Как понять, нужен ли компании ИБ?

Эксперты Инфозонта поделились тремя самыми распространенными проблемами в защите компаний.

Главная проблема каждой компании — люди. 
Безответственность, невнимательность и пренебрежение простейшими правилами приводит к самым сокрушительным нарушениям процессов. Легкомысленное отношение к приложениям устанавливаемым на компьютер или смартфон становится причиной утечек информации. А использование одного пароля для разных учетных записей является одной из главных угроз ИБ: взломав один пароль, злоумышленник получает доступ к нескольким базам данных.

Show must go on.
В компаниях нет политики управления резервными копиями с регулярным тестированием планов и процедур восстановления. Это приводит к тому, что в случае инцидента информационной безопасности они надолго выпадают из гонки на рынке услуг ввиду долгого восстановления процессов «с нуля». Но даже если компания никуда не торопится, то это не гарантирует полного восстановления данных и настроек ит-систем,  в крупной компании это просто невозможно.

Антивирус — не панацея.
Применение пассивных инструментов информационной безопасности в виде установки антивируса эффективны на коротком промежутке времени. Антивирус решает задачу сохранения целостности данных, но требует постоянного внимания и отлаженных процессов поддержки. Для его эффективной работы нужен специалист, который сможет раскрыть весь его потенциал через управление обновлениями, базами правил и мониторингом событий, а построение процессов компании с учетом целей ИБ поможет в оптимальном использовании ресурсов и покажет лучшую результативность при отражении атак.

Чек-лист поможет оценить защищенность компании.

Нормативное соответствие:

  1. Разработана и утверждена политика по информационной безопасности?
  2. Имеется независимое от ИТ подразделение или должностное лицо, отвечающее за вопросы информационной безопасности?
  3. Разработана модель угроз и модель нарушителя ИБ в Компании?
  4. Организован контроль за соблюдением нормативных правовых актов в области ИБ?

Внешняя защита:

  1. Есть понимание какие ресурсы выходят в интернет?
  2. Есть полный список сервисов опубликованных в интернет?
  3. Ведется ли пересмотр правил межсетевого экранирования?
  4. Сформулирован перечень недопустимых событий информационной безопасности?

Внутренняя защита:

  1. Проводится тестирование планов, процедур восстановления в случае сбоев и анализ их эффективности ?
  2. Ведется учет цифровых активов?
  3. Ведется мониторинг и анализ событий ИБ?
  4. Ведется инцидент менеджмент?
  5. Есть сегментация сети?
  6. Существует процесс устранения уязвимостей и установки патчей?
  7. Проводится инвентаризация ИТ-инфраструктуры?

Культура и осведомленность:

  1. Проводится регулярное обучение?
  2. Есть сформированная программа обучения?
  3. Программа обучения обновляется ежегодно?
  4. Проводятся регулярные практические учения по противодействию компьютерным атакам (киберучения)?

Соответствие Указу Президента РФ №250 «О дополнительных мерах по обеспечению

информационной безопасности Российской Федерации»:

  1. Вы являетесь объектом Критической информационной инфраструктуры?
  2. Имеется выделенное подразделение или ответственное должностное лицо, отвечающее за вопросы информационной безопасности?
  3. Есть подключение к ГосСОПКА для передачи информации по инцидентам информационной безопасности?
  4. Разработана стратегия по импортозамещению иностранных средств защиты информации, произведенных в недружественных государствах либо организациями под их юрисдикции?
  5. Проводился анализ системы на наличие уязвимостей, компанией сертифицированной ФСТЭК?
  6. Выстроен непрерывный процесс обнаружения, предотвращения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты?

Соответствие 152-ФЗ «О персональных данных»:

  1. Разработана и утверждена политика по обработке персональных данных?
  2. Сведения об операторе персональных данных поданы в Роскомнадзор?
  3. Определены информационные системы, обрабатывающие персональные данные?
  4. Сформирована модель угроз безопасности в информационных системах, обрабатывающих персональные данные?
  5. Организованы работы по формированию осведомленности работников организации по работе с персональными данными субъектов ПДн?

Соответствие требованиям 63-ФЗ «Об электронной подписи»:

  1. Ведется ли учет средств криптографической защиты информации?
  2. Организован контроль пользователей организации в части соблюдения ими конфиденциальности информации и правил работы с средствами криптографической защиты информации?
  • Внедрен ли процесс уничтожений средств криптографической защиты информации при компрометации ключа?
  • Хранятся ли средства криптографической защиты информации в защищенном сейфе или другом защищенном месте?
  • Соблюдаются требования по парольной защите к средствам криптографической защиты информации?

Присылайте свои ответы и мы проведем диагностику вашего бизнеса.