Этапы построения системы защиты информации

Введение

В условиях цифровизации информационная безопасность (ИБ) становится неотъемлемой частью устойчивого бизнеса. Чтобы защитить данные, репутацию и соблюсти требования законодательства РФ, компании должны подходить к ИБ системно: не просто внедрять технологии, а выстраивать процессы, регулярно обновлять подходы и вовлекать сотрудников. Чем прочнее система — тем ниже риски и выше доверие со стороны клиентов и партнеров.

Зачем нужна система обеспечения ИБ в организации

Система обеспечения информационной безопасности нужна каждой компании. Рассмотрим ключевые причины. 

Обеспечение непрерывности работы

Инциденты — будь то внутренние сбои или внешние атаки — не должны останавливать работу компании. Для этого ИБ-система включает:

• план восстановления после сбоев (DRP — Disaster Recovery Planning);
• резервное копирование данных (backup);
• отказоустойчивые кластеры, которые позволяют сохранять доступность сервисов даже при высокой нагрузке или сбоях.

Защита данных системы

Соответствие законодательству РФ

На данный момент есть множество законов, таких как ФЗ-152 «О персональных данных», которые обязывают компании обеспечивать высокий уровень защиты информации. Нарушения могут повлечь штрафы или даже приостановку деятельности. 

Финансовая целесообразность

Внедрение ИБ-системы в долгосрочной перспективе — это своего рода инвестиция. Расходы на ее реализацию будут несопоставимо ниже, чем на устранение последствий атак и оплату штрафов. Вдобавок инциденты могут привести не только к финансовым, но и к репутационным потерям. 

Этапы построения системы защиты информации

Шаг 1. Формирование требований к системе

Создание эффективной и результативной системы обеспечения информационной безопасности (СОИБ) начинается с формирования требований. На этом этапе важно определить цели, задачи и критерии системы. Чем точнее они сформулированы, тем проще будут проходить дальнейшая разработка и внедрение.

1. Формирование группы ответственных лиц

Первый шаг — назначение ответственных специалистов. Рассмотрим ключевые ответственные лица:

• эксперты в области ИБ-законодательства — обеспечивают соответствие системы правовым нормам;
• ИБ-инженеры — занимаются выбором, настройкой, сопровождением программных и аппаратных средств защиты информации;
• аналитики по информационной безопасности — оценивают угрозы и выявляют уязвимости;
• руководящий состав — утверждают бюджет, принимают стратегические решения и обеспечивают поддержку на уровне менеджмента.

2. Сбор исходных данных и аудит

После формирования команды необходимо собрать данные о текущем состоянии IT-системы. Рассмотрим ключевые задачи, которые входят в аудит.

• Анализ оборудования, сетевой архитектуры, политики доступа.
• Сканирование системы на уязвимости, не защищенные и открытые порты, устаревшее ПО.
• Выявление типов обрабатываемых данных и их уровня защищенности.
• Оценка рисков — вероятность и последствия потенциальных инцидентов.

3. Определение области и границ действия СОИБ

Следующий шаг — определение периметра защиты. Важно точно обозначить, какие данные и процессы необходимо защищать. При этом для разных компаний это будут совершенно различные направления. 

Например, для бизнеса в сфере производства критичными могут быть патенты, уникальные технологии или коммерческая тайна. Для банковского сектора — детализации транзакций, информация о клиентах или работниках.

Область действия СОИБ определяется с учетом специфики компании. Рассмотрим ключевые критерии.

• Тип данных: персональные данные, коммерческая или государственная тайна.
• Субъекты доступа: сотрудники, клиенты, подрядчики.
• Границы защищаемой системы: внутренние сети, облачные ресурсы.

4. Установление уровня защищенности

Уровень защищенности зависит от типа обрабатываемых данных и требований законодательства. Например, для компаний, которые работают с персональными данными, необходимо соблюдение базовых организационных и технических мер защиты из ФЗ-152 «О персональных данных» . Для КИИ (критическая информационная инфраструктура) требования выше, а уровень защищенности определяется в зависимости от категории значимости. 

5. Определение угроз

Теперь нужно провести анализ потенциальных угроз. При этом важно учитывать не только вероятность инцидента, но и возможный ущерб. Это поможет правильно расставить приоритеты в защите.

