Актуальное

  1. Главная
  2. Актуальное
  3. Защита информации

Защита информации

  • Опубликовано: 11 октября 2021

Перевод большинства информационных архивов, денежных средств и коммуникаций в электронную форму создал самостоятельный тип актива – информацию. Как любая ценность, она подвергается посягательствам со стороны различных мошенников. Возникают существенные риски и в области обеспечения государственной безопасности в сфере информации, основные угрозы названы в Доктрине государственной информационной безопасности. Игнорирование возникающих проблем приводит к потере конкурентоспособности как на государственном, так и на корпоративном уровне.

Страдают от преступлений, совершаемых в информационной сфере, и граждане.

Главные законы об информации и информационной безопасности

  1. 149-ФЗ «Об информации, информационных технологиях и о защите информации» ой безопасности — устанавливает основные права и обязанности, касающиеся информации и информационной безопасности.
  2. 152-ФЗ «О персональных данных» — описывает правила работы с персональными данными.
  3. 98-ФЗ «О коммерческой тайне» — определяет, что относится к коммерческой тайне компаний.
  4. 68-ФЗ «О Центральном Банке РФ» — дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
  5. 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" — описывает правила защиты IT-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства. К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность.

 Регулирующие организации в сфере защиты информации: ФСБ, ФСТЭК, Роскомнадзор.

Штрафные санкции за несоблюдение требований в области защиты информации: до 300 000 рублей, приостановка деятельности юридического лица сроком до 9 месяцев.

Информационные системы в каждом бизнесе нуждаются в защите для обеспечения финансовой и репутационной безопасности, в большинстве случаев для обеспечения должного уровня конкурентоспособности и соблюдения требований регуляторов.

Актуальность контроля угроз целостности, доступности и конфиденциальности информации подтверждается ужесточением законодательства в области защиты информации и персональных данных по всему миру, высокие штрафы для компаний, нарушивших законодательство.

 

В октябре 2020 Китай анонсировал проект закона о защите персональных данных в Китае, в соответствии с которым всем, кто нарушит закон, может грозить штраф в размере до 50 млн юаней ($7,4 млн) или 5% от прошлогоднего оборота компании.

Компания Facebook была оштрафована и в декабре 2020г. оплатила штраф в размере 4 млн. руб., назначенный из-за отказа соцсети перенести в Россию серверы с данными российских пользователей.

В случае несоблюдения требования о локализации данных российских пользователей, согласно ч.5 ст.18 ФЗ «О персональных данных», на компанию может быть наложен штраф от 1 млн. руб. до 6 млн. руб. за первый случай нарушения, за второй – от 6 млн. руб. до 18 млн. руб.

В сфере персональных данных прослеживается ужесточение Российского законодательства. Законопроектом от 9 декабря 2020 предлагается установить, что персональные данные можно сделать общедоступными на основании отдельного согласия субъекта, предоставленного оператору. Таким образом, каждому пользователю соцсети необходимо будет подписать согласие на предоставление персональных данных, а владельцам соцсети ужесточить меры по сохранности данных.

Пять лет назад задача обеспечения безопасности информации решалась при помощи средств криптографической защиты, установления межсетевых экранов, разграничения доступа. На данный момент этих технологий недостаточно, любая информация, имеющая финансовую, конкурентную, военную или политическую ценность, подвергается угрозе.

Для обеспечения необходимого уровня защиты информации в бизнесе, не только по требованиям регулирующих организаций, но и для обеспечения должной защиты от возможных финансовых и репутационных затрат, важно выстроить надежную систему защиты информации.

Создание системы защиты информации любой компании – это последовательный набор логически выстроенных действий:

  • аудит информационной системы,
  • проектирование системы защиты,
  • внедрение системы защиты информации,
  • аттестация (при необходимости).

Аудит защиты информационных систем (ИС) — это исследование и анализ существующей системы защиты информационных систем (СЗИС) на предприятии, позволяющий оценить ее эффективность.

Аудит защиты ИС ставит целью определить уровень соответствия аппаратно-программных комплексов и текущих потребностей бизнеса в защите информационных систем.

