Сегодня подавляющее большинство современных компаний пришло к пониманию того, что эффективность функционирования бизнес-процессов во многом зависит от их автоматизации. Что в свою очередь требует учета потенциальных нарушений работоспособности ИТ-систем или утечки критически важной информации. Компания «Инфосистемы Джет» помогает своим заказчикам сократить (а в некоторых случаях – практически исключить) потенциальные потери, связанные с угрозами информационной безопасности, с помощью комплексных систем защиты информации.

Проблематика

Во множестве организаций система защиты информации уже существует в том или ином виде. Однако иногда вопрос необходимости создания или модернизации комплексной системы защиты информации приобретает особенную остроту.

В частности, это характерно для таких ситуаций, когда:

  • производятся реконструкция или модернизация, подразумевающие внесение радикальных изменений в ИТ-инфраструкутру, связанные как с изменением потребностей бизнеса, так и с изменением ИТ-ландшафта организации (например, переход на виртуальные платформы, облака и т.п.);
  • внедряются новые критичные бизнес-приложения;
  • используется малоэффективная система защиты, не решающая основных задач бизнеса (например, унаследованная);
  • возникают новые законодательные или отраслевые требования.

До непосредственного принятия решения о создании комплексной системы защиты информации компании часто сталкиваются с вопросом: «Не проще ли создавать систему частями, каждый раз защищая те или иные производственные функции?». В данном случае следует помнить, что подход, при котором комплексная система защиты создается единым проектом, обладает рядом неоспоримых преимуществ. В этом случае, к примеру, исключается дублирование средств защиты, снимается проблема наличия «тонких мест» в общем решении и упрощается организационная составляющая выполнения работ по созданию системы защиты. Таким образом, совокупная стоимость владения комплексной системой оказывается существенно ниже стоимости владения отдельными подсистемами, реализующими те или иные функции.

Основные проблемы, возникающие при создании комплексной системы защиты

  • Интеграция технического функционала создаваемой системы в существующую ИТ-инфраструктуру. Очевидно, что недостаточно просто осуществить закупку технических средств, произвести их установку и штатную настройку «из коробки». Необходимо обеспечить кастомизацию функций используемых средств защиты под конкретные нужды, обеспечить их совместную работу между собой и с защищаемыми объектами – в том числе с уже используемыми техническими решениями.
  • Использование в инфраструктуре новых ИТ-технологий (виртуализация, облачная инфраструктура, мобильные устройства и т.п.), не позволяющих использовать уже апробированные средства защиты информации.
  • Постоянное внесение изменений в защищаемую ИТ-систему представителями различных подразделений, ответственных за функционирование того или иного компонента.
  • Создание реально работающей комплексной системы защиты, обеспечивающей безопасность основных бизнес-процессов, а не просто создания системы, позволяющей формально соответствовать требованиям регуляторов в области защиты информации.

Решение

Эксперты компании «Инфосистемы Джет» определяют состав комплексной системы защиты информации на основании моделирования угроз и оценки последствий их реализации. При этом в зависимости от критичности защищаемой информации учитывается и объем необходимых мер защиты. Состав комплексной системы защиты может варьироваться в соответствии с используемыми мерами по обеспечению защиты информации. Но содержание в комплексе технических (программно-технических) средств, использование которых закреплено организационно-распорядительными мероприятиями, должно оставаться неизменным. При этом подход к созданию комплексной системы защиты информации, ограниченный формальным внедрением отдельных технических средств, на практике оказывается малоэффективным. Оптимальным является получение законченного организационно-технического решения, не ухудшающего функции производственной деятельности, обеспечивающего необходимые функции защиты и в полном объеме интегрированного в ИТ-инфраструктуру.

В большинстве случаев при создании комплексной системы защиты информации и ее последующей эксплуатации должен быть выполнен определенный ряд работ. Традиционно он включает предпроектное обследование, моделирование угроз и формирование требований к создаваемой системе защиты, эскизное проектирование (опциально), моделирование предлагаемого решения комплексной системы защиты информации на тестовых стендах, техническое проектирование, разработка рабочей документации, ввод в действие и проведение приемочных испытаний комплексной системы защиты информации. В случае необходимости до перевода автоматизированной системы в промышленную эксплуатацию может быть проведена аттестация автоматизированной системы по требованиям безопасности. Для обеспечения гарантийных обязательств и проведения послегарантийного обслуживания и развития (модернизации) системы может быть организовано дальнейшее сопровождение системы, осуществляющееся по четырем программам по выбору заказчика (включая и полный аутсорсинг).

Техническая реализация комплексной системы защиты информации подразумевает наличие большого количества подсистем, реализующих следующие функции:

  • защита сетевого взаимодействия (межсетевое экранирование на сетевом и прикладном уровнях, обнаружение / предотвращение вторжений, организация защищенных каналов информационного взаимодействия и т.п.);
  • защита узлов (сервера, АРМ) и информации, обрабатываемой на них, на уровне операционной системы и прикладного программного обеспечения;
  • защита СУБД и серверов приложений, а также самой информации, хранимой в СУБД;
  • специализированная защита виртуальной инфраструктуры;
  • организация защищенного удаленного доступа, в том числе с мобильных устройств;
  • управление реальной защищенностью и соответствием требованиям корпоративной политики безопасности;
  • контроль использования информационных ресурсов пользователями и администраторами ИТ-систем;
  • сбор, корреляция и анализ событий информационной безопасности;
  • ведение доказательной базы для расследования инцидентов информационной безопасности и недопущение их в будущем;
  • централизованное управление используемыми средствами защиты информации, включая обеспечение непрерывности их функционирования.

При наличии столь обширного спектра реализуемых функций особенно пристальное внимание должно уделяться не только проработке отдельных технических блоков, но и их интеграции между собой и с ИТ-системой в целом.

Выгоды

Результат выполненных работ – комплексная система защиты информации, удовлетворяющая потребности бизнеса и успешно интегрированная в ИТ-ландшафт. Также в числе профитов следует отметить:

  • беспроблемное сопровождение системы после передачи ее в промышленную эксплуатацию, что становится возможным благодаря задокументированности решения и обученным сотрудникам, осуществляющим сопровождение КСЗИ;
  • оптимальный уровень безопасности без ущерба функциональности бизнес-процессов, обеспечиваемый, в том числе благодаря наличию детальных инструкций пользователей;
  • подтверждение соответствия требованиям регуляторов (в случае необходимости).

Преимущества работы с компанией «Инфосистемы Джет»:

  • наличие в штате компании ИТ-специалистов всех профилей, а не только в области защиты информации: их глубокие знания и практический опыт позволяют осуществлять полноценную интеграцию в существующую ИТ-инфраструктуру;
  • обширный опыт создания комплексных систем защиты для заказчиков любой сферы деятельности – нефтегазовая промышленность, энергетика, банковская и страховая деятельность, телекоммуникации, ритейл и т.д.;
  • сформированный подход к созданию комплексных систем защиты, ориентированных на получение реальной пользы и при этом соответствующих требованиям регуляторов;
  • полноценно реализованное проектное управление: эффективное взаимодействие проектных команд заказчика и компании «Инфосистемы Джет» за счет четкого выделения ролей менеджера проекта и главного конструктора;
  • гибкий подход к формированию отчетной документации в зависимости от необходимостей заказчика с заданной глубиной проработки.