В зависимости от цели воздействия, угрозы можно условно разделить на четыре категории:

• Угрозы для данных — утечка, подмена или уничтожение информации. Снижаются за счёт ограничения прав доступа, шифрования, резервного копирования и внедрения DLP-систем.
• Угрозы для программного обеспечения — эксплойты, вредоносное ПО, уязвимости в системах. Для защиты стоит внедрить сегментацию сети, принцип минимальных привилегий, регулярное обновление ПО, антивирусные решения и системы анализа поведения.
• Угрозы для оборудования — выход из строя, физический доступ к серверам, отключение питания. Защита строится через СКУД, мониторинг состояния серверов, резервирование и ИБП (источники бесперебойного питания).
• Угрозы для инфраструктуры — масштабные атаки вроде DDoS или попытки проникновения в сеть. Здесь помогают межсетевые экраны, системы обнаружения и предотвращения атак (IDPS), а также специализированные решения для защиты от DDoS-атак.

Все угрозы можно также разделить по источнику:

• внешние — кибератаки со стороны злоумышленников;
• внутренние — человеческий фактор, злоупотребление правами доступа.

6. Определение требований к системе защиты информации

На основе анализа угроз и уровня защищенности нужно сформулировать конкретные требования к системе защиты. Рассмотрим их подробнее.

Технические меры — различные способы защиты информации, которые поделены на четыре группы:

• физические — системы контроля и управления доступом (СКУД), видеонаблюдение;
• аппаратные – межсетевые экраны, генераторы кодов; 
• программные – антивирусы и прочее защитное ПО;
• криптографические – средства криптографической защиты информации (СКЗИ).

Организационные меры:

• политики разграничения доступа, 
• инструктажи и регулярное тестирование сотрудников, 
• регламенты реагирования на инциденты.

Правовые меры: 

• соответствие законодательным требованиям в сфере ИБ,
• внутренние нормативные документы

7. Выбор мер управления и реагирования на риски

Процесс выбора мер управления и реагирования на риски направлен на определение наиболее эффективных способов обработки выявленных угроз с учетом их вероятности, последствий и финансовых возможностей компании

На этом этапе для каждого актуального риска нужно выбрать один из пяти основных подходов к его обработке.

• Игнорирование — допустимо в случаях, когда риск считается незначительным или его влияние не превышает допустимый уровень.
• Принятие — осознанное решение функционировать с риском, понимая его возможные последствия. Обычно это касается рисков, которые невозможно полностью устранить без значительных затрат, а финансирования недостаточно.
• Избегание — полное исключение факторов, которые создают угрозу.
• Делегирование — передача ответственности за риск на третьи стороны – например, через аутсорс-компании.
• Минимизация — внедрение мер для снижения вероятности возникновения угрозы или ее последствий. Это наиболее распространенный подход, который включает использование технологических, организационных и правовых инструментов.

Шаг 2. Создание системы защиты информации

После формирования требований переходим к разработке системы. Это этап превращения теоретических целей в конкретную техническую архитектуру и набор правил, по которым будет работать СОИБ.

1. Проектирование архитектуры системы

На этапе проектирования специалисты формируют техническую и организационную основу будущей СОИБ.

• Определяют архитектура системы: топологию сетей, структуру защиты, взаимодействие компонентов.
• Закладывают возможность масштабирования, чтобы система могла адаптироваться к новым угрозам и требованиям.
• Подбирают средства защиты: физические — например, системы контроля доступа, аппаратные (межсетевые экраны, модули доверенной загрузки), программные (антивирусы, DLP, SIEM и т. д., криптографические (СКЗИ).
• Разрабатывают регламенты и правила для сотрудников — как работать с защищенной информацией, что можно и чего нельзя.

Цель — создать систему, в которой всё работает согласованно: техника, люди и процессы.

2. Создание документации

После проектирования архитектуры все согласованные решения важно зафиксировать в документации. Это нужно для последующего аудита, упрощения взаимодействия с системой новых сотрудников, а также удобства внедрения и прозрачности системы.

Что включает документация:

• подтверждение соответствия законодательству;
• описание архитектуры и использованных технических решений;
• инструкции для сотрудников — порядок доступа к данным, реагирование на инциденты,
• конфигурации оборудования и программного обеспечения.

Шаг 3. Внедрение

Этап внедрения — это практическая реализация ранее разработанных решений. Здесь теория и обсуждения переходят в подключение и настройку — для запуска результативных мер защиты.

1. Установка и настройка аппаратных и программных СЗИ

На первом этапе ИБ-специалисты производят развертывание и конфигурирование технических решений, выбранных на этапе проектирования. Это важный этап: от корректности его прохождения зависит эффективность работы всей системы.

В зависимости от проектирования архитектуры системы, могут быть установлены различные аппаратные СЗИ: межсетевые экраны, системы контроля доступа, АМДЗ (аппаратные модули доверенной загрузки ) и так далее.

