Базовые правила защиты информации и обеспечения информационной безопасности: различия между версиями

Материал из О цифровизации и вообще
Нет описания правки
Нет описания правки
 
(не показана 1 промежуточная версия этого же участника)
Строка 1: Строка 1:
=== Введение ===
== Введение ==
Безусловно, никакие меры защиты не дадут 100% защиты от взлома, но в ваших силах обеспечить уровень защиты до уровня, когда стоимость взлома для злоумышленника превысит выгоду.
Безусловно, никакие меры защиты не дадут 100% защиты от взлома, но в ваших силах обеспечить уровень защиты до уровня, когда стоимость взлома для злоумышленника превысит выгоду.


Строка 18: Строка 18:
# Уверен ли я, что моя компания соответствует всем требованиям законодательства в области информационной безопасности?
# Уверен ли я, что моя компания соответствует всем требованиям законодательства в области информационной безопасности?


Если хотя бы на один вопрос Вы ответили НЕТ или засомневались в ответе и вас это беспокоит, рекомендуем пообщаться с нашим экспертом, для определения необходимого уровня организации защиты.
Если хотя бы на один вопрос Вы ответили НЕТ или засомневались в ответе, не пускайте на самотек. Начните закрывать эти вопросы.


=== '''Правило №1. Резервное копирование''' ===
== '''Правило №1. Резервное копирование''' ==
'''ВСЕГДА''' делайте резервные копии вашей информации.
'''ВСЕГДА''' делайте резервные копии вашей информации.


Строка 28: Строка 28:
* Физически накопители должны размещаться отдельно от основных данных. Помните про пожары и потопы. Даже если у вас данные располагаются в «надежных» дата-центрах. Были прецеденты.
* Физически накопители должны размещаться отдельно от основных данных. Помните про пожары и потопы. Даже если у вас данные располагаются в «надежных» дата-центрах. Были прецеденты.


=== '''Правило №2. Защита от вирусов''' ===
== '''Правило №2. Защита от вирусов''' ==
'''ВСЕГДА''' используйте антивирусные программы.
'''ВСЕГДА''' используйте антивирусные программы.


Строка 35: Строка 35:
* Не забывайте ставить специализированные антивирусные программы на сервера электронной почты.
* Не забывайте ставить специализированные антивирусные программы на сервера электронной почты.


=== '''Правило №3. Пароли''' ===
== '''Правило №3. Пароли''' ==
 
* Установите для всех сотрудников требование установки сложных паролей. (Не менее 8 символов, использование в пароле одновременно буквенных, цифровых и пунктуационных символов).
* Установите для всех сотрудников требование установки сложных паролей. (Не менее 8 символов, использование в пароле одновременно буквенных, цифровых и пунктуационных символов).
* Обеспечьте проверку сложности пароля перед его установкой.
* Обеспечьте проверку сложности пароля перед его установкой.
* Для критических ресурсов используйте двухфакторную аутентификацию (с помощью SMS).
* Для критических ресурсов используйте двухфакторную аутентификацию (с помощью SMS).


=== '''Правило №4. Защита информации от кражи изнутри''' ===
== '''Правило №4. Защита информации от кражи изнутри''' ==
 
* Наиболее частой причиной утечки конфиденциальной информации являются неправомерные действия сотрудников.
* Наиболее частой причиной утечки конфиденциальной информации являются неправомерные действия сотрудников.
* Удивительно, но очень у многих компаний конфиденциальная информация доступна для всех сотрудников.
* Удивительно, но очень у многих компаний конфиденциальная информация доступна для всех сотрудников.
Строка 49: Строка 47:
* Также убедитесь, что учетные записи увольняющихся сотрудников своевременно и корректно блокируются или удаляются.
* Также убедитесь, что учетные записи увольняющихся сотрудников своевременно и корректно блокируются или удаляются.
* Используйте системы предотвращения утечек информации (DLP).
* Используйте системы предотвращения утечек информации (DLP).
*
=== '''Правило №5. Защита от проникновения снаружи''' ===


