Информационная безопасность обучение сотрудников

Работа в области защиты информации: новые стандарты

Автор Владимир в . Опубликовано Без рубрики

Работа в области защиты информации

Сегодня вопрос кадрового обеспечения и обучения сотрудников информационной безопасности обсуждается в самых “верхах”. Всевозможные координационные советы с участием регуляторов, конференции и совещания в большей части посвящены вопросу компетентности сотрудников, приходящих работать в области защиты информации.

Недавно Министерство труда и соцразвития наконец-то утвердило давно разработанный профстандарт под названием “Специалист по защите информации в автоматизированных системах”. На очереди к утверждению еще два стандарта для безопасников: специалиста по технической защите информации и специалиста по безопасности компьютерных систем и сетей. Теперь при приёме специалиста на работу в сфере защиты информации работодатель обязан удостовериться, что кандидат соответствует профстандарту и обладаем всеми необходимыми компетенциями.

Еще один положительный момент — разработка профессиональных стандартов специалиста по информационной безопасности означает, что госструктуры и другие организации наконец-то перестанут возлагать обязанности по защите информации на сотрудников, никак с этим не связанных, типа бухгалтеров, кадровиков и системных администраторов, а начнут выделять штатную единицу именно для работы в области защиты информации. С 2016 года в бюджетных организациях действует подобное указание.

базовая модель угроз безопасности информационной системы

Проблема создания базовой модели угроз безопасности ИС

Автор Владимир в . Опубликовано О лицензировании ФСТЭК

Для операторов персональных данных, обрабатывающих и передающих их с помощью информационных систем, разработка моделей угроз является обязательным и проблемным мероприятием. Почему проблемным?

Раньше всё было просто и понятно: бралась базовая модель угроз безопасности в информационных системах, методика разработки модели и создавалась актуальная модель под конкретную ИС. Затем ФСТЭК усовершенствовала защиту, частично изменив руководящие документы, на которые раньше опирались безопасники. Классы ИСПДн заменили на уровни защищённости, все актуальные угрозы распределили по трём типам. Согласно ПП № 1119 градация угроз безопасности ИС выглядит так:

  • 1 тип — недекларированные возможности в системном программном обеспечении;
  • 2 тип — недекларированные возможности в прикладном ПО;
  • 3 тип — иные угрозы.

Уровень защищенности ИС зависит от того, какой наивысший уровень угроз актуален для данной системы. Здесь и начинаются вопросы, причем точных ответов на них не дают даже те, кто работает по лицензии ФСТЭК на ТЗКИ. Например, каким образом

защита информации

Защита информации в России: данные Microsoft в 2017

Автор Владимир в . Опубликовано О лицензировании ФСТЭК

Microsoft представила доклад по угрозам информбезопасности в России за январь-март 2017 г. Исследование проводилось с помощью сканера Windows Defender Security Intelligence.

Немного статистики

В России с января по март 14,8% ПК были заражены вирусами, что заметно больше среднемирового показателя в 9%. Однако эксперты Microsoft заметили, что в марте по сравнению с февралем число атак понизилось: 12% против 17,2%. Это связывают с осознанием опасности киберугроз и принятием мер по технической защите информации на государственных объектах и в отношении особо важных информационных систем крупных коммерческих структур. Кроме того, ФСТЭК оперативно реагирует на появление новых компьютерных вирусов, предупреждая о наличии той или иной уязвимости.

Однако с компьютерной безопасностью среди обычных граждан и среднего офисного персонала по-прежнему всё плохо — многие сотрудники не понимают важности соблюдения требований по защите информации, даже после инструктажа не выполняют требования по защите данных. Результаты исследования показывают, что за этот период количество хакерских атак на ПК россиян в РФ увеличилось в четыре раза. Это значит, что даже продуманная система защиты ИС или лицензия ФСТЭК на ТЗКИ не исключает взлома и хищения данных из-за халатности рядового сотрудника.

Основные угрозы

Сейчас все шире распространяются удобные облачные сервисы, и атакуют их тоже чаще. Эксперты даже выделили их в отдельную категорию по характеру атак. Согласно данным исследования, основным источником (51%) заражения этих сервисов стали попытки хакеров войти в учетные записи Microsoft с потенциально опасных IP-адресов. В этом году число таких попыток выросло на 44%. Кроме того, хакеры атакуют «облака» посредством протоколов удаленного доступа (23% заражения) и SSN (1,7%), шлют туда спам (19%), сканируют порты (3,7%) и т.д.

Больше всего в этот период хакеры применяли троянские программы – 10,26% от общего числа вредоносов. За ними идут установщики потенциально опасного ПО (1,5%), программы, вносящие изменения в браузер (2,14%), дропперы (0,64%) и рекламные программы (0,25%).