Аудит информационных систем на предмет защищенности необходим в таких случаях:

  • Устарело оборудование и/или ПО, обеспечивающее техническую защиту информации;
  • Отсутствует четко выстроенная система защиты информации;
  • Произошла утечка данных;
  • Планируется переход на другое (или новую версию старого) ПО с иными требованиями;
  • Есть проблемы интеграции существующего оборудования с сервисами и приложениями;
  • Действующая ИС не справляется с запросами растущего бизнеса;
  • Необходимо оценить качество модернизации IT-инфраструктуры.

Аудит информационных систем дает ответы на такие вопросы:

  • Насколько СЗИС поддерживает выбранную бизнес-стратегию?
  • Как оптимально использовать аппаратные и программные ресурсы?
  • Сколько ресурсов потребляет действующая система защиты информации?
  • Как уменьшить затраты на защиту ИС?
  • Как ускорить информационные процессы на предприятии?
  • Как ИС защищена от киберугроз и других внешних факторов?
  • Какие ошибки и «узкие» места в ИС мешают развитию бизнеса?

Своевременно проведенный внутренний аудит безопасности информационных систем позволит рационально использовать потенциал имеющихся СЗИС, уменьшит расходы на содержание системы защиты информации (СЗИ), поможет избежать серьезных технических проблем в будущем, снизит риски финансовых потерь и сделает компанию более конкурентоспособной за счет безопасности бизнес-процессов.

Проектирование системы защиты информации заключается в разработке, на основе выработанной политики безопасности, технических требований по системе защиты информации и архитектуре автоматизированной системы, а также разработке проектной документации системы защиты информации.

Проектирование включает:

  • разработку решений по архитектуре системы защиты информации;
  • проектирование структуры СЗИ и контроля;
  • разработка технического проекта и рабочей документации СЗИ;
  • подготовку и оформление технической документации на поставку технических и программных средств для СЗИ;
  • проектирование помещений АС с учетом требований нормативных документов по защите информации;
  • разработку порядка сопровождения СЗИ в АС;
  • разработку порядка и этапов внедрения СЗИ.

Результат, полученный при проектировании позволяет выбрать технические решения, средства защиты информации, обосновать их выбора, спецификации необходимого оборудования и ПО, а также рассчитать затраты на создание системы защиты информации.

Внедрение системы защиты информации осуществляется в соответствии с разработанным на этапе проектирования Техническом проекте.

Процесс внедрения системы защиты информации включает в себя:

  • поставка, установка и настройка средств защиты информации;
  • внедрение организационно-распорядительной документации в структуру документооборота компании;
  • обучение ответственных сотрудников;
  • приемочные испытания системы защиты информации информационной системы (в случае необходимости проведения Аттестации).

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе владельца бизнеса.

Обязательная защита систем информации в Компании обусловлена необходимостью:

  • соблюдения законодательства в сфере обеспечения безопасности информационных систем, ужесточением законодательной базы;
  • поддержания деловой репутации на должном уровне,
  • обеспечения безопасности в части защиты данных клиентов,
  • обезопасить компанию в условиях увеличения числа преступлений в сфере безопасности информации, роста киберпреступлений по всему миру;
  • учитывать современные тенденции в ведении бизнеса, перевода части сотрудников на удаленный режим работы;
  • роста объема электронного документооборота;
  • повсеместного перехода Компаний на ведение электронного документооборота;
  • сохранения конфиденциальности, целостности, доступности данных для обеспечения финансовой защиты клиентов и самой Компании;
  • обеспечения должного уровня конкурентоспособности,
  • контроля за сохранностью данных и необходимостью избежать утечки конфиденциальной информации;
  • эффективного планирования затрат при выстраивании системы защиты.

Будьте под защитой!

Услуги

О нас

ОOO «АвСиКом» оказывает услуги в области обеспечения технической защиты конфиденциальной информации, безопасности сайтов, защиты персональных данных.

г. Москва

  • 1-й Тверской-Ямской пер., д. 18
  • +7 (499) 251-45-74
  • info@avsikom.ru

г. Магнитогорск

  • ул. Багратиона, д. 10
  • +7 (3519) 49-68-48
  • info@avsikom.ru

Актуальное

© 2024 ООО Авсиком. Все права защищены.
Создание сайта Магнитогорское Интернет Агентство