Информационная безопасность бизнес с чего начать

Повысьте информационную безопасность компании, потратив минимум сил, времени и денег. Ключевые советы по безопасности для малого бизнеса.

Пройдите опрос и получите персональные советы по кибербезопасности
Пройти опрос сначала

Подпишитесь на нашу еженедельную рассылку

Решения для дома

• Kaspersky Standard
• Kaspersky Plus
• Kaspersky Premium
• Все решения

Для малого бизнеса

• Kaspersky Small Office Security
• Kaspersky Endpoint Security Cloud
• Все продукты

Для среднего бизнеса

• Kaspersky Endpoint Security Cloud
• Kaspersky Endpoint Security для бизнеса Cтандартный
• Kaspersky Endpoint Security для бизнеса Расширенный
• Все продукты

Корпоративные решения

• Сервисы кибербезопасности
• Управление угрозами и защита от них
• Защита конечных устройств
• Security для виртуальных и облачных сред
• Все продукты

Facebook и Instagram принадлежат компании Meta, признанной экстремистской организацией в России.

Информационная безопасность с нуля. Основы кибербезопасности

• Политика конфиденциальности
• Антикоррупционная политика
• Лицензионное соглашение B2C
• Лицензионное соглашение B2B
• Юридическая информация

Источник: www.kaspersky.ru

Бизнес без информационной безопасности как незакрытый сейф

Председатель совета директоров «СёрчИнформ» Лев Матвеев о том, как выстроить информационную безопасность (ИБ) в любом бизнесе, с чего начать и какие решения сегодня есть на рынке

из личного архива

Информационная безопасность вышла за рамки борьбы с утечками данных. Теперь это полноценная защита бизнеса от различных угроз: краж, мошенничеств, коррупции, шпионажа в пользу конкурентов и других преступных схем. Кроме того, с помощью некоторых инструментов защиты можно бороться с бездельем, саботажем и с другими негативными явлениями в коллективе.

О том, как выстроить информационную безопасность (ИБ) в любом бизнесе, с чего начать и какие решения сегодня есть на рынке «Эксперт-Онлайн» поговорил с председателем совета директоров «СёрчИнформ» Львом Матвеевым.

– Для чего в современных реалиях нужно обеспечивать информационную безопасность?

– Цифровизация привела к тому, что вся информация в компании хранится, обрабатывается и передается в электронном виде, а значит, все эти потоки данных можно и нужно отслеживать с помощью технических средств. Как в офисах обязательно имеется охранная система, противопожарные датчики, система оповещения, так и информационный периметр организации требует защиты от действий внутренних и внешних нарушителей. Никто в здравом уме не оставит сейф с деньгами открытым, чтобы проверить, честные вокруг люди или нет. То же самое с коммерческой информацией, персональными данными, стратегическими планами, юридическими и другими документами – все имеет ценность, в том числе в денежном выражении.

Специалист по информационной безопасности — кто это и как им стать | GeekBrains

Не нужно провоцировать людей совершать нарушения, оставляя данные без защиты.

– Что базово нужно сделать, чтобы обеспечить информационную безопасность компании?

– Во-первых, нужен специалист по информационной безопасности (ИБ). В идеале – специальный отдел, который возьмет на себя задачи по защите данных, выявлению нарушений и их расследованию.

Во-вторых, нужны защитные средства, специализированное программное обеспечение. Сюда входят различные классы систем – антивирусы, файрволлы, DCAP, DLP, SIEM и прочее. Термины сложные, но на практике, одни средства служат для защиты компании от вторжения извне, вторые – защищают от внутреннего нарушителя, инсайдеров и так далее. Наша компания разрабатывает решения для защиты от внутренних инцидентов и утечек информации: «СёрчИнформ КИБ» (DLP), «СёрчИнформ FileAuditor» (DCAP) и другие, а также предоставляет услугу обеспечения информационной безопасности.

