Для каждого направления обеспечения ИБ характерны свои особенности защищаемых активов, применимые к ним нормативно-правовые требования и подходы организаций к риску.
Государственные информационные системы
Критическая информационная инфраструктура (КИИ)
Безопасность ИС финансовых организаций
Процессы менеджмента ИБ (управления ИБ)
Безопасная ИТ-инфраструктура и кибербезопасность
Защищенные сети передачи данных и доступ к сервисам
Государственные информационные системы
Основным документом, дающим определение государственной информационной системы (ГИС), является закон «Об информации, информационных технологиях и защите информации» от 26.07.2006 г. №149-ФЗ.
Такие системы создаются органами власти (федеральными и региональными) для реализации своих полномочий и функций в соответствии с федеральным законом или принятыми такими организациями правовыми актами (приказами, распоряжениями). То есть в ГИС обрабатывается информация, являющаяся официальным информационным ресурсом органа власти и используемая им. Аналогичные требования распространяются на муниципальные ИС.
Специалисты компании обладают значительным опытом и выполнили десятки проектов для государственных заказчиков по созданию и защите ГИС в соответствии с Постановлением Правительства РФ №676 и Приказом ФСТЭК №17, а также требованиями ФСБ по криптографической защите информации.
Критическая информационная инфраструктура (КИИ)
В отличие от сфер ГИС и ПД, КТ в которых ключевым защищаемым активом является информация, в КИИ защите подлежат критические процессы, автоматизируемые с использованием ИС, АСУ, ИТКС (объекты КИИ).
В соответствии с Законом «О критической информационной инфраструктуре» от 26.07.2017 г. №187-ФЗ принципами обеспечения безопасности КИИ являются 1) законность 2) непрерывность и комплексность обеспечения безопасности 3) приоритет предотвращения компьютерных атак.
Постановлением Правительства РФ от 8.02.2018 г. определены критерии для отнесения объектов КИИ к значимым (категорирование объектов КИИ). Нарушение работоспособности таких объектов КИИ в результате компьютерной атаки может нарушить критический процесс, нанести вред и привести к неприемлемым последствиям.
Согласно 187-ФЗ и принятыми в соответствии с ним нормативными документами субъекты КИИ (организации, эксплуатирующие объекты КИИ, действующие в одной из 13 сфер) обязаны организовать систематическую деятельность по обеспечению безопасности КИИ. При этом в зависимости от наличия значимых объектов КИИ в организации можно выделить условно два уровня такой деятельности:
- Базовый для всех субъектов КИИ. Постоянно действующая комиссия по категорированию, ведущая регулярный обзор имеющихся, вновь создаваемых и модернизируемых объектов КИИ (ПП РФ №127, приказ ФСТЭК №236). Отсутствие значимых объектов КИИ. Организация процесса реагирования на инциденты ИБ. Взаимодействие с НКЦКИ (приказы ФСБ №№366, 367, 368, 196, 281, 282).
- Наличие значимых объектов КИИ. Включает мероприятия Базового. Субъект КИИ создает отдельное подразделение по обеспечению безопасности КИИ, выстраивает комплекс процессов менеджмента ИБ (приказ ФСТЭК №235), обеспечивает ИБ для жизненного цикла своих значимых объектов КИИ (приказ ФСТЭК №239).
Безопасность ИС финансовых организаций
Безопасность в финансовых организациях активно координируется и регулируется деятельностью Банка России. Данная сфера отличается усиленным вниманием Предпосылки для ИБ следующие:
-
Необходимость защиты персональных данных (152-ФЗ).
-
Необходимость участия банков и финансовых организаций в международной финансовой системе, для которой характерны свои отраслевые требования ИБ (например, стандарт PCI DSS, SWIFT и др.).
-
Высокие риски кибербезопасности и кибермошенничества.
Банки и их клиенты имеют дело с финансовыми активами, которые представляют особый и главный интерес для киберпреступников — от начинающих до продвинутых. Масштабы киберпреступности с каждым годом растут и данная угроза занимает одно из первых мест.
Поэтому Банком России принимаются нормативные документы, регулирующие ИБ в различных сферах банковского и финансового рынка (СТО БР ИББС, ГОСТ 57580, положения №382-П,683-П, 684-П). Эффективность их внедрения финансовыми организациями является одним из ключевых показателей в рамках лицензирования и надзора.
Также особую актуальность для банков имеет реализация Единой биометрической системы в РФ, которая планируется для предоставления банковских и иных услуг в дистанционной форме. Требования по безопасности системы сбора биометрических персональных данных и использования БПДн для идентификации клиентов установлены приказом Минкомсвязи от 25.06.2018 г. №321. При этом требуется обеспечивать соответствие мероприятий ИБ в соответствии с ГОСТ Р 57580.1.
Совокупность требований и условий обязывает банки и финансовые организации создавать подразделения ИБ, организовывать зрелые процессы обеспечения ИБ и применять ПО, прошедшее процедуру анализа уязвимостей по ОУД-4 (ГОСТ Р ИСО/МЭК 15408-3-2013). А также обеспечивать независимые аудиты процессов и систем ИБ внешними организациями, обладающими лицензиями. Команда АСПЕКТ-СЕТИ обладает достаточным опытом в организации процессов ИБ и проведении аудитов ИБ в соответствии с требованиями.
