Оценка эффективности управления рисками информационной безопасности в платежной системе «Мир»

Проектирование системы защиты информации (СБИ) — это важный процесс, который позволяет организациям обеспечить безопасность своих данных, соответствовать требованиям государственных регуляторов и минимизировать риски, связанные с утечкой информации или кибератаками.

Этот процесс является не только частью лучших практик в области информационной безопасности, но и обязательным требованием для многих организаций, особенно тех, которые работают с критически важной информацией или персональными данными.

В данной статье мы рассмотрим, что включает в себя проектирование системы защиты информации, кому оно необходимо и какие результаты можно получить.

Кому необходимо проектирование системы защиты информации?

Проектирование системы защиты информации требуется различным категориям организаций, которые сталкиваются с необходимостью защиты своих данных. К таким организациям относятся:

1. Субъекты критической информационной инфраструктуры (КИИ)

2. Операторы персональных данных

3. Финансовые организации и другие компании

Основные этапы проектирования системы защиты информации

Проектирование системы защиты информации — это многоэтапный процесс, который включает в себя анализ текущего состояния информационной безопасности, разработку модели угроз, создание технического задания и внедрение системы. Рассмотрим каждый из этапов подробнее.

1. Предпроектное обследование

На этом этапе проводится анализ деятельности компании, ее бизнес-процессов и технологической инфраструктуры. Цель этапа — определить, какие требования регуляторов применимы к организации, и выявить ключевые объекты, которые нуждаются в защите. В результате предпроектного обследования заказчик получает вывод о применимости требований для субъектов КИИ, операторов персональных данных и других категорий организаций.

2. Определение объектов воздействия потенциального нарушителя

На этом этапе выявляются информационные ресурсы, автоматизированные системы и сети, которые могут стать объектами атак. Заказчик получает актуальный перечень объектов, требующих защиты, таких как значимые объекты КИИ, информационные системы персональных данных (ИСПДн), объекты информационной инфраструктуры и сети.

3. Моделирование угроз и выявление потенциального нарушителя

Этот этап включает разработку модели угроз безопасности информации в соответствии с методиками ФСТЭК. В результате заказчик получает документ «Модель угроз безопасности информации», в котором описан перечень внешних и внутренних угроз, актуальных для инфраструктуры компании, а также перечень потенциальных нарушителей с указанием их возможностей и инструментов.

4. Разработка технического задания на создание системы защиты информации

На основе модели угроз и анализа объектов защиты разрабатывается техническое задание (ТЗ). В ТЗ описываются подсистемы защиты информации и адаптированный под заказчика набор мер защиты. Этот документ является основой для дальнейшего проектирования и внедрения системы.

5. Разработка технического проекта (ТП)

Технический проект включает детальную проработку системы защиты информации.

6. Введение в действие системы защиты информации

На завершающем этапе проводится внедрение организационных (документарных) и технических (инструментальных) мер информационной безопасности. Система тестируется на соответствие требованиям и вводится в промышленную эксплуатацию.

Когда и кому необходимы работы по проектированию системы защиты информации?

Работы по проектированию системы защиты информации можно инициировать как на этапе создания новой системы, так и на этапе корректировки уже функционирующей. Это особенно актуально для:

• Операторов персональных данных, которые должны соответствовать требованиям законодательства;

• Промышленных предприятий, владеющих значимыми объектами КИИ;

• Финансовых организаций, реализующих требования ГОСТ 57580.1;

• Компаний, которые стремятся защитить свою конфиденциальную информацию от утечек и кибератак.

Результаты проектирования системы защиты информации

Результатом работ по проектированию системы защиты информации является функционирующая система, которая включает необходимые и оптимальные меры информационной безопасности. Это позволяет:

• Перекрыть актуальный пул киберрисков для заказчика;

• Защитить периметр компании от внешних и внутренних угроз;

• Выполнить требования государственных регуляторов, включая законодательство о защите КИИ и персональных данных;

• Обеспечить устойчивость бизнеса к кибератакам и другим угрозам.

Проектирование системы защиты информации — это сложный, но необходимый процесс, который позволяет организациям обеспечить безопасность своих данных, соответствовать требованиям регуляторов и минимизировать риски, связанные с утечкой информации или кибератаками. Этот процесс включает предпроектное обследование, моделирование угроз, разработку технического задания и внедрение системы.