В-третьих, нужны регламенты и обучение персонала. Потому что сотрудники – основная причина утечек данных и других нарушений. Существенная часть инцидентов происходит по незнанию, халатности, случайно. Мы рекомендуем заказчикам проводить регулярное обучение сотрудников основам информационной безопасности.

Сами проводим такие курсы бесплатно для любых организаций, не только для клиентов. За три года у нас прошли обучение более 50 000 сотрудников коммерческих и государственных структур.

Источник: из личного архива

– Похоже, что обеспечить информационную безопасность – это дорого и доступно далеко не для каждой компании?

– На это я всегда отвечаю: смотря с чем сравнивать. Компании выделяют средства для обеспечения пожарной безопасности, на охранные системы, ДМС, да даже на корпоративы и чай с кофе сотрудникам. В таком случае для защиты конфиденциальных данных точно есть ресурсы. Тем более, что это не траты, а инвестиции, которые по нашему опыту, окупаются спустя 3-4 месяца использования защитных средств.

Да, каждому руководителю хочется верить, что все его сотрудники «белые и пушистые», но на практике это в 99% случаев оказывается не так. И за довольно короткий срок в компаниях выявляется и работа на сторону, в том числе на конкурентов, и мошенничества, и сливы данных, и безделье – иногда половина команды работает от силы четыре из восьми рабочих часов. Все это деньги компании – зарплата, аренда офиса, другие расходы. Я уже не говорю о персональных данных сотрудников и клиентов, защита которых должна быть обеспечена по закону.

– Кстати, про законы, что вы думаете про оборотные штрафы за утечки персональных данных? Действительно ли это поспособствует более надежной защите данных граждан?

– Штрафы однозначно нужно повышать. Сейчас они смехотворные. По факту проще платить по 60 000 руб. за утечку, чем обеспечить адекватную защиту информации. Ведь хороший специалист по безопасности, качественное программное обеспечение, соблюдение требований регуляторов, обучение персонала основам инфобеза – все это требует ежемесячных вложений, и они в разы превышают нынешние штрафы за утечки.

Наказание должно учитывать уровень информационной защиты в компании. Если она предприняла максимальные меры для сохранности данных, то штраф за утечку для нее должен быть умеренным. Если же организация была как «открытая книга» для инсайдеров и других злоумышленников, то за утечку информации должны последовать полноценное наказание и серьезные штрафные санкции. Здесь будет логично введение гибкой шкалы штрафов.

Еще очень важный момент – нужно, чтобы внутри компаний был специальный фонд для закупки защитных решений. Об этом говорят руководители ИБ-отделов наших заказчиков, когда обсуждаем тему штрафных санкций. Отчисление определенного процента в фонд для покупки защитных решений такая же необходимость, как и установка пожарных извещателей или социальное страхование сотрудников.

– Но все же как быть тем компаниям, которые вот прямо сейчас не могут позволить себе нанять специалистов по безопасности, купить защитные решения и прочее? Сейчас и так непростая экономическая ситуация, откуда бизнес возьмет дополнительные средства?

– Решение есть всегда. На самом деле рынок ИБ не стоит на месте и старается облегчить жизнь заказчикам – предлагает гибкие условия, бесплатно обучает основам информационной безопасности, помогает с методологиями, чтобы соответствовать требованиям регуляторов и прочее. Кроме того, на рынке уже несколько лет есть предложение по аутсорсингу ИБ. Это как раз тот случай, когда у компании-заказчика нет своих ИБ-специалистов, нет необходимого оборудования и программного обеспечения, очень ограничен бюджет на эту статью, а защищать информацию нужно очень хорошо. Аутсорсинг информационной безопасности закрывает все эти потребности и доступен практически любой компании, особенно, где всего 50-100 ПК.

