Николай Болотский, президент Стратегического альянса «Родияр» Проблема информационной безопасности сегодня стоит достаточно остро: причины и в растущем объеме чувствительной информации, которую хранит на своих сетевых ресурсах практически каждая компания, и в активности злоумышленников, прилагающих значительные усилия, чтобы до этой информации добраться. У всех на слуху громкие хакерские атаки, утечки конфиденциальной информации в Сеть, скандалы, связанные с публикацией баз персональных данных клиентов крупных международных корпораций. Не стоит сбрасывать со счетов и юридические риски, наступающие в результате нарушения компанией требований законодательства в части защиты информации. Обеспечению безопасности данных государство придает немалое значение – свидетельством тому является жесткое регулирование данной сферы. Так, проектированием и внедрением систем защиты конфиденциальной информации, и информации, составляющей государственную тайну, могут заниматься только компании, имеющие лицензии ФСБ и ФСТЭК России.
Как обеспечить информационную безопасность своего бизнеса?
Спасибо за проявленный интерес к нашему журналу!
Для получения доступа к статьям Вам необходимо зарегистрироваться у нас на сайте или выполнить вход.
Если у Вас оформлена подписка в текущем периоде, то Вы автоматически получите доступ ко всем материалам нашего журнала с начала его издания.
Если Вы не являетесь подписчиком, но хотите ознакомиться с материалами издания, Вы можете воспользоваться ДЕМО-доступом в личном кабинете (активен 24 часа с момента запуска), который даст возможность полноценного ознакомления с шестью номерами журнала. Это позволит Вам оценить качество наших материалов.
Оформите подписку и будьте всегда в курсе Безопасности бизнеса!
Источник: www.sec-company.ru
Как обеспечить информационную безопасность в компании
В сегодняшних реалиях информация — не просто деньги, а намного более ценный ресурс. Персональные данные, инсайдерские знания о рынке, организация работы, ноу-хау — к защите этих данных следует отнестись максимально серьезно. Расскажем, как системно подойти к корпоративной информационной безопасности.
Что такое информационная безопасность
Чтобы исключить риски, в компании необходимо грамотно организовать работу с оборудованием, ПО и прописать политику безопасности — методы управления данными, а также используемые в работе стандарты и технологии. Профессионально организованная корпоративная информационная безопасность (ИБ) помогает защитить данные от злоумышленников.
Система защиты информации и обеспечение информационной безопасности компании.Как заблуждается бизнес
Перечислим цели работы решений ИБ.
- Конфиденциальность. У вас появляется контроль над корпоративной информацией — вы точно понимаете уровень защищенности своих данных, в том числе при их хранении или транзите данных любым способом и в любом формате. Вы знаете, что сделано, чтобы исключить несанкционированный доступ к информации и понимаете, насколько надежны эти меры.
- Целостность. Важная вещь, чтобы не допустить искажения информации на разных стадиях бизнес-операций. Этой цели добиваются, стандартизируя процессы работы с данными на разных этапах и в разных отделах.
- Доступность. Все важные данные должны быть доступны всегда, с учетом всех полномочий пользователей. Благодаря этому, процессы в корпоративной сети становятся предсказуемыми. Один из важных плюсов доступности — возможность быстро и полноценно восстановить систему в случае проблем.
Надежность — прежде всего
Для достаточного уровня ИБ в компании необходим системный подход, который учитывает не только все актуальные уязвимости, но и потенциальные проблемы. Поэтому, здесь не обойтись без круглосуточного контроля на каждой из стадий работы с данными, начиная с момента появления в системе и заканчивая удалением из нее.
Есть три основных типа контроля, которые позволяют предусмотреть все (или почти все) опасности.
Административный
Высокий уровень информационной безопасности поддерживается с помощью системы, состоящей из нормативных актов, корпоративной политики безопасности, правил найма, дисциплинарных методов и другого.
Логический
Здесь используются различные средства технического контроля. Это могут быть файрволы, специальное программное обеспечение, менеджеры паролей и многое другое.