== '''Правило №5. Защита от проникновения снаружи''' ==
* Проверьте, что ваша сеть не доступна для проникновения снаружи.
* Проверьте, что ваша сеть не доступна для проникновения снаружи.
* Недостаточно просто поставить сетевое оборудование периметра. Надо его правильно настроить. Обязательно регулярно проводите тест на проникновение.
* Недостаточно просто поставить сетевое оборудование периметра. Надо его правильно настроить. Обязательно регулярно проводите тест на проникновение.
* Как минимум простыми инструментальными средствами типа XSpider, а лучше полноценные проверки, в том числе, с использованием социотехнических методов.
* Как минимум простыми инструментальными средствами типа XSpider, а лучше полноценные проверки, в том числе, с использованием социотехнических методов.


=== '''Правило №6. Защита информации вне периметра''' ===
== '''Правило №6. Защита информации вне периметра''' ==
 
* Защищайте информацию на устройствах, находящихся вне периметра вашей сети.
* Защищайте информацию на устройствах, находящихся вне периметра вашей сети.
* Используйте шифрование данных на ноутбуках и других мобильных устройствах.
* Используйте шифрование данных на ноутбуках и других мобильных устройствах.
Строка 64: Строка 59:
* Используйте двухфакторную авторизацию для подключения сотрудников к корпоративной сети и корпоративным информационным системам с мобильных устройств.
* Используйте двухфакторную авторизацию для подключения сотрудников к корпоративной сети и корпоративным информационным системам с мобильных устройств.


=== '''Правило №7. Информирование сотрудников''' ===
== '''Правило №7. Информирование сотрудников''' ==
 
* Обязательно проводите регулярное информирование сотрудников о важности соблюдения правил работы с информацией.
* Обязательно проводите регулярное информирование сотрудников о важности соблюдения правил работы с информацией.
* Сотрудники должны знать, кому и как сообщить о проблеме или подозрении на проблему в области информационной безопасности.
* Сотрудники должны знать, кому и как сообщить о проблеме или подозрении на проблему в области информационной безопасности.
Строка 72: Строка 66:
* Сотрудники должны знать правила работы с мобильными устройствами (в т.ч. ноутбуками) вне периметра корпоративной сети.
* Сотрудники должны знать правила работы с мобильными устройствами (в т.ч. ноутбуками) вне периметра корпоративной сети.
<comments/>
<comments/>
[[Категория:Цифровизация]]

Текущая версия от 14:51, 23 ноября 2024

Введение

Безусловно, никакие меры защиты не дадут 100% защиты от взлома, но в ваших силах обеспечить уровень защиты до уровня, когда стоимость взлома для злоумышленника превысит выгоду.

В настоящей статье представлены базовые правила обеспечения информационной безопасности компании, выработанные на основании анализа наиболее частых проблем в компаниях малого и среднего размера. Следование этим правилам не гарантирует отсутствие проблем, но существенно снижает вероятность их возникновения.

Обратите внимание, что существует ряд федеральных законов и иных законодательных актов или требований стандартов, устанавливающих требования к организации и мерам защиты информации и обеспечения информационной безопасности, которые не покрываются базовыми правилами, приведенными в данном документе.

Для приведения своей компании в соответствие требованиям законодательства и более полного и существенного покрытия защитными мерами вашей информации рекомендуем внедрить полноценную систему управления информационной безопасности. Мы предлагаем в качестве основы такой системы разработанную нами типовую концепцию информационной безопасности – документ, приняв который Вы сформируете понимание в каком направлении надо двигаться, чтобы максимально обезопасить свою компанию от угроз.

Для выполнения мер, требующих специализированных компетенций, или в случае отсутствия у вас необходимых ресурсов, воспользуйтесь услугами специализированных организаций.