Также специалисты разворачивают и настраивают программные СЗИ: антивирусные программы, SIEM-системы, IDPS (системы обнаружения и предотвращения вторжений), DLP (data loss prevention, системы предотвращения утечек) и другие. Этот процесс требует точной и тщательной настройки, от которой зависит точность срабатываний и уровень защиты системы.

2. Внедрение правил и процедур, обучение сотрудников

Правила и внутренние инструкции должны определять особенности взаимодействия с защищаемой информацией. Например, в них могут быть описаны требования к созданию пароля или запрет передачи важной информации через почту.

Важно также держать на высоком уровне осведомленность персонала. Это поможет в противодействии внешним и внутренним угрозам. Помимо прочего, проведение практических тренингов под руководством ИБ-отдела (рассылка тренировочных фишинговых писем, обучение реагированию на утечки и т. д.) позволят сотрудникам оперативно реагировать на реальные атаки и сбои.

Шаг 4. Мониторинг и анализ работы

Даже самая продвинутая система требует постоянного контроля. После внедрения важно регулярно следить за ее работой, чтобы при необходимости реагировать на сбои и атаки, а также оптимизировать компоненты системы. 

Анализ эффективности проводят для оценки работы системы — как она справляется с текущими угрозами. А мониторинг активности с помощью SIEM- или DLP-систем позволяет выявлять аномалии и подозрительную активность.

Шаг 5. Совершенствование СОИБ

Сфера информационной безопасности развивается стремительно, а любую систему нужно дорабатывать для противодействия новым угрозам и законодательным требованиям. Важно постоянно отслеживать появление новых уязвимостей, чтобы своевременно обновлять их или заменять на более стабильные решения.

Политики и процедуры также важно периодически пересматривать для подтверждения соответствия системой уровня защищенности. Поводом для пересмотра может быть выход новых технологий, их обновление, а также корректировка или создание новых требований со стороны государства.

Шаг 6. Аттестация и лицензирование

Финальные этапы создания СОИБ — это аттестация и лицензирование. Они подтверждают соответствие законодательным требованиям и международным стандартам.

Аттестация подтверждает, что система отвечает требованиям безопасности, установленным на государственном уровне. Сначала проводится внутренний аудит: анализируются реализованные меры защиты и формируются подтверждающие документы. Затем систему проверяют независимые специализированные организации. В случае успешной оценки СОИБ получает аттестат соответствия.

Лицензирование — это получение права на осуществление деятельности, связанной с защитой информации.  Для получения лицензии нужно подготовить документы, подтверждающие соответствие системы требованиям. Далее — уполномоченный орган проводит проверку документации и аудит системы. Если компания успешно проходит эти этапы, ей выдается лицензия на определенный вид деятельности — например, техническую защиту конфиденциальной информации или разработку и производство СЗИ.

Как может помочь Selectel

Мы в Selectel знаем, насколько непросто пройти весь путь от проектирования СОИБ до финальной сертификации. Наши эксперты помогают не только с защитой инфраструктуры — сетей, физических и виртуальных серверов — но и с выполнением требований законодательства.

Готовы помочь с выполнением требований законодательства, защитить сетевую инфраструктуру, физические и виртуальные серверы, помочь с настройкой. Помимо прочего, бесплатно предоставляем сервисы для базовой безопасности. Также можем порекомендовать проверенных партнеров, которые специализируются на сертификации и лицензировании. Это упрощает процесс — вы экономите время и ресурсы, а задача соответствия требованиям становится гораздо более управляемой.

О чем нужно позаботиться вам

Несмотря на то, что мы прилагаем все усилия для обеспечения безопасности на разных уровнях, а также можем привести вашу инфраструктуру в соответствие со 152-ФЗ, часть ответственности — за клиентом. В зависимости от того, каким продуктом вы пользуетесь, зоны ответственности этой работе различаются.

Заключение

Построение надежной системы информационной безопасности — это сложный, но важный путь. Он требует внимания к деталям, технической экспертизы и постоянной работы. Однако при правильной организации, четкой структуре и надежными партнерами пройти его можно быстрее и эффективнее.

Если вы только начинаете — используйте эту статью как отправную точку. Если уже в процессе — помните, что мы в Selectel помогаем защитить инфраструктуру и предлагаем инструменты для безопасной работы, в том числе бесплатные. Помимо прочего, рассказываем о лучших практиках и средствах информационной безопасности, требованиях и законодательных изменениях в Security Center.