Обеспечение информационной безопасности - приоритетная задача любого бизнеса, работающего с данными вне зависимости от масштаба и отрасли. Создание эффективной системы информационной безопасности - это сложный процесс, состоящий из нескольких этапов:
-
Предварительное обследование информационной системы
-
Проектирование и создание системы защиты информации
-
Аттестация системы защиты информации
Каждый этап состоит из перечня действий, обеспечивающих создание единой системы защиты данных от угроз и соответствующих требованиям законодательства в части информационной безопасности.
Предварительное обследование информационной системы
Наиболее важным этапом построения системы является предварительное обследование информационной системы. Он позволяет определить текущее состояние системы и составить перечень последующих действий. Этап включает:
-
анализ структуры информационной системы, потоков данных, состава и мест размещения элементов информационной системы, ее физических и логических границ;
-
составление перечня взаимодействующих систем и их вариантов подключения;
-
отчет по результатам обследования.
Аудит информационной безопасности — это независимая оценка реального уровня защиты информации в компании. Аудит информационной безопасности компании охватывает изучение всех аспектов защиты информации, включая отдельные системы и процессы (серверы, сети передачи данных, системы хранения данных и т.д.).
Цели проведения аудита:
-
Снижения рисков утечки информации. Специалисты ActiveCloud определят уровень защиты информации, дадут рекомендации по повышению уровня безопасности и снижению рисков утечки данных.
-
Оптимизации затрат на СЗИ. Аудит позволит менеджменту компании планировать бюджет на поддержку процессов ИБ с учетом анализа рисков и снизить потенциальные финансовые потери из-за возможных инцидентов ИБ.
-
Построения бизнес-процессов. Аудит поможет оценить текущие ИБ и ИТ-процессы и разработать план по обеспечению необходимого уровня защиты информации компании.
-
Соответствия законодательству. Аудит позволит сформировать четкий план мероприятий по выполнению требований законодательства в сфере информационной безопасности и защиты персональных данных.
Перед работами по проектированию системы защиты информации осуществляется категорирование информации, которая будет обрабатываться в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, а также отнесение информационной системы к классу типовых информационных систем. Перечень работ по проектированию и созданию системы защиты информации должен быть указан в техническом задании на создание информационной системы.
Проектирование и создание системы защиты информации
-
Проектирование и создание информационной системы — это основной этап работ, который включает в себя следующие действия:
-
подготовку проекта общей схемы системы защиты информации информационной системы;
-
разработка технического задания на создание СЗИ;
-
разработку новой либо изменение существующей политики информационной безопасности в отношении аттестуемой СЗИ (включая разработку локальных нормативных правовых актов по защите информации в организации);
-
внедрение средств технической и криптографической защиты информации, проверку их работоспособности и совместимости с другими объектами информационной системы.
Аттестация системы защиты информации
Аттестация системы защиты информации — это комплекс мер в отношении информационных активов компании, направленный на подтверждение соответствия требованиям законодательства, в частности Приказа Оперативно-аналитического центра при Президенте Республики Беларусь №66 от 20 февраля 2020 года.
Системы, предназначенные для обработки, хранения и передачи информации ограниченного распространения, в том числе персональных данных, должны пройти аттестацию для подтверждения соответствия требованиям безопасности.
Аттестация информационной системы — это финальный этап работ, результатом которой становятся следующие действия:
-
разработка программы и методики аттестации СЗИ ИС;
-
проведение аттестации СЗИ ИС в соответствии с утвержденной программой и методикой аттестации (включая оформление протокола аттестации СЗИ ИС);
-
проведение испытаний системы защиты информации с подготовкой отчета;
-
сканирование элементов ИС на наличие уязвимостей с подготовкой отчета о проведении контроля эффективности защиты;
-
выдача аттестата соответствия системы защиты информации информационной системы требованиям по защите информации.
Требования приказа ОАЦ № 66 по централизованному сбору и хранению информации о событиях информационной безопасности специалисты ActiveCloud предлагают решить платформой безопасности BytisSP SIEM (https://bytis.by).
Специалисты ActiveCloud имеют значительный опыт по стендированию и развертыванию, настройке, администрированию и дальнейшей поддержке BytisSP SIEM как в инфраструктуре заказчика, так и в защищенном облаке E-Cloud Protected от ActiveCloud посредством VMware Cloud Director. Сервер BytisSP SIEM устанавливается под ОС Ubuntu 20.04 c помощью установочного bash-скрипта. BytisSP SIEM состоит из Elasticsearch, Kibana, Filebeat, Wazuh и сертифицирован в ОАЦ.
Для крупных клиентов можем посоветовать приобрести SIEM систему KUMA (Kaspersky Unified Monitoring and Analysis Platform).
Выполнение требований приказа ОАЦ № 66 по криптографической ЗИ, построении защищенных каналов специалисты ActiveCloud выполняют посредством средств канального шифрования ООО «ИТТАС» (itVPN) и ООО «С-Терра Бел» (BEL VPN Gate).
Для каждой аттестации специалисты ActiveCloud разрабатывают минимально необходимый набор документов: приказ о проведении аттестации, общую и детальные политики ИБ, акт об утверждении и введении в действие политик в области ИБ, акт отнесения ИС к классу типовых ИС, общую схему системы ЗИ ИС, техническое задание на создание системы ЗИ ИС, программу и методику аттестации системы ЗИ ИС, технический отчет, протокол проведения испытаний, аттестат соответствия.
В результате работы заказчик получает пакет документов, содержащих технический отчет, протокол испытаний, аттестат соответствия.
Сканирование на наличие уязвимостей специалисты ActiveCloud осуществляют посредстовом Nessus Vulnerability Scanner, для удобства использования формируют отчеты в полной и сокращенной форме, имеют опыт администрирования, поддержки, развертывания сканеров уязвимостей (Vulnerability management system).
Специалисты ActiveCloud имеют большой опыт выполнения всего комплекса работ по проектированию, созданию, аттестации СЗИ, который включает: проведение встреч с заказчиками, в том числе по продуктам BytisSP SIEM, S-terra, itVPN (ИТТАС), организацию и управление проектами, в том числе пилотными, разработку организационно-распорядительной, нормативной и отчетной документации, развертыванию, стендированию, настройке, администрированию и сопровождению СЗИ. ActiveCloud постоянно расширяет свой портфель решений направленных на обеспечение киберустойчивости заказчиков.
Компания ActiveCloud предлагает полный перечень услуг по обеспечению информационной безопасности для компаний-представителей разных сфер бизнеса. Для консультации по вопросам кибербезопасности оставьте заявку и мы обязательно с Вами свяжемся.