Процессы менеджмента ИБ (управления ИБ)
Место ИБ в организации является предметом постоянных разногласий, поскольку функция ИБ недостаточно проста для понимания как специалистами, так и опытными управленцами.
В нашей компании сформирован свой взгляд на место ИБ. Он заключается в том, что Управление ИБ (менеджмент ИБ) — это совокупность процессов управления требованиями в области ИБ. То есть основным объектом этого процесса являются требования. Исходя из этого CISO (Chief Information Security Officer) является владельцем данного актива — совокупности процессов и требований. Задача владельца процессов управления ИБ состоит в обеспечении их соответствия требованиям заказчика, то есть бизнеса или организации. Он помогает сформулировать эти требования и перевести в терминологию ИБ, в требования ИБ. Довести до всех процессов организации посредством процессов управления ИБ.
Процессный подход дает достаточно точное определение места ИБ в организации. Тем самым позволяет абстрагироваться от проблемы подчинения подразделений и сосредоточиться на функциях и объектах процесса. Более того такой подход является основой для стандартов в области ИБ и наиболее известного – ISO 27001:2013 Information technology – Security techniques – Information security management systems – Requirements. Следует заключить, что этот подход ввиду системности требует определенного уровня зрелости управленческой модели.
Наша компания при оказании услуг по организации процессов ИБ использует в основе идеологию данного стандарта в том объеме, в котором он применим в соответствующих организациях и информационных системах. Также мы готовы помочь организациям в выстраивании процессов менеджмента ИБ в соответствии с данными стандартом и стандартами серии 27000.
Безопасная ИТ-инфраструктура и кибербезопасность
Для информационной безопасности ключевым является обеспечение защищенности интересов участников общего дела в отношении информации. До недавнего времени можно было довольствоваться этим термином, поскольку интенсивность киберугроз не росла такими темпами, как сейчас. К Интернет сегодня подключают всё больше информационных и автоматизированных систем. Количество задач растет, развиваются облачные технологии и цепочки предоставления таких услуг, появляются распределенные технологии хранения транзакций, повышается уровень абстракции от инфраструктуры автоматизируемых задач и процессов разработки.
Сегодня в полной мере сочетаются гибкость автоматизации с невнимательностью к вопросам безопасности. Поэтому риски киберугроз постоянно растут и будут расти дальше.
Потребность в обеспечении кибербезопасности ИТ-инфраструктуры и сервисов организаций становится актуальной.
Отсюда кибербезопасность — это совокупность процессов обеспечения постоянной готовности к киберугрозам. По сути они дополняют базовые меры ИБ новыми подходами, техниками, требованиями к компетентности.
К таким новым мерам, которые уже есть среди требований, например, предъявляемых к банковским ИС, можно отнести:
-
непрерывное внимание к ИТ-активам организации на всех этапах жизненного цикла;
-
мониторинг конфигурации, сетевых потоков, событий;
-
регулярный аудит уязвимостей в технологиях, аппаратном обеспечении, программном обеспечении, конфигурации, процессах;
-
подписка на источники информации об угрозах;
-
предотвращение, обнаружение, реагирование и устранение последствий компьютерных инцидентов;
-
киберучения, проводимые для персонала;
-
регулярные внутренние и внешние аудиты ИБ;
-
тестирование на проникновение (pentest) – независимый поиск всех возможных уязвимостей в конфигурации и процессах системы защиты;
-
Red Team-исследования – независимая проверка эффективности защиты в условиях незаметности атакующего;
-
поиск уязвимостей в ПО;
-
защищенный цикл разработки ПО (SDLC).
Специалисты АСПЕКТ СПб обладают многолетним опытом в создании безопасных ИТ-инфраструктур и ИТ-сервисов и готовы помочь организациям в их создании и поддержке.
Защищенные сети передачи данных и доступ к сервисам
Сегодня нет организаций, которые не применяли бы распределнные вычислительные сети и удаленный доступ к ИТ-сервисам. Многие сервисы для целей доступности выносятся во внешние ЦОДы и размещаются у облачных провайдеров. Для доступа к сервисам применяются мобильные технологии, а сами сервисы интегрируются с партнерами по бизнесу, с внешними порталами и социальными сетями. Сотрудники получают право использовать личные устройства. Выходить на работу удаленно и работать из дома в любое время. Телефонная и видео связь, доступность сотрудников посредством месенджеров и других средств коммуникаций становится повсеместной. Периметры организаций и контролируемых активов размываются. Резко возрастает и количество используемых приложений,
В этой связи встает вопрос организации безопасной инфраструктуры сетевого доступа к сервисам организации и сервисам Интернет, а также их защиты от актуальных угроз и возможных атак.
Сотрудники группы компаний АСПЕКТ СПб имеют более чем 20-летний опыт в организации корпоративных вычислительных сетей, систем защиты периметра, систем криптографической защиты каналов связи (СКЗИ по требованиям ФСБ РФ), систем управления доступом на канальном уровне (802.1x, RADIUS), систем управления мобильными устройствами (MDM), систем мониторинга сетевого трафика и сетевых потоков, систем корреляции событий (SIEM).