• Главная
  • Построение систем защиты информации

Построение систем защиты информации

Наша компания оказывает высококвалифицированные услуги по технической настройке информационной защиты предприятий и организаций, что позволяет предотвратить попытки несанкционированного доступа или утечки сведений/данных компании.

Защита информации предприятия на техническом уровне – это комплекс работ, подразумевающий оснащение помещений специализированными средствами, направленными на ограничение стороннего доступа. В рамках организации защиты будет проводиться шифрование данных предприятия, обнаружение потенциальных каналов информационной утечки, регулярное обновление способов и средств поддержания безопасности, а также информирование рабочего коллектива о необходимости придерживания определенных правил.

С помощью технической защиты предприятия становится возможным улучшить сохранность технологической информации, патентованных данных, ноу-хау, приобретенных лицензий и методик, а также личных наработок. Средства и методы технической защиты гарантируют максимальную информационную безопасность данным, касающимся финансовых операций, контрагентов, кредитов, а также ПНД (персональных данных) работников, руководящих органов, поставщиков и клиентов.

Чтобы выстроить максимально эффективную техническую защиту в базах данных, информационных системах, глобальной сети и в организации в целом, вся информация, которая хранится и обрабатывается на предприятии, должна быть грамотно рассортирована по степени ценности и индивидуальной специфике.

Основные объекты системы техзащиты данных

  • БД (базы данных), в которых хранится информация о заказчиках (клиентах), партнерах и поставщиках ресурсов, товаров и услуг.
  • Электронная и бумажная документация, включая данные ЭДО (электронный документооборот).
  • Сведения, представляющие коммерческую тайну, включая такие финансовые данные, как активы/пассивы компании, зарплата важных сотрудников, кредиторская и дебиторская задолженность и т.д.
  • Технические, технологические и производственные данные, включая специфику основных производственных процессов, технологическую топологию цепочек, состав производственного оборудования, ноу-хау и т.д.

Основные риски для объектов техзащиты данных

  • Внешние риски – злоумышленники, конкурентные организации.
  • Внутренние риски – собственные сотрудники предприятия, включая представителей руководящих органов.

Стоит учитывать, что доступ к коммерческой тайне имеют в том числе и сотрудники предприятия, и они могут сознательно или несознательно передать его третьим лицам, заинтересованным в нанесении вреда компании. Что касается руководства, то его представители также могут не обращать внимания на важность процесса обеспечения безопасности данных предприятия, считая соответствующие угрозы мнимыми, несущественными или ложными. Построение комплексной системы защиты информации будет начинаться с качественной разработки нормативов технического контроля информационной защиты.

В большинстве случаев, организация тщательного контроля за действиями сотрудников предприятия не представляется сложной задачей. Гораздо сложнее контролировать действия представителей руководящих органов.

Защита данных предприятия по техническим каналам

Построение системы защиты информации коммерческого или конфиденциального характера подразумевает проведение комплекса мероприятий, благодаря которым можно решить три основные задачи:

  1. Предотвращение доступа сторонних лиц на территорию помещений или строений, являющихся объектами хранения носителей защищенной информации.
  2. Защита носителей информации от уничтожения или порчи в результате вредоносных действий преступных элементов или форс-мажорных обстоятельств, таких как стихийные бедствия.
  3. Защита конфиденциальных данных от хищения, осуществляемого по техническим каналам.

Требования к средствам и оборудованию для защиты информации

  1. Круглосуточная готовность к возможной хакерской атаке.
  2. Многоуровневая система зон контроля (уровень защиты будет определяться ценностью охраняемой информации).
  3. Одномоментное применение нескольких типов защитных средств в рамках построения системы защиты информации.
  4. Регулярное обновление технических каналов связи и средств защиты информации.

К каналам, через которые осуществляется хищение конфиденциальной информации, часто относится неэкранированная проводка, приборы и контуры, на которые воздействуют опасные электромагнитные поля. Доступ к каналу технической передачи данных подразумевает полную беззащитной системы перед потенциальной блокировкой, наведением помех, искажениям или несанкционированному пользованию базой данных. Чтобы получить доступ к защищаемой информации, преступники могут задействовать импульс передающие устройства, с помощью которых можно быстро вывести из строя защитное оборудование инженерно-технического типа.

Способы технической защиты каналов потенциальной утечки данных базируются на решениях специализированных проектных организаций с лицензией ФСТЭК, а также службы безопасности предприятия. В связи с этим выделяют три основных рабочих этапа:

  1. Подготовка. Оценка потенциальных угроз для помещений, категоризация защищаемой информации, выделение бюджета на разработки инженерно-технического характера.
  2. Проектировка. Установка технических средств и специализированного программного обеспечения.
  3. Завершение. Ввод в эксплуатацию и сопровождение систем безопасности, включая своевременное обновление программного обеспечения.

Мероприятия по построению комплексной системы защиты информации

  1. Формирование отдела или службы безопасности предприятия.
  2. Применение специализированных технических устройств.
  3. Мониторинг всех слабых звеньев системы, через которые можно получить несанкционированный доступ к охраняемым данным.

Разработка принципов построения комплексной системы защиты информации должна начинаться с процесса оценки потенциальных рисков. К проблемным зонам зачастую относят:

  1. Технические возможности неконтролируемого доступа к конфиденциальной информации.
  2. Бреши в системе, через которые злоумышленники могут осуществить изменение, копирование или уничтожение важной информации.
  3. Каналы, через которые возможна утечка технологических, коммерческих или финансовых данных.

Разработка и выбор основополагающих принципов построения комплексной защиты информации на оценочном этапе также должна подразумевать изучение возможных действий сотрудников, разделение запросов на «чужие» и «свои», а также назначение групп доступа для рядовых сотрудников и доверенных лиц предприятия. Выявление ненадежных или подозрительных членов рабочего персонала осуществляется с помощью поведенческого анализа сотрудников.

