами информационной безопасности являются общие и частные политики ИБ. От соответствия политик требованиям бизнеса компании зависит эффективность технических решений и информационной безопасности в целом. Разработка политик ИБ в области защиты информации от внутренних угроз — трудоемкая задача, требующая не только понимания задач бизнеса, но и знания нормативно-правовой базы, опыта подрядчика. Именно опыт позволяет еще на этапе разработки политик ИБ определить их реальную эффективность. Очевидно, что при написании политик защиты от инсайдеров, безопасного хранения и использования информации, необходимо соблюдать разумный баланс между безопасностью и эффективностью бизнес-процессов. Можно внедрить слишком жесткие политики, которые будут сознательно игнорироваться или просто мешать основному бизнесу, а можно слишком либеральные, которые не будут способствовать предотвращению утечек информации. Специалисты SecurIT имеют обширный опыт разработки стандартов и политик информационной безопасности для организаций различных масштабов и сфер деятельности.

Пилотный проект и технико-экономическое обоснование внедрения защиты информации от внутренних угроз

Выбор технических решений для защиты конфиденциальной информации не менее сложная и трудоемкая задача, чем внедрение политик информационной безопасности. Для выбора подходящего решения требуется сделать выбор из множества продуктов и технологий. Самостоятельное тестирование и сравнение решений требует существенных ресурсов и квалифицированных специалистов и при этом не гарантирует получение необходимого результата. С одной стороны, такой подход может казаться оптимальным, однако на практике самостоятельное тестирование и выбор продуктов является крайне трудоемким и сложным процессом. Зачастую в конечном итоге процесс выбора технических решений сводится либо к сравнению по рекламным описаниям, либо к разбиению системы внутреннего контроля на несколько подсистем с обособленными решениями. В таком случае приходится забывать и об оптимальном выборе, и о комплексном подходе к защите конфиденциальной информации от внутренних угроз.

Компания SecurIT реализует пилотные проекты комплексных IPC-решений «под ключ», позволяя оценить работу системы защиты конфиденциальной информации в реальных условиях без существенных трудозатрат со стороны специалистов служб информационной безопасности. Пилотный проект позволяет контролировать существующую конфиденциальную информацию организации в реальном времени, собирать полноценную статистику ее использования и перемещения. Это позволяет заранее оценить реальные угрозы и нарушения политик безопасности со стороны сотрудников и проверить IPC-решения SecurIT в реальных условиях. При этом предусматривается внедрение IPC-решений и в режиме журналирования, когда все нарушения будут лишь фиксироваться, и не будет происходить блокировки реального трафика. Несомненным преимуществом пилотного внедрения IPC является и то, что в процессе такого внедрения специалисты службы информационной безопасности имеют возможность лично общаться с ведущими инженерами Сервисного центра SecurIT, которые имеют опыт развертывания IPC во многих ведущих российских и западных компаниях.

Успешное проведение пилотного проекта значительно облегчает технико-экономическое обоснование внедрения IPC-решений в качестве комплексной системы защиты информации от внутренних угроз. Топ-менеджменту станет доступна актуальная информация о текущих нарушениях политик информационной безопасности, что существенно упростит обоснование финансирования боевого внедрения IPC-решений для защиты конфиденциальных данных организации.

Внедрение IPC-решений

После проведения аудита, разработки и внедрения стандартов и политик ИБ, выбора технических решений и их приобретения перед службой информационной безопасности встает вопрос о необходимости развертывания системы внутреннего контроля в масштабах всей организации. Очевидно, что эффективность политик ИБ напрямую зависит от того, кто и как будет внедрять технические решения. В такой ситуации компетенции специалистов, которые должны осуществить максимально щадящее внедрение, являются залогом успеха всей будущей системы защиты информации от внутренних угроз.

