Создание системы обеспечения безопасности информации в организации, обрабатывающих государственные информационные ресурсы на правах аутсорсинга

Гераскин И.О.

выпускник группы MBA CSO-21

Школы IT-менеджмента

РАНХиГС при Президенте РФ

С каждым годом инцидентов связанных с информационной безопасностью становится все больше. За первый квартал 2018 года количество инцидентов, связанных с информационной безопасностью, возросло на 32% по сравнению с аналогичным периодом прошлого года. Основная часть атак была направлена на получение персональных данных и учетных записей пользователей. Количество атак, направленных на организации государственного сектора, возросло на 16%. Основным инструментом атаки является вредоносное ПО, распространяемое при помощи электронной почты и при помощи фишинговых сайтов.

За весь 2017 год российские компании потеряли примерно 116 млрд. рублей от успешных реализаций компьютерных атак. От компьютерных атак пострадала, примерно, каждая пятая компания в России. Согласно проведенному исследованию Национального агентства финансовых исследований средняя сумма убытков одной российской компании от компьютерных атак в 2017 году в России составила 299,9 тыс. руб.Чаще всего это выражалось в заражении вирусами рабочих компьютеров сотрудников, в том числе с последующим вымогательством денег (20%), во взломе почтовых ящиков (12%), атаках на сайт компании (10%)

Особое распространение, как видно из исследования получили вирусы, называемые трояны-вымогатели или ransomware. Их условно можно разделить на 2 типа: шифровальщики и блокировщики. Шифровальщики попадая на компьютер шифруют ценные файлы (документы, фотографии и пр.), которые потом невозможно открыть. Для того, чтобы их расшифровать злоумышленники требуют денежные средства, в обмен на которые, вам возможно предоставят программу-расшифровщик. Но гарантии, что данная программа вернет вам ваши файлы, никакой. Это может быть просто вымогательством. Блокировщики, как понятно из названия, блокируют доступ к ПК. Для доступа к ПК также необходимо отправить определенную сумму злоумышленникам.

Основными способами заражения  троянами-вымогателями являются почтовые сообщения, содержащие вредоносный файл или ссылку, ведущую на зараженный сайт. Либо ссылки, направляемые через программы мгновенных сообщений. Часто данные вирусы маскируются под рабочие документы, необходимые программы или интересные картинки. Другими словами, окончательная доставка вредоносного содержимого на рабочую станцию возможна только при непосредственном участии пользователя. Это самая дешевая и наименее затратная атака. Поэтому важной частью построения системы безопасности информации является обучение работников, и контроль знаний. Например, моделирование ситуации и рассылка заведомо опасных писем, с последующей регистрацией откликов.

Для борьбы с этими угрозами необходима система обеспечения безопасности информации, которая включает в себя:

1.      Формирование организационной базы, в том числе:

·         Определение процессов (функций) ИБ, которые должны быть реализованы в организации

·         Расчет и формирование подразделения, которое будет поддерживать процессы ИБ в организации.

·         Выбор организационных мероприятий, которые необходимо реализовать для функционирования системы обеспечения безопасности информации

·         Разработка локальных нормативных и организационно-распорядительных документов (положения, регламенты, инструкции и пр.)

2.      Создание системы кибербезопасности (системы защиты информации), в том числе:

·         Выбор требований, которым должна соответствовать система кибербезопасности

·         Проведение GAP-анализа (аудита) для определения соответствия существующей системы защиты  выбранным требованиям

·         Определение архитектуры и проектирование системы кибербезопасности

·         Введение в эксплуатацию системы кибербезопасности

3.      Создание системы поддержки ИБ (охрана, электропитание, катастрофоустойчивость и пр.)

            Однако, тема создания системы обеспечения информационной безопасности достаточно обширна и рамки дипломной работы не позволяют в полной мере раскрыть все аспекты этой проблемы. Поэтому в рамках данной дипломной работы будут рассмотрены только несколько ее аспектов, необходимых для начала создания такой системы, в частности:

a)      Определение процессов (функций) ИБ, которые должны быть реализованы в организации.

b)      Расчет и формирование подразделения, которое будет поддерживать процессы ИБ в организации.

c)      Выбор требований, которым должна соответствовать система кибербезопасности.

d)     Проведение GAP-анализа (аудита) для определения соответствия существующей системы защиты  выбранным требованиям

Для внедрения всех процессов информационной безопасности, а также для оперативного реагирования на инциденты, ликвидации последствий, сбора доказательной базы и принятия мер по недопущению инцидентов целесообразно создать подразделение по информационной безопасности (далее ПИБ). В ПИБ должны работать квалифицированные специалисты, с высшим образованием по специальности, согласно требованиям законодательства Российской Федерации в области информационной безопасности. Желателен опыт работы для оперативного принятия решений в экстренных ситуациях. Согласно представленным расчетом при штатной численности организации, приблизительно равной 500 работникам и работе с 3 государственными информационными системами на правах аутсорсинга, численность подразделения по информационной безопасности должна составлять 3 человека. Оптимальная штатная структура подразделения: руководитель, главный специалист и специалист. Данная штатная структура обусловлена различными выполняемыми задачами. ПИБ должна подчиняться непосредственно руководителю организации для использования ресурсов руководителя для оперативного решения возникающих проблем и наказания виновных в инцидентах информационной безопасности.

Прежде чем внедрять процессы информационной безопасности в организации необходимо определить имеющийся уровень информационной безопасности в организации, хотя бы выполнение минимальных требований. Оптимальным инструментом для этого является GAP-анализ. Для проведения данного анализа необходимо определить какие требования необходимо выполнить, согласно законодательству Российской Федерации в области обеспечения информационной безопасности. В случае работы с государственными информационными системами необходимо определить класс защиты информационной системы, в зависимости от обрабатываемой информации. После этого провести GAP-анализ и на основе его результатов выявить процессы информационной безопасности, которые необходимо внедрить в организации в первую очередь. Преимуществом данного типа анализа является универсальность. GAP-анализ можно провести как по требованиям российского законодательства в области обеспечения информационной безопасности, так и по требованиям международных стандартов в области обеспечения информационной безопасности.

Руководству организации важно показать не только соответствие законодательству, но и экономическое обоснование создание ПИБ и внедрения процессов информационной безопасности. Оптимальным вариантом экономического обоснования является расчет убытков, которые могла понести организация, в случае реализации угроз информационной безопасности.

Данная дипломная работа содержит все необходимые описания, расчеты и методики для внедрения процессов информационной безопасности в организации, а также создания подразделения по информационной безопасности, что позволяет применить данную дипломную работу в организациях, со схожими параметрами, описанными в данной работе.