Исправить положение помогает моделирование угроз в ходе работы по информационной безопасности. Если подходить к этому процессу не формально, а реально создавать модели угроз для конкретной защищённой информационной системы, а также контролировать работу персонала в ИС, можно значительно снизить риск хакерского взлома и утечки или повреждения данных.

Этот совет актуален лишь для компаний, где действует своя служба информационной безопасности и есть ресурсы для создания защиты. Рядовым пользователям придётся полагаться на свой уровень компьютерной грамотности и осмотрительность при работе в Сети.

система безопасности информации

Как защитить компанию от киберугроз

Автор Владимир в . Опубликовано Без рубрики, О лицензировании ФСТЭК

Информационные технологии значительно облегчили нашу жизнь, но и принесли с собой новые опасности. Легкая небрежность в работе, халатное отношение к правилам информационной безопасности или недостаточно продуманная техническая защита конфиденциальной информации может стать причиной того, что сведения ограниченного доступа вашей компании окажутся в открытом доступе.

Чтобы этого не случилось, достаточно соблюсти несколько простых рекомендаций:

  • Заведите у себя отдел по кибербезопасности или заключите договор аутсорсинга с надежной сторонней компанией, которая будет этим заниматься. Хороший специалист должен знать, с какими угрозами вы можете столкнуться и как им противостоять, а если взлом все-таки произошел – как справиться с его последствиями, свести убытки к минимуму и собрать улики для будущего расследования;
  • Проверьте все информационные средства и технологии, с которыми имеете дело в офисе: например, облако, где хранится рабочая информация, открытую сеть Wi-Fi, из которой можно проникнуть в корпоративный сегмент и т.п. Ваши сетевые ресурсы всегда должны быть защищены: статистика говорит, что 86% таких современных систем обладают по меньшей мере одной критической уязвимостью. Резервные копии систем также не следует оставлять без надёжной защиты;
правила информационной безопасности

Семь из десяти молодых специалистов пренебрегают кибербезопасностью

Автор Владимир в . Опубликовано Новости

Аналитическая фирма InsightExpress по заказу Cisco провела среди служащих в возрасте до тридцати лет опрос, результаты которого ошеломляют. 70% таких молодых сотрудников, хоть и имеют представление о правилах информационной безопасности на работе, нередко нарушают ее принципы, несмотря на то, что каждому четвертому из них пришлось пережить кражу личных данных.

Одной из крупных современных проблем информационной безопасности, несомненно, является беспечность молодых людей, для которых интернет – неотъемлемая часть жизни. Поступая на работу в компанию, где действуют правила информационной безопасности, они не вполне понимают, почему необходимо разграничивать в интернете работу и личную жизнь. Ради доступа к сети они готовы преступить правила цифровой гигиены. Между тем, любая система технической защиты информации бессильна перед атаками, если сами сотрудники пытаются обойти её.

Немного статистики

64% молодых специалистов признались, что пользовались компьютерами и телефонами, принадлежащими другим людям, и подключались к чужим точкам доступа Wi-Fi, не уведомив владельцев. А 56% давали другим работать на своих компьютерах – причем не только родным, друзьям или сотрудникам той же компании, но и совершенно незнакомым людям. 93% сотрудников из обеих групп не удосужились проверить свои устройства на предмет внедрения вредоносных программ или уничтожения важной информации.

Органы аттестации объектов информатизации

Аттестация объектов информатизации: какие органы проводят?

Автор Владимир в . Опубликовано О лицензировании ФСТЭК

Аттестация объектов информатизации – это комплекс исследований информационной системы на предмет технической защищенности соответствия нормам ФСТЭК по информбезопасности. Аттестат подтверждает, что объект полностью отвечает требованиям по ТЗКИ и может быть использован для обработки информации, которую необходимо сохранить в тайне. Аттестация может быть как обязательной (если информация, которую нужно обработать, имеет отношение к гостайне либо к критически важным объектам), так и добровольной. Однако в любом случае все расходы на аттестацию осуществляются за счет заявителя.

Органы аттестации объектов информатизации

Аттестацией объектов занимаются органы и организации, которые могут создаваться на основе специальных центров ФСТЭК, а также частных компаний, работающих с защитой информации. Аттестационные центры обязаны проходить аккредитацию ФСТЭК, которая подтверждает право проводить обследования объектов информатизации, и иметь лицензию ФСТЭК на этот вид деятельности.

В состав аттестационных комиссий, чьей задачей является непосредственное проведение аттестационных обследований, могут входить как сотрудники самого центра, так и работники сторонних организаций, имеющие опыт, необходимый для проверки данного конкретного объекта информатизации.