С чего начинается информационная безопасность

Эксперт в области защиты информационных активов предприятия, контроля деятельности сотрудников. Стаж в области обеспечения безопасности бизнеса более 14 лет. Соавтор «Типовой системы качества для 1С:Франчайзи» в части информационной безопасности. Автор статей по вопросам информационной безопасности в издании «Финансовая Газета». Руководитель и редактор-эксперт информационного портала www.RAZVEDKA.ru., посвященного защите конфиденциальной информации, правовым аспектам защиты бизнеса, вопросам личной безопасности.

«Для России в целом типична ситуация, когда руководители компаний, приходя к необходимости решения вопросов информационной безопасности, имеют о ней довольно общее представление. В восприятии руководителя это либо царство «хакеров», из сюжетов новостных лент, либо космические, оторванные от привычной реальности, суммы убытков в отчетах аудиторов, также почерпнутые из новостных лент. То есть, весьма смутное понимание. Поэтому, первое, что мы делаем при знакомстве с заказчиком – говорим о реальных задачах бизнеса, о роли и ценности информационных активов для бизнеса».

– С чего же тогда начинается информационная безопасность?

– Очевидно, с определения, какая информация имеет ценность для бизнеса, что именно необходимо защищать. Сколько стоит эта информация, чем грозит ее потеря, уничтожение или просто ограничение доступа на какое-либо время. Стоимость, безусловно, определяется в рублях. На этом этапе обсуждаются такие виды финансовых потерь как цена восстановления информации, упущенная прибыль, потеря производительности, репутационные потери и т.п. И только после этого идет рассмотрение кто (собственный сотрудник, тот же хакер) или что (вирусы, изношенное оборудование) представляет для организации актуальную угрозу нарушения безопасности, какие меры противодействия необходимо предпринимать.

– Чего чаще всего опасаются предприниматели?

– Провокаций со стороны конкурентов. Шантажа уходящего сотрудника (или руководителя) требующего «отступные» за отказ от использования важной информацией. Но наибольшую угрозу бизнес видит в недобросовестных представителях власти. И это понятно, когда у людей свободных от моральных принципов есть полномочия, позволяющие влиять на деятельность организации, или просто соответствующий опыт (полномочия – не самое необходимое для шантажа). Это действительно не может не вызывать тревогу.

– Судя по всему, Вам приходится обсуждать достаточно приватную информацию, насколько охотно на это идут заказчики? Не видят ли потенциальную угрозу в Вас?

– Это всегда меня удивляло, но практика показывает, что в компаниях, к защите информационных активов относятся недостаточно внимательно. Я бы даже сказал, несерьезно. Я регулярно общаюсь с владельцами, руководителями компаний, не обладающими элементарной осторожностью. Несмотря на то, что они видят меня впервые, уже через 10 минут разговора они готовы подробно рассказывать о местонахождении данных, сильных сторонах и недостатках мер по защите информации, устройстве своей ИТ-инфраструктуры. В таких случаях, мы призываем к подписанию договора о конфиденциальности, чтобы дать возможность осознать важность передаваемых сведений и урегулировать ответственность.

Естественно, доверие – это не обязательно плод наивности. Большинство руководителей все же доверяют нам благодаря нашей высокой компетенции, длительности присутствия на рынке, рекомендациям знакомых и партнеров.

– Можно ли выделить, кто из собственных сотрудников может представлять угрозу?

– С точки зрения своих возможностей – системный администратор. Этот специалист обычно имеет полный доступ ко всей информации в компании, но, традиционно, практически не несёт ответственности за ее потерю или компрометацию. Если ноутбук руководителя подключен к корпоративной сети, системный администратор может скопировать с него всю информацию.

Еще пример – специалисты финансовых служб компании подразделений. Сотрудники бухгалтерии, при некоторой сноровке, могут переводить денежные средства совсем не на те счета, которые предписывают им должностные обязанности. Такие возможности также должны учитываться при построении мер по обеспечению защиты информации. Но иногда широкие возможности по нарушению безопасности имеют и линейные сотрудники.

Как показывает практика, в весьма существенном количестве организаций, базу управления взаимоотношений с клиентами сотрудник может незаметно скопировать на личный смартфон и унести. Уйдет на эту операцию порядка полутора минут. Для ее осуществления достаточно для нее минимальных прав доступа.