Ответьте себе на следующие 5 вопросов:

  1. В вашей компании есть лицо ответственное за организацию мероприятий по информационной безопасности?
  2. Ответственный за информационную обладает достаточными компетенциями для выполнения своей работы?
  3. У ответственного за информационную безопасность достаточно ресурсов для необходимых мероприятий?
  4. Проходит ли ваша система безопасности независимый аудит не реже раза в год?
  5. Уверен ли я, что моя компания соответствует всем требованиям законодательства в области информационной безопасности?

Если хотя бы на один вопрос Вы ответили НЕТ или засомневались в ответе, не пускайте на самотек. Начните закрывать эти вопросы.

Правило №1. Резервное копирование

ВСЕГДА делайте резервные копии вашей информации.

  • Составьте план резервного копирования исходя из частоты изменения информации.
  • Храните резервные копии отдельно от основных накопителей.
  • Резервные копии после их выполнения не должны быть видны в той же сети, что и основные данные. От них не будет толку, если вирус-шифровальщик зашифрует их вместе с основными данными.
  • Физически накопители должны размещаться отдельно от основных данных. Помните про пожары и потопы. Даже если у вас данные располагаются в «надежных» дата-центрах. Были прецеденты.

Правило №2. Защита от вирусов

ВСЕГДА используйте антивирусные программы.

  • Они не защитят от индивидуально спроектированных вирусов при адресной атаке, но предотвратят вредоносное влияние 99% распространенных вирусов общего действия.
  • Используйте антивирусные программы российского производства.
  • Не забывайте ставить специализированные антивирусные программы на сервера электронной почты.

Правило №3. Пароли

  • Установите для всех сотрудников требование установки сложных паролей. (Не менее 8 символов, использование в пароле одновременно буквенных, цифровых и пунктуационных символов).
  • Обеспечьте проверку сложности пароля перед его установкой.
  • Для критических ресурсов используйте двухфакторную аутентификацию (с помощью SMS).

Правило №4. Защита информации от кражи изнутри

  • Наиболее частой причиной утечки конфиденциальной информации являются неправомерные действия сотрудников.
  • Удивительно, но очень у многих компаний конфиденциальная информация доступна для всех сотрудников.
  • Предоставляйте доступ к конфиденциальной информации только для тех сотрудников, которым она нужна для работы, и только на время необходимое для работы.
  • Очень частой проблемой является нанесение вреда информационной системе администратором системы при увольнении. Помните, что администраторы информационных систем имеют доступ ко всей информации этих систем. Очень внимательно наблюдайте за адекватностью, лояльностью и мотивацией этих сотрудников. При расставании убедитесь в надежной передаче всех полномочий и закрытии доступа для уволившегося администратора.
  • Также убедитесь, что учетные записи увольняющихся сотрудников своевременно и корректно блокируются или удаляются.
  • Используйте системы предотвращения утечек информации (DLP).

Правило №5. Защита от проникновения снаружи

  • Проверьте, что ваша сеть не доступна для проникновения снаружи.
  • Недостаточно просто поставить сетевое оборудование периметра. Надо его правильно настроить. Обязательно регулярно проводите тест на проникновение.
  • Как минимум простыми инструментальными средствами типа XSpider, а лучше полноценные проверки, в том числе, с использованием социотехнических методов.

Правило №6. Защита информации вне периметра

  • Защищайте информацию на устройствах, находящихся вне периметра вашей сети.
  • Используйте шифрование данных на ноутбуках и других мобильных устройствах.
  • Используйте защищенные шифрованные каналы для подключения к корпоративной сети.
  • Используйте двухфакторную авторизацию для подключения сотрудников к корпоративной сети и корпоративным информационным системам с мобильных устройств.

Правило №7. Информирование сотрудников

  • Обязательно проводите регулярное информирование сотрудников о важности соблюдения правил работы с информацией.
  • Сотрудники должны знать, кому и как сообщить о проблеме или подозрении на проблему в области информационной безопасности.
  • Сотрудники должны знать признаки фишинговых писем и как на них реагировать.
  • Сотрудники должны знать правила хранения паролей.
  • Сотрудники должны знать правила работы с мобильными устройствами (в т.ч. ноутбуками) вне периметра корпоративной сети.
Loading comments...