Какие стандарты корпоративной безопасности существуют и как их соблюдать

Какие элементы включает в себя корпоративная информационная безопасность?

Корпоративная информационная безопасность состоит из нескольких элементов защиты: технических и организационных мер, и обучения сотрудников. Технические меры делятся на несколько эшелонов: внешний и внутренний. Во внешний входят сетевые экраны, демилитаризованная зона, в которой находятся уязвимые сервисы, доступные снаружи, и обратный прокси-сервер, обеспечивающий непрямые доступы к внутренним сервисам. Внутренние меры безопасности состоят из внутренних межсетевых экранов, анализаторов активности и других средств контроля. Также важным элементом становится пользовательский эшелон, в который входят антивирусные программы, DLP-системы для контроля активности пользователей и PAM-системы, направленные на контроль за пользователями, которые могут менять системные настройки.

Как в «Лайм-Займ» поддерживают корпоративную информационную безопасность?

Корпоративная информационная безопасность обеспечивается совместными усилиями всех сотрудников и руководителей компании. Также эксперты нашего отдела поддерживают необходимый уровень безопасности в своих рабочих областях с помощью различных инструментов. 

Порядок мероприятий, направленных на поддержание корпоративной безопасности, закреплен во внутренних стандартах компании. Так, специалисты отдела информационной безопасности регулярно проводят профилактические работы и составляют их план, исходя из потребностей бизнеса. Например, в зависимости от зоны ответственности, периодически происходит пересмотр доступа для разных учетных записей, блокировка ненужных аккаунтов пользователей. Также на регулярной основе сотрудники отдела разрабатывают список требований при интеграциях с какими-либо внешними системами. Таким образом мы исключаем значительное количество рисков.

Также мы соблюдаем законодательство в области передачи и хранения персональных данных, в том числе ФЗ-152. Стоит помнить и об особых регуляторных требованиях в сфере финансов. В «Лайм-Займ» мы соблюдаем PCI DSS — международный стандарт безопасности для защиты данных платежных карт. Данный стандарт обязателен для всех крупных финансовых компаний. За 20 лет существования он зарекомендовал себя как надежный регламент защиты платежной информации.

Банк России выпустил стандарт по безопасности финансовых операций информационной безопасности для банковских организаций. Стандарт будет распространяться на микрофинансовые организации и должен обеспечить необходимый и достаточный уровень защиты информации в кредитных организациях, некредитных финансовых организациях РФ, а также субъектах национальной платежной системы.

Как специалисты развивают систему корпоративной безопасности в компании? 

Важно помнить, что безопасность строится на обеспечении целостности, конфиденциальности и доступности информации. Исходя из этого принципа в компании реализуются проекты повышения устойчивости бизнес-процессов. Сотрудники работают над внедрением отказоустойчивых кластеров сетевых устройств на площадках. Это необходимо для создания стабильного информационного покрытия и минимизации потерь в случае нестандартной ситуации.

Мы развиваем системы безопасности на постоянной основе. Учитываем и мониторим актуальные риски, своевременно приминаем новые меры защиты или пересматриваем текущие. На данный момент технические средства, внедренные в компании, обеспечивают тот уровень защиты информации, при котором злоумышленникам становится экономически не выгодно ломать СЗИ и они ищут пути взлома через сотрудников. Именно поэтому в «Лайм-Займ» постоянно обновляется обучение в разных форматах, так как мы уверены, что каждый коллега должен знать правила хранения и передачи данных и основные сценарии действий злоумышленников. В «Лайм-Займ» мы стремимся развивать не только технический аспект информационной безопасности, но и навыки каждого сотрудника компании и формируем культуру безопасной работы.