Технические СЗИ (средства защиты информации)

Существуют различные виды обеспечения технической безопасности конфиденциальной информации, технологий и секретных данных. В этих целях могут применяться:

  • Антивирусные программы.
  • Программное обеспечение, призванное улучшить безопасность каналов связи, защищая их от несанкционированного доступа.
  • Программы, блокирующие выход в интернет.

Применение специализированного программного обеспечения является одним из самых эффективных способов контроля обмена защищаемой информацией и ограничения стороннего доступа к конфиденциальным данным. На предприятиях не должны использоваться программные продукты без лицензии, равно как и программы со специализированными сертификатами безопасности. Применение нелицензионного программного обеспечения может приводить к распространению вредоносных вирусов, целью использования которых является сбор информации и ее передача сторонним лицам.

Аппаратные СЗИ

К средствам защиты информации аппаратного типа относятся устройства различного характера, целью использования которых является пресечение утечки или разглашения секретных данных, а также защита конфиденциальной информации от несанкционированного доступа. К защитным средствам аппаратно-технического характера относятся сетевые фильтры, шумогенераторы, сканирующие радиоприемники и т.д. Чтобы попасть под данную категорию, устройства должны уметь выполнять следующие действия.

  • Проведение рекогносцировки системы на предмет вероятных каналов утечки секретных данных.
  • Определение и блокировка незащищенных каналов в помещениях и на объектах предприятия.
  • Локализация проблемных зон.
  • Обнаружение вредоносных устройств и программного обеспечения.
  • Противодействие незаконному доступу к защищаемой информации.

Аппаратные средства относятся к надежным защитным методам обеспечения безопасности предприятия, с защитой от воздействия субъективных обстоятельств и возможных сторонних модификаций. К минусам аппаратных средств можно отнести слабую гибкость, массу и объем, а также высокую стоимость. С функциональной точки зрения, их можно разделить на средства поиска, обнаружения, детализации проводимых измерений, а также пассивной и активной защиты.

Организационно-техническая информационная защита

Организационно-техническая информационная защита направлена на контроль доступа к важной информации, включая ограничение работы с конфиденциальными данными путем разграничения предоставляемых полномочий для сотрудников. К мерам, предпринимаемым на данном этапе, относится:

  • Подбор рабочего персонала, его тщательная проверка и профессиональный инструктаж.
  • Обеспечение проведения работ программно-технического характера.
  • Назначение ответственных лиц, которым будут вверяться определенные участки защитного оборудования.
  • Формирование принципов режимности работы объектов (включая секретный режим).
  • Осуществление физической охраны режимных объектов предприятия.
  • Установка металлических дверей, оконных решеток, взломостойких замков и т.д.

Инженерно-технические защитные средства

К средствам защиты информации инженерно-технического характера (без учета программных, аппаратных и физических средств) относятся специализированные криптографические шифровальные средства, с помощью которых можно обеспечить безопасность телефонных переговоров, компьютерных и телеметрических данных, информационных сообщений и т.д. С помощью математического преобразования информации становится возможность добиться полного нераспознавания информации сторонними субъектами. Криптографическая защита может оснащаться симметричным или открытым ключом.

В большинстве случаев, на предприятиях ставится комбинированная защитная система, подразумевающая и аппаратные, и физические, и программные, и криптографические методики защиты от проникновения и хищения важной информации. И любое разделение данных методик на группы более чем условно. Речь идет о полном комплексе программно-аппаратных методических модулей, оснащаемых различными шифровальными алгоритмами для максимизации защиты данных.

Требования по информационной защите

Требования, касающиеся криптографической и технической защиты данных, можно найти в таких ГОСТах, как 52863-2007, 50922-2007, 51624-2000, 51275-2007.

Разработка специализированных средств защиты информации производится организациями, которые получили лицензию ФСТЭК и работают в кооперации с отделом безопасности предприятия. Совместной проработке подлежат конкретные требования, аналитические методики, уровень средств защиты информации, выбор программного обеспечения и аппаратуры, а также организация рабочего процесса с целью выявления и предупреждения нарушения целостности защитных контуров, с обязательной аттестацией информационных объектов.

Рекомендации по информационной защите

Все рекомендации по обеспечению информационной защите можно найти в специальных требованиях СТР-К. Отметим, что рекомендации будут определяться категорийностью защиты, режимом обработки информации, а также степенью секретностью данных. При этом достаточным считается дифференцированный подход, позволяющий осуществлять разработку и использование защитных мер по противодействию несанкционированному доступу к данным.

Лицензирование в сфере информационной защиты

Главной особенностью техобеспечения является необходимость проведения обязательной сертификации защитных средств, а также лицензирования доступа к информации, являющейся коммерческой тайной, в соответствии со стандартами ФСТЭК.

Выбор вида получаемой лицензии будет зависеть от области деятельности компании или предприятия, а также уровня задач, намеченных в целях обеспечения информационной безопасности.

Чтобы получить соответствующую лицензию (ПД ИТР, СЗИ ГТ, ТЗИ ГТ, ТЗКИ, СЗКИ), необходимо проделать следующие действия:

  1. Провести работы по обеспечению безопасности в соответствии с требованиями, прописанными в законе.
  2. Гарантировать защиту помещений и провести тестирование необходимых компьютерных систем.
  3. Разработать программное обеспечение и нормативную документацию.
  4. Заказать специальную экспертизу.

Со времени подачи документов до непосредственного получения лицензии проходит около 45 дней.

ЧЕМ МЫ МОЖЕМ ВАМ ПОМОЧЬ?

СВЯЖИТЕСЬ С НАМИ

Отправить заявку
Карта проезда