Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Обучение сотрудников основам безопасной разработки приложений
Новости

Рассказываем про реестр информационных активов и почему без него не обойтись организациям

В современном информационном обществе, где данные являются одним из самых ценных активов организации, вопрос обеспечения их безопасности становится все более актуальным. Утечка конфиденциальной информации может привести к серьезным последствиям, включая финансовый ущерб, потерю репутации и юридические проблемы.

Для эффективного предотвращения утечек данных и защиты конфиденциальной информации от несанкционированного доступа организации все чаще обращаются к системам DLP (Data Leak Prevention). Однако, чтобы эти системы были максимально эффективными, необходимо иметь полное представление о всех информационных активах, которые могут содержать конфиденциальные или чувствительные данные. Именно здесь особое внимание необходимо уделить реестру информационных активов в организации.

Что такое реестр информационных активов?

Это список, который содержит подробную информацию обо всех активах организации. В нем перечислены активы компании, их уровень конфиденциальности и порядок доступа к ним. Реестр помогает организации определить, какие данные требуют особой защиты.

Важно отметить, что составление реестра информационных активов является важным шагом к главной цели – правильной настройке системы DLP. Без полного и точного представления о всех активах, которые могут быть подвержены утечке невозможно эффективно защитить информацию и предотвратить потенциальные угрозы.

Внедрение DLP в компании – длительный, непростой и, часто, трудозатратный процесс. Он состоит из множества этапов, таких, как первоначальное обследование ИТ-инфраструктуры, построение архитектуры внедряемого решения, развертывание и введение в эксплуатацию системы, настройка правил и политик безопасности. В целом, процедуру внедрения можно разделить на техническую и организационную составляющие. Основной частью в организационной подготовке к настройке системы защиты от утечек как раз и является реестр информационных активов.

С какими трудностями сталкиваются компании при составлении реестра?

На первый взгляд задача по составлению такого реестра звучит достаточно просто, ведь кажется очевидным, что именно нужно защищать. На ум сразу же приходит разного рода документация, стратегия развития компании, финансовые отчеты, клиентские базы и персональные данные работников. Но на практике оказывается, что это только малая часть сведений, подлежащих защите. Более того, далеко не все сотрудники четко знают, какая именно информация, циркулирующая в его подразделении, является конфиденциальной и как её идентифицировать. Поэтому первой подзадачей в решении общей задачи по составлению реестра можно назвать выделение общего перечня конфиденциальных сведений компании.

Основные этапы составления реестра информационных активов

Этап 1. Интервьюирование

Для решения первой подзадачи с абсолютно каждым подразделением компании проводится интервью по составлению реестра информационных активов. На интервью совместно с ответственными работниками подразделения проводится мозговой штурм и выясняется, какие бизнес-процессы, информационные потоки и каналы обмена информацией есть в отделе.

При составлении реестра необходимо учесть и правильно оценить степень критичности информации и не включать в него те данные, утечка которых не критична для компании. Это позволит уменьшить нагрузку на систему, а также уменьшит количество правил безопасности и, как следствие, количество ложных срабатываний, человеческие и временные ресурсы на обработку инцидентов. Данный вопрос также подробно прорабатывается на интервью.

Этап 2. Выявление характерных особенностей защищаемых данных

Второй подзадачей можно выделить определение характерных особенностей защищаемой информации для того, чтобы корректно настроить правила безопасности и перехват данных. Хорошо, если отдел в своей работе пользуется утвержденными шаблонами (шаблон договора, шаблон отчета, шаблон опросника, шаблон расчета и т.д.), которые не меняются с течением времени. Такие шаблоны подгружаются в DLP и используются как цифровые отпечатки, т.е. эталонные образцы, с которыми происходит сравнение содержимого в перехваченных документах и сообщениях. Использование такого метода позволяет обнаружить не только оригиналы передаваемых документов, но и фрагменты текста и комбинации полей таблиц.

Но часто бывает так, что конечного перечня используемых шаблонов не существует, все документы, разрабатываемые в отделе и получаемые от клиентов в ходе проекта, не имеют постоянной структуры и их содержимое может отличаться от проекта к проекту. В этом случае на помощь приходит метод определения ключевых слов (слов и словосочетаний, характерных для документа и используемых для поиска утечек), а также метод подбора регулярных выражений (масок, не содержащих конкретных букв или цифр, но определяющих структуру и общий вид искомого выражения).

Этап 3. Обработка и объединение собранных сведений

Когда обе подзадачи решены, все полученные от подразделений сведения аккумулируются в одном файле, который после обработки и становится тем важным реестром критичных информационных активов компании, подлежащих защите. Далее настройка правил и политик безопасности DLP-системы проходит с использованием данного реестра.

Вместо заключения

Реестр информационных активов является неотъемлемой частью внедрения и настройки системы DLP и играет первостепенную роль в обеспечении безопасности информации. Он представляет собой комплексный инструмент, позволяющий идентифицировать и классифицировать информационные активы организации.

Актуальность реестра информационных активов обусловлена несколькими факторами. Прежде всего, он помогает организации понять, какая информация считается конфиденциальной и требует особой защиты. Путем составления и поддержки реестра информационных активов компания может лучше управлять своими данными, определить их ценность и присвоить им соответствующий уровень конфиденциальности.

Кроме того, реестр информационных активов является основой для разработки политик безопасности информации. Он предоставляет ценную информацию о типах активов, их местонахождении и критичности, что позволяет сформулировать необходимые меры защиты данных.

Наконец, реестр информационных активов играет важную роль в обеспечении соответствия требованиям законодательства и нормативно-правовых актов в области информационной безопасности. Его ведение помогает организации следовать требованиям по защите персональных данных, коммерческой тайны и другой конфиденциальной информации.

Стоит заметить, что реестр информационных активов, как и правила безопасности DLP, необходимо всегда поддерживать в актуальном состоянии, ведь защита информации, в том числе с помощью DLP – это процесс, а не конечная точка. И только та организация, в которой этот процесс четко регламентирован, формализован и контролируется, может быть уверена, что её данные надежно защищены.
Автор: Анастасия Успенская, ведущий специалист отдела аудита Infosecurity a Softline company
Экспертиза Популярные статьи Блог