– А топ-менеджеры требуют особого присмотра?

– Безусловно. Очень часто нарушителями безопасности становятся конфликтующие руководители или владельцы. Противоречия между ними приводят к тому, что кто-то покидает компанию, забирая с собой ценную информацию, к которой имел доступ. При защите от этой угрозы эффективны организационные, в частности, юридические меры.

Подписание топ-менеджерами специальным образом подготовленных документов, в которых указывается, какая информация является конфиденциальной, сделает её кражу уголовным преступлением. С технической точки зрения важно оперативно выявить все возможности неправомерного доступа к ресурсам и нейтрализовать их.

– Какие ещё организационные меры используют, чтобы обезопасить данные?

– Видеонаблюдение может снизить риски утечки конфиденциальной информации. Оно создаёт у сотрудников понимание того, что руководство компании считает защиту данных важной задачей и будет искать нарушителей. При этом видеонаблюдение, как правило, не вызывает сильного отторжения у персонала. В open space офисе никто не придаст появлению камеры особого значения.

– Есть ли специфика при защите информации малых предприятий?

– Можно сказать и так. Для малого бизнеса действительно есть специфичная проблема – случайная потеря или уничтожение данных. Проблемы возникают, когда бухгалтер копирует данные на флеш-карту, чтобы работать дома, или сотрудник, прося о помощи по работе, передаёт третьему лицу логин и пароль от облачного хранилища компании. Именно малым бизнесом востребована услуга сохранения конфиденциальности информации при уходе топ-менеджера.

– Всё больше данных предприятий оказывается «в облаках». Каковы особенности их защиты при удалённой работе?

– Да, это экономически обосновано, и малый, и средний бизнес нередко обзаводится «виртуальными офисами». Такой тип организации работы имеет свои преимущества. Для «виртуального офиса» не актуальны угрозы потери информации, связанные с физическим доступом – никто не завладеет вашими данными, проникнув в помещение компании.

Главным вопросом безопасности для пользователей облачных технологий является управление доступом. Если специальные меры не приняты, имея логин и пароль, добраться до данных может кто угодно из любой точки мира.

Один из вариантов усиления защиты доступа – модель его предоставления, основанная на двух факторах. Допуск к информации возможен только при наличии usb-ключа и знание пин-кода. Нет ключа – пин-код бесполезен (если он украден вирусом или считан сканером клавиатуры). Есть ключ, но нет пин-кода – доступ также запрещен – подобрать пин-код невозможно.

– Какие меры безопасности являются сейчас «обязательным минимумом»?

– Для каждого вида конфиденциальных данных «минимум» будет свой.

Защита сведений управленческого учёта требует систем шифрования и резервного копирования, а также систему усиленной защиты доступа (с помощью отпечатков, специальных ключей и т.п.).

Для бухгалтерского учёта компаниям обычно хватает системы резервного копирования данных, потому что эти сведения передаются контролирующим органам в обязательном порядке.

Для тех, кто использует «Клиент-Банк», «минимум» – система шифрования и электронные ключи.

И во всех случаях, конечно, необходима антивирусная защита.

– Есть ли специфика при работе именно с продуктами системы 1С:Предприятие?

– Действительно, очень часто конфиденциальная информация содержится в информационных базах 1С:Предприятие, но с технической точки зрения для нас не важно, каким образом обрабатываются данные. Мы обеспечиваем безопасность в системах, выстроенных на любых платформах. Если же напрямую отвечать на вопрос, то да. Есть специфика. Мы ее хорошо знаем и всегда учитываем при разработке систем защиты информационных активов.

Хотите получать подобные статьи по четвергам?
Быть в курсе изменений в законодательстве?
Подпишитесь на рассылку

Нажатием кнопки я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности

Нет времени читать? Пришлем вам на почту!

Источник: www.1cbit.ru