Внедрение комплексных систем внутреннего контроля — сложная и трудоемкая задача, требующая комплексного подхода и соответствующего опыта. С одной стороны, с ней могут справиться и штатные специалисты службы информационной безопасности, с другой — для внедрения любых комплексных решений требуется время и соответствующие компетенции, ведь любая оплошность в процессе может привести к невынужденным простоям и прямым убыткам. Необходимость мягкого внедрения в существующую информационную инфраструктуру еще более осложняет задачу, так как требует знаний особенностей внедряемых решений. Дополнительно на этапе внедрения разработанных политик могут потребоваться внешние консультанты и лингвисты, которые будут помогать настроить все системы наиболее корректно.

Специалисты Сервисного центра SecurIT имеют широкий опыт проведения всего перечня работ, необходимого для успешного развертывания IPC-решений. Внедрение силами специалистов SecurIT позволит не только минимизировать издержки со стороны служб информационной безопасности, но и добиться максимальной эффективности от выбранного решения для защиты от внутренних угроз и утечек информации.

Техническая поддержка

Одной из основных задач, стоящей перед службой информационной безопасности после успешного внедрения IPC-решений, является необходимость обеспечения непрерывности работы и своевременного обновления всех систем. Благодаря прозрачной архитектуре IPC-решений и удобной системе централизованного управления с этими задачами могут успешно справляться штатные специалисты организации, прошедшие курсы обучения SecurIT. В такой ситуации взаимодействие со специалистами Сервисного центра SecurIT сводится к обмену опытом и получению необходимых обновлений для продуктов. Однако опыт большинства организаций показывает, что передача рутинных задач по поддержке и обновлению продуктов на аутсорсинг является эффективным шагом, который позволяет разгрузить штат службы информационной безопасности для новых проектов.

Сервисный центр SecurIT с 2001 года успешно оказывает услуги по технической поддержке собственных IPC-решений. Центр позволяет организовать круглосуточную техническую поддержку в режиме 24x7, упростить рутинные процессы для внутренних специалистов, снизив риски, связанные с эксплуатацией и обновлением продуктов. Техническая поддержка оказывается ведущими инженерами Сервисного центра, которые имеют возможность непосредственной связи со всеми внутренними службами SecurIT. Не секрет, что эксплуатация даже сверхнадежных ИТ-решений всегда сопровождается активным общением со специалистами технической поддержки разработчика по различным вопросам: начиная от получения рекомендации по настройке и заканчивая обменом опытом эксплуатации. Расширенная техническая поддержка решений позволяет решать возникающие вопросы максимально оперативно, обеспечивая непрерывность защиты информации в любой ситуации.

Обучение и развитие персонала

Эффективность системы внутреннего контроля в значительной мере зависит от компетенций обслуживающих ее специалистов. Именно эти специалисты управляют техническими решениями, настраивают политики безопасности, анализируют создаваемую, передаваемую, хранимую и архивируемую конфиденциальную информацию. Одним из основных предъявляемых к персоналу требований является систематизированный подход ко всем процедурам управления. Систематизация процедур и функций достигается как за счет разработки и внедрения политик ИБ, так и за счет личным знаний каждого специалиста, ведь даже самые жесткие административные меры могут оказаться бессильными перед непреднамеренными ошибками или незнанием тонких аспектов со стороны обслуживающего персонала.

На базе Сервисного центра SecurIT проводятся специальные курсы для администраторов и аудиторов IPC-решений. В процессе обучения затрагиваются общие вопросы защиты конфиденциальных данных от внутренних угроз, вопросы администрирования и архитектуры IPC-решений и текущие рыночные тенденции и события, в том числе слушателям предоставляется уникальные данные Аналитического центра SecurIT по утечкам информации в России и мире. Такое обучение дает возможность специалистам служб информационной безопасности организаций, отвечающим за защиту информации от утечек, систематизировать необходимую информацию о IPC-решениях SecurIT и быть в курсе существующих тенденций отрасли. Курс позволяет минимизировать потенциальные риски менеджмента IPC и повысить общую осведомленность специалистов.

Анонсы

Zecurion и HeadHunter исследовали защиту данных в российских компаниях

Zecurion расширяет бизнес в новом офисе