“Найцінніший світовий ресурс вже не нафта, а дані” – заголовок статті The Economist за 2017-й рік
Важко не погодитися з цитатою. Паспортні дані, банківські рахунки, медичні картки, інформація про ФОП і ТОВ – ця та інша особиста інформація вже давно оцифрована й зберігається на серверах різних компаній.
Як вдається захищати ці масиви приватної інформації від чужих очей? Відповідь – використання найкращих світових практик із захисту інформації. В Україні ці практики зафіксовані в КСЗІ.
КСЗІ – це комплекс інженерно-технічних та організаційних заходів, а також програмно-апаратних засобів, котрі забезпечують захист інформації в інформаційно-комунікаційних системах (ІКС), до яких належать комп’ютери, сервери, комп’ютерні мережі тощо. Розшифровується абревіатура як Комплексна Система Захисту Інформації.
Довге і нудне визначення. Давайте простіше? КСЗІ – це набір правил та заходів, які дозволяють українським компаніям надійно оберігати ваші дані в своїх системах. Цей же термін може використовуватися для позначення системи, що відповідає таким критеріям.
КСЗІ базується на Канадських критеріях безпеки комп’ютерних систем (CTCPEC), що розроблені в Канаді в 90-х роках. “Критерії”, в свою чергу, коренями йдуть в європейські напрацювання з кібербезпеки, викладені в ITSEC, та “Помаранчеву книгу” (TCSEC), яка стала стандартом Міноборони США в питаннях безпеки комп’ютерних систем у 80-х роках.
Для чого потрібна комплексна система захисту?
Реалізація КСЗІ дозволяє створити надійну систему, яка надає максимальний захист критично важливих даних. Потреба в цьому стала особливо гострою з початком повномасштабної агресії проти України, коли наша інформаційна інфраструктура стала ціллю регулярних кібератак.
Якщо розглядати ПРРО-провайдерів, то в день проводяться мільйони розрахункових операцій, і будь-який збій, пов’язаний з питанням кібербезпеки, може серйозно нашкодити багатьом їхнім клієнтам.
Продумана й грамотно налаштована система захисту дозволяє:
- запобігти витоку даних;
- уникнути втрати важливих даних через несправність обладнання, неліцензовані програми тощо;
- унеможливити зміну або використання інформації за межами правил політики безпеки;
- забезпечити стійкість системи перед поширеними кіберзагрозами, як-от: фішинг, DDoS-атаки, віруси, трояни тощо.
Яку користь отримує бізнес:
- оптимізація витрат на безпеку та зменшення витрат на ліквідацію наслідків кібератак;
- покращене управління ризиками;
- підвищення рівня кіберобізнаності співробітників, що позитивно впливає не лише на робочі процеси, а й на загальнонаціональну цифрову безпеку;
- зміцнення репутації компанії;
- спокійне ведення бізнесу без переживання за несанкціонований доступ до системи, компрометацію важливих даних і втрату репутації через успішну кібератаку.
Сертифікат КСЗІ – що він дає?
Для отримання атестату відповідності КСЗІ (сертифікату), треба запровадити цілу низку заходів покращення кібербезпеки та пройти складну державну експертизу. Чи варте воно того і що отримують компанії натомість?
Переваги наступні:
- Відповідність усім державним стандартам безпеки, які забезпечують конфіденційність, цілісність і захищеність даних.
- Можливість створювати рішення під урядові ініціативи та співпрацювати з компаніями, котрі мають високі вимоги до рівня кіберзахисту (банки, медичні установи тощо). До таких рішень можна віднести як створення програм, так і розбудову / підтримку інфраструктури.
- Підвищена довіра в очах клієнтів та партнерів, оскільки сертифікат КСЗІ – це:
- підтвердження високого рівня професійності технічних спеціалістів;
- гарантія надійності інформаційної системи;
- додатковий козир під час ведення перемовин, укладанні домовленостей та розбудові співпраці.
Звичайно, є і мінус – регулярні витрати на безпеку. Але краще щомісяця мати певні операційні витрати, аніж отримати виток даних, втратити репутацію та навіть оголосити банкрутство, чи не так?
Як отримати атестат відповідності КСЗІ?
Щоб отримати атестат відповідності КСЗІ, ви маєте пройти спеціальну експертизу. Вона проводиться відповідно до “Положення про державну експертизу у сфері технічного захисту інформації”, і в разі успіху компанія-замовник отримує атестат. В середньому на перевірку йде близько 3 місяців, але в кожному випадку це індивідуально.
Одразу декілька компаній мають акредитацію на проведення експертизи, тому етапи сертифікації можуть дещо відрізнятися. Загалом, процедура отримання атестату складається з наступних кроків:
- Підготовка необхідної документації.
- Обстеження ІТ-інфраструктури компанії-замовника.
- Розроблення технічного завдання (ТЗ) і проєкту на реалізацію системи захисту.
- Зміна інфраструктури під вимоги ТЗ.
- Створення документації щодо експлуатації системи захисту.
- Реалізація та тестування системи.
- Проведення експертизи. В разі успіху – видача атестату.
Надалі треба підтримувати належний стан КСЗІ, вчасно оновлювати програми та інфраструктуру, проводити тренінги зі співробітниками, а також дотримуватися інших політик безпеки. Лише тоді зловмисники та шкідливі програми не матимуть шансу, а ваш бізнес дійсно знаходитиметься під надійним захистом.