Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 28 П ервое, что необходимо сделать, – опре- делить направление, в котором будет двигаться ваша защита относительно кон- кретной организации. Оно зависит от того, чем занимается компания, каковы ее основ- ные информационные активы, критически важные процессы и т.д. исходя из основных аспектов работы, вы уже должны понимать, на какой из уровней будущей защиты будете делать основной упор. Рекомендую также выстроить грамотные отношения с коллегами из департамента информационных техноло- гий, так как именно они способны помочь вам ознакомиться со всеми бизнес-процесса- ми и информацией, которую будет необхо- димо защищать. Основная и главная задача любого отдела информационной безопасности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угрозы с нема- лой степенью риска их реализации. Я предла- гаю всегда разделять угрозы на внутренние и внешние. Внутренние угрозы Подавляющее большинство угроз – внутренние. Они возникают из-за отсутствия понимания коллег, имеющих доступ к защищаемой инфор- мации, того, в каких случаях ошибка в дей- ствиях может повлечь за собой серьезную угро- зу. Поэтому в первую очередь я рекомендую позаботиться о внутренних угрозах, если нет возможности разделить обязанности с коллега- ми на параллельно выполняющиеся, но это уже кадровый вопрос для вашего отдела информа- ционной безопасности. Инфологическая модель Чтобы иметь полное и наглядное представ- ление о том, как основные процессы и отде- лы в организации функционируют между собой, стоит разработать инфологическую модель компании (или несколько для каж- дого сложного процесса или отдела). Благо- даря этому у вас должно сложиться пред- ставление, как движется информация в ком- пании, какие системы используются для ее обработки, где она хранится, а также как она попадает в компанию и куда передается вовне. Если добавить к инфологической модели грамотную оценку критичности информационных активов, то вам станет ясно, какие области и процессы являются наиболее критичными. С них и стоит начать поиск уязвимостей. Нормативные документы информационной безопасности нормативные документы информационной безопасности помогут проинформировать ваших коллег об определенных рисках и прави- лах во время выполнения своих служебных обязанностей. Я бы рекомендовал взять за основу следующий комплекс документов: l политика информационной безопасности; l парольная политика; l политика обработки персональных данных; l инструкции для пользователей и администра- торов иС; l инструктаж по информационной безопасности; l периодические рассылки для сотрудников. Само собой, этот перечень документов не является исчерпывающим, но если у вас в ком- пании их нет, значит, нормативная база со сто- роны информационной безопасности прорабо- тана не лучшим образом. Доступ к ресурсам хотелось бы заострить внимание на процессе предоставления доступа к различным ресурсам и автоматизированным информационным системам компании. Данный процесс поможет обеспечить грамотное распределение ролей сотрудников и снизит определенные риски наступления инцидентов, связанных с действия- ми по неосторожности или же незнанием пра- вил работы той или иной системы. Для пра- вильного функционирования этого процесса необходимо подготовить понятный для сотруд- ников компании регламент. СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии октябрь – ноябрь 2021 www.secuteck.ru Денис Богданов Руководитель отдела информационной безопасности ООО МФК "ВЭББАНКИР" О сновная и главная задача любого отдела информационной безопас- ности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угро- зы с немалой степенью риска их реализации С чего начать обеспечение информационной безопасности? Ключевые угрозы и средства защиты Наверняка многие мои коллеги, работающие в сфере информационной безопас- ности (ИБ), попадали в ситуацию, когда, приходя на новое место работы, понима- ли, что с точки зрения технологий и бизнеса компания работает вполне успешно, но информационной безопасности никогда не уделялось должного внимания и сейчас необходимо начать ее грамотное внедрение "без остановки рабочей машины", то есть на ходу, без прерывания бизнес-процессов, обеспечивающих основной доход. Так часто происходит, потому что руководство не всегда осознает, что безопасность критичных процессов необходимо внедрять еще на этапе их раз- работки, а не тогда, когда "стало понятно, что нужно это защищать". Этот подход будет проблемнее и затратнее, но, пока на горизонте не видно прибыли или суще- ственных рисков ее потери, об информационной безопасности никто не задумыва- ется. В статье я поделюсь опытом обеспечения ИБ компании в подобной ситуации www.insurancejournal.com