Перечень лицензий ФСБ

Перечень лицензий, выдаваемых ФСБ

Автор Владимир в . Опубликовано О лицензировании ФСБ

Существуют семь лицензий на деятельность, которая так или иначе затрагивает сферу охраны конфиденциальной информации, государственной тайны или личных основополагающих прав граждан. Выдача лицензии означает, что предприниматель или фирма, получившая такой документ, полностью соответствуют лицензионным требованиям, в ходе ряда проверок ФСБ доказали свою пригодность для выполнения таких работ и будут работать в строгом соответствии с законом.

Весь перечень лицензий ФСБ

Лицензия на государственную тайну

Такое разрешение считается наиболее востребованным — его могут получить представители любой сферы бизнеса, если они намерены участвовать в закрытых тендерах и работать по государственным контрактам, связанным с доступом к гостайне. При этом по условиям договора или тендера не обязательно предполагается реальная работа с гостайной, лицензия необходима и в случае вероятной возможности ознакомления с секретными данными.

Лицензия на мероприятия, связанные с защитой государственной тайны

Наиболее распространена лицензия ФСБ на услуги РСП (режимно-секретного подразделения). Востребована теми компаниями, которые обеспечивают секретный документооборот и ведение делопроизводства для защиты гостайны для нужд других организаций. Процедура оформления довольно затратна, необходима сложная подготовка, ряд аттестаций и предварительное лицензирование по профильным видам работ от ФСТЭК и ФСБ.

специальная экспертиза ФСБ

Как проводится специальная экспертиза ФСБ

Автор Владимир в . Опубликовано О лицензировании ФСБ

Чтобы получить лицензию ФСБ на гостайну, компания должна не только собрать нужные документы, но и пройти специальную экспертизу ФСБ. По её результатам выносится решение о том, предоставлять ли соискателю запрошенную лицензию или отказать.

Спецэкспертиза — предпоследний этап получения лицензии ФСБ. Его длительность зависит от плана мероприятий, который, как правило, включает в себя:

  • документарную проверку компании;
  • выезд экспертов ФСБ на объект (по адресу непосредственной реализации деятельности фирмы);
  • при необходимости — аттестацию руководителя фирмы-соискателя;
  • проверку РСП, обслуживающего компанию.

Кто проводит

За проведение подобных экспертиз отвечает непосредственно лицензионный отдел ФСБ.

лицензия ФСБ на СКЗИ

Лицензия ФСБ на СКЗИ

Автор Владимир в . Опубликовано О лицензировании ФСБ

Если ваша фирма занимается разработкой, выпуском и передачей другим фирмам программ или средств защиты, имеющих отношение к криптографии, вам понадобится лицензия ФСБ на размещение СКЗИ, которую выдает Федеральная служба безопасности.

СКЗИ – это средства криптографической защиты информации. Они используются для защиты электронных документов, содержащих важную информацию. Среди функций СКЗИ значатся:

  • гарантия безопасности архивов, где расположены файлы с информацией, не предназначенной для стороннего доступа;
  • передача данных по незащищенным каналам связи;
  • подтверждение подлинности электронной цифровой подписи и др.

Для того, чтобы оформить лицензию ФСБ на шифрование, вам понадобится собрать пакет подтверждающих документов и получить положительное заключение по результатам выездной проверки: ФСБ пришлет инспекторов к вам в фирму, чтобы убедиться, что требования для получения лицензии у вас соблюдены. Требования, в частности, включают наличие в штате служащих, обученных работать со средствами защиты данных. Оформление занимает в среднем два-три месяца, далее лицензия действует бессрочно.

изменения в устав

Как правильно внести изменения в Устав ООО

Автор Владимир в . Опубликовано Готовые фирмы с лицензией

В процессе работы или при продаже фирмы часто приходится редактировать Устав: менять адрес или название предприятия, назначать новую сумму уставного капитала или дополнять список видов деятельности. Например, при продаже готовой фирмы с лицензией Минкультуры по желанию покупателя может потребоваться внести изменения в перечень выполняемых работ. Все эти поправки необходимо официально заверять в Федеральной налоговой службе.

Для этого собираются следующие документы:

  • заявление от руководителя предприятия по форме р13001, подписанное лично им и заверенное нотариусом. Бланк можно найти на сайте налоговой службы и либо распечатать, либо заполнить электронную версию. В обоих случаях следует писать большими печатными буквами, если на бумаге – то черной (не синей!) пастой и только с одной стороны листа;
Контакты

Телефон:
+7 (499) 403-33-59 ежедневно 9:00-22:00
+7 (812) 409-97-73 ежедневно 9:00-22:00

Почта:
Info@srodopuski.com - по всем вопросам
partnership@srodopuski.com - предложения и сотрудничество

Адрес:
105318, Москва, Ибрагимова 35 к2, офис 14
192012, Санкт-Петербург, Белоостровская 22