Прошедший 2022 год стал одним из самых сложных за последнее время, спровоцировав новый виток развития рынка информационной безопасности в России. Множество непрогнозируемых факторов перевернули область информационной безопасности (ИБ). Уход западных компаний и введение запретов на использование части программ обрушили старые логистические цепочки.
Возникла колоссальная потребность на альтернативные продукты. Тысячи специалисты потеряли работу в иностранных компаниях и перешли на внутренний рынок. Но эта турбулентность в сфере ИБ — только первая опрокинутая костяшка домино.
Что будет дальше? Какие изменения прогнозируют ведущие эксперты сферы ИБ в 2023 году?
Законодательные изменения в 2022 году
Законодательные основы в ИБ существенно изменились. В мае президент выпустил Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» , который обозначил ключевые векторы развития для отрасли. Он послужил мотивационным толчком для совершенствования как государственных органов, так и частных компаний.
Как строится система информационной безопасности крупных компаний
В документе представлены органы , на которых лежит ответственность за обеспечение ИБ:
Государственные органы исполнительной власти;
Государственные фонды;
Высшие региональные исполнительные органы государственной власти;
Государственные корпорации и созданные на основе федеральных законов организации;
Акционерные общества, предприятия стратегического значения, системообразующие для экономики РФ организации;
Юридические лица, являющиеся субъектами российской критической инфраструктуры.
Всего отмечено 72 субъекта и список будет только пополняться. Но уже сейчас понятно — привлекаются все ресурсы для решения проблемы. Руководителям субъектов поручено отчитаться за организацию обеспечения ИБ своих организаций и ведомств. Оценку их защищенности предстоит проверить самостоятельно либо привлечь к процессу тестирования сторонние организации, обладающие лицензией от ФСТЭК на деятельность по технической защите конфиденциальной информации. Перечень таковых изложен в приложении к Указу.
Ряд изменений в прошлом году вступил силу и в других аспектах ИБ. Например, они коснулись комплекса стандартов автоматизированных систем и стандартов ИБ, которые были утверждены Росстандартом.
Нововведения затронули и систему менеджмента. К примеру, были пересмотрены положения в стандартах 2006 года и вступила в силу редакцияновогоГОСТа Р ИСО/МЭК 27 001−2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Поменялся и ряд других ГОСТ в этой отрасли.
Топ-5 трендов информационной безопасности
Российские эксперты единодушно сходятся во мнении: в 2023 году нас ждет пять основных направлений развития защиты от киберугроз для корпораций и крупных организаций. Давайте поговорим об этих тенденциях.
Борьба с утечками персональных данных
Конфиденциальная информация — настоящая «ахиллесова пята» для специалистов по ИБ. Свыше 60% последствий всех кибератак за прошлый год приходится на ее утечки. Персональные данные — самое уязвимое место в этом направлении.
Информационная безопасность. Основы информационной безопасности.
Максут Шадаев
Глава Минцифры РФ
«Процесс цифровизации стал настолько быстрым, что регуляторика и общество не поспевают за ним. Граждане чувствуют себя незащищенными в цифровой среде.
2023 год будет посвящён развитию регуляторики по защите персональных данных»
Соцсети — кладезь информации для сомнительных личностей и уязвимое место для пользователей. Хакеры активно собирают информацию из них по по интересующим личностям, взлом учетных профилей которых дает хорошие бонусы.
Государство решило ужесточить свою политику в отношении персональных данных россиян.
Похищение личной информации теперь грозит не только внушительным штрафом, но и вполне реальным сроком.
Компании также не останутся в стороне. Им поручено пересмотреть архитектуру защиты данных своих пользователей и оперативно уведомлять об утечках. Работы у специалистов по информационной безопасности в компании теперь явно прибавится.
Рост числа кибератак и расширение их поверхности
Минувший год побил все рекорды по количеству кибератак на российские и зарубежные сайты, а также внутренние сети организаций. Многие из них осуществлялись большими группами хакеров и были успешными.
Источник: selecty.ru
Информационная безопасность
Информационная безопасность — набор практик по защите информации. ИБ включает в себя предотвращение несанкционированного доступа, раскрытия, уничтожения или изменения информации, снижение негативных последствий инцидентов и не только. Информация может быть материальной (документы), нематериальной (знания) и электронной. Одно из ключевых направлений ИБ — защита целостности, конфиденциальности и доступности данных.
Важная часть обеспечения ИБ — разработка специальных политик, процедур и регламентов, которые определяют организационные меры и технические средства по защите информации. Защита информации необходима на этапах ее обработки, передачи, хранения и уничтожения.
Кроме того, для обеспечения информационной безопасности разработаны различные мировые и отечественные стандарты, в которых описываются общие принципы по обеспечению ИБ.
Источник: itglobal.com
Обеспечение информационной безопасности
Обеспечение информационной безопасности (ИБ) – комплексная задача, решаемая параллельно по целому ряду направлений: правовому, организационному и техническому. Эффективное обеспечение ИБ возможно только при создании системы обеспечения информационной безопасности (СОИБ), охватывающей все направления деятельности организации и функционирующей на всех уровнях управления (стратегическом, тактическом и оперативном).
Создание СОИБ ведется с учетом специфики деятельности Заказчика, текущего уровня развития информационных технологий, учета планов развития в кратко и среднесрочной перспективе.
СОИБ представляет собой сложную организационно-техническую структуру, состоящую из:
- комплексной системы защиты информации – совокупности интегрированных программно-технических средств защиты информации, обеспечивающих защиту информационных ресурсов во всех информационных системах Заказчика и на всех этапах их жизненного цикла;
- совокупности процессов, обеспечивающего эффективную эксплуатацию и развитие комплексной системы защиты информации;
- персонала – сотрудников подразделений ИБ, занятых в процессах эксплуатации комплексной системы защиты информации, а также контроля над выполнением требований внутренних документов в области ИБ и прочих задачах обеспечения ИБ.
При создании СОИБ мы ориентируемся на ряд ключевых принципов, которым должна отвечать система обеспечения информационной безопасности:
- соответствие мер защиты, реализуемых СОИБ, реальным угрозам ИБ (которые определяются предварительно, по результатам аудита ИБ);
- поэтапное создание СОИБ с целью оптимизации финансовых затрат, сохраняющее при этом единую концепцию СОИБ;
- защита инвестиций – использование существующих средств и систем защиты информации для построения СОИБ, с целью снижения капитальных затрат (в том числе интеграция разнородных подсистем обеспечения ИБ путем создания единой интегрированной системы);
- централизованное управление и мониторинг, что снижает трудозатраты на эксплуатацию СОИБ;
- учет и эффективная интеграция с существующими процессами управления ИТ (при необходимости, с параллельной модернизацией средств и систем управления ИТ).
УЦСБ обладает большим опытом построения СОИБ для крупных предприятий топливно-энергетического комплекса, банковского сектора, промышленных предприятий и органов государственной власти, а также выполнения смежных задач:
- разработка концепции обеспечения ИБ;
- проведение аудитов ИБ;
- создание систем защиты отдельных элементов информационной инфраструктуры или комплексной системы защиты информации в качестве инфраструктуры будущей СОИБ;
- проведение тестирований на проникновение (так называемые пентесты или pentest).
Источник: www.ussc.ru
