Об отдельной инфраструктуре для системы защиты информации
Информационная безопасность сегодня является важным фактором киберустойчивости любой организации.
Система защиты информации (далее – СЗИ) информационной системы организации представляет собой совокупность правовых, организационных и технических мер, направленных на обеспечение информационной безопасности
Я бы хотел сегодня затронуть такой важный аспект технической составляющей информационной безопасности, как предоставление ресурсов для размещения средств защиты информации.
Думаю, вы согласитесь со мной, что хранение резервной копии, например, базы данных, на том же сервере, где она функционирует — это сомнительный вариант резервирования, поскольку смысл в такой копии теряется. Точно так же рискованно размещать компоненты СЗИ на аппаратных ресурсах, которые использует защищаемая информационная система.
Отсюда следует, что должно быть реализовано физическое разделение аппаратных ресурсов, используемых информационной системой и средствами защиты информации. Тем самым мы повысим надежность функционирования СЗИ за счет ее независимости от технической части информационной системы.
Хотел бы также обратить внимание на такой важный способ выделения СЗИ в ИТ-инфраструктуре организации, как сегментирование. Размещение средств защиты информации в отдельном сегменте локальной вычислительной сети, в которой функционирует информационная система, а также определение правил взаимодействия с этим сегментом, в том числе и экранирование сетей, снизят возможное негативное и несанкционированное воздействие на СЗИ.
Предлагаемые мероприятия по обособлению СЗИ позволят:
- Минимизировать воздействие на СЗИ через информационную систему.
- Обеспечить действенный контроль за взаимодействием СЗИ с информационной системой.
- Существенно уменьшить воздействие СЗИ на функционирование информационной системы и избежать конфликта за аппаратные ресурсы.
- Свести к минимуму риск выхода из строя средств защиты информации при неблагоприятном воздействии на информационную систему, и таким образом сохранить возможность детектирования инцидентов и своевременного реагирования на них при воздействии на информационную систему.
Выделение отдельной инфраструктуры для СЗИ можно осуществить на любом этапе функционирования информационной системы.
Тем не менее, опираясь на опыт нашей компании, рекомендую продумать решение в ходе проектирования СЗИ, а затем реализовать проектное решение при создании СЗИ.