Итак, чтобы обеспечить надежную защиту информации, необходимо провести ряд организационных и технических мероприятий, в том числе оценку информационной системы.
Для этого проводится проверка имеющихся элементов защиты информации и внедрение недостающих. Информационные ресурсы следует классифицировать по типам, уровню секретности, местонахождению, форме представления данных и конкретным ответственным лицам.
Одновременно должна быть разработана политика ИБ (этот документ определяет цели в области ИБ, а также причины, по которым ИБ важна для организации).
В рамках этой работы составляются должностные инструкции для IT-персонала, обслуживающего информационную систему, с указанием ответственности за нарушения.
К нормативным документам по ИБ, за выполнение которых отвечают все сотрудники компании, относятся:
соглашение о конфиденциальности;
инструкция пользователя компьютерной сети, правила работы с паролями, внешними файлами и т.д.;
положение о правах доступа к информационным ресурсам;
положение об архивировании и восстановлении данных;
порядок действий при возникновении нарушений правил.
Регламенты ИБ должны быть доведены до сведения ответственных сотрудников.
В идеале меры по обеспечению ИБ должны опережать развитие угроз. Поэтому в стратегии управления безопасностью компании следует учесть необходимость повышения качества СУИБ и запланировать для этих целей соответствующие ресурсы.
«В подавляющем большинстве российских компаний система управления рисками ИБ находится в зачаточном состоянии. Перечислим признаки такой ситуации.
Нет четкой определенной политики, методологии и процедуры управления рисками ИБ. Отсутствует реестр информационных рисков, на котором основаны декларация о применимости механизмов контроля и план обработки рисков. Как следствие, внутренние проверки ИБ проводятся хаотично и бессистемно, а выдаваемые рекомендации субъективны, фрагментарны и не имеют достаточного экономического обоснования. При этом вполне могут быть обнаружены как технические уязвимости, так и организационные недостатки в работе СУИБ предприятия. Однако отдельные и наиболее критичные информационные системы и бизнес-процессы могут полностью выпасть из поля зрения. А при таком подходе подсчитать возврат инвестиций в реализацию механизмов ИБ, оценить остаточные риски, определить уровень приемлемого риска и правильно обозначить приоритеты в сфере обеспечения ИБ не представляется возможным.
Международная организация по стандартизации (ISO) разработала ряд стандартов по внедрению СУИБ.
Стандарт ISO 17799 предназначен для всех организаций вне зависимости от сферы деятельности.
Стандарт ISO 27001 регламентирует проведение официальной сертификации СУИБ и описывает, в частности, следующие аспекты:
политика безопасности;
пользователи информационной системы;
физическая безопасность;
управление коммуникациями и процессами;
контроль доступа;
приобретение, разработка и сопровождение информационных систем.
«Можно назвать следующие общие меры для защиты информации:
управленческие, предполагающие обеспечение правильной организации, взаимодействия и планирования подразделений компании для решения задач в области ИБ;
операционные, направленные на реализацию функций обеспечения безопасности, выполняемых сотрудниками компании.
Выбор конкретных организационных или программно-технических мер защиты зависит от результатов оценки рисков ИБ.
Состав программно-технических мер защиты компании во многом зависит от специфики используемых информационных систем и тех задач, которые необходимо решать.
Вместе с тем на сегодняшний день существует несколько ключевых подсистем, которые должны входить в состав комплекса защиты информации в компании:
подсистема выявления компьютерных вирусов;
подсистема обнаружения несанкционированных воздействий злоумышленников на сеть;
подсистема анализа уязвимостей, позволяющих осуществить информационные атаки;
подсистема персонального и межсетевого экранирования для блокирования опасных пакетов данных;
подсистема контроля целостности для выявления последствий информационных атак;
подсистема выявления спама;
подсистема криптографической защиты информации (обеспечивает конфиденциальность и целостность передаваемых данных);
подсистема защиты от угроз, связанных с утечкой конфиденциальных данных;
подсистема мониторинга безопасности (выполняет функции централизованного сбора и анализа информации о событиях, связанных с угрозами)».