Эти два типа контроля помогают предотвратить искусственные угрозы безопасности. Все они так или иначе создаются людьми и представляют собой результат их действий. Это, например, атаки злоумышленников или действия конкурентов.
Физический
Сюда входят системы управления доступом и инженерные системы компании, влияющие на процесс передачи и хранения данных. Это, к примеру, пожарная сигнализация, кондиционирование, отопление и другое. Кроме того, этот подход распространяется непосредственно на устройство рабочих мест и техники. Этот тип контроля помогает предотвратить угрозы естественного происхождения, в том числе обстоятельства непреодолимой силы — пожары, наводнения и т. п.
Вечная гонка
Сегодня в работе любой компании практически не осталось областей, где не были бы задействованы ИТ-технологии. Поэтому, теоретически, злоумышленники могут получить несанкционированный доступ почти к любому аспекту деятельности вашей компании. Таким образом, построение системы корпоративной информационной безопасности — это, в прямом смысле слова, гонка со злоумышленниками. Вы должны максимально оперативно узнавать об их новых схемах и выстраивать систему так, чтобы противостоять им.
Средства защиты информации
Средства защиты информации (СЗИ) — это ПО и оборудование, помогающие предотвратить утечки данных и эффективно противостоять угрозам. В их число входят различные аппаратные решения, программное обеспечение и организационные меры, которые должны работать в комплексе.
Из всех СЗИ наиболее популярны программные средства. Перечислим основные типы такого ПО.
Традиционные антивирусы
Некоторые из антивирусов способны не только обнаружить и обезвредить вредоносные программы, но иногда и восстановить поврежденные файлы. Важная функциональность, о которой не стоит забывать — сканирование, периодичность которого можно настраивать в соответствии с расписанием.
Облачные антивирусы
Основное отличие от традиционного ПО — в том, что анализ файлов происходит непосредственно в облачной инфраструктуре, а на устройстве устанавливается только клиент. Таким образом, антивирус не нагружает ОС рабочих ПК. Поэтому они хорошо подходят для не очень производительных систем. Среди примеров можно назвать Panda Cloud Antivirus, Crowdstrike, Immunet.
Системы мониторинга и управления информационной безопасностью (SIEM)
Это специализированное ПО, созданное для мониторинга ИТ-инфраструктуры. SIEM-решения собирают информацию о событиях в сети из всех критичных источников. Это антивирусы, межсетевые экраны, операционные системы и так далее. Вся эта информация централизованно хранится в одном месте и анализируется в автоматическом режиме. На основе анализа система мгновенно уведомляет ИТ-отдел об активности, похожей на хакерские атаки, сбои и другие угрозы.
Data Leak Prevention (DLP)
Это специализированное ПО, разработанное для защиты данных от утечки. Такие решения эффективны, но требуют больших организационных и финансовых затрат от компании. Хороший выбор, если вы готовы заплатить за действительно серьезный уровень безопасности.
Также можно выделить такие типы, как криптографические системы, межсетевые экраны, VPN и прокси-серверы. Особое внимание следует уделить и защите мобильных устройств, которыми пользуются сотрудники. Для этого существует целый ряд решений, например AirWatch, IBM MaaS360, VMware, Blackberry Enterprise Mobility Suite.
Выбор оптимальных инструментов
Принимая окончательное решение, вам необходимо учитывать множество факторов. Среди них:
- характер работы компании;
- размер компании, наличие отдаленных офисов, а также подразделений;
- технический уровень— спецификации используемого оборудования, уровень износа и т. д.;
- степень технической грамотности сотрудников, работающих с информационной инфраструктурой.
Выбрать и внедрить решение, учитывающее все эти пункты самостоятельно довольно сложно. Поэтому оптимальным решением выглядит обращение к профессионалам. Пример такой компании — ITGLOBAL.COM, которая профессионально занимается обеспечением информационной безопасности с 2017 года. Первым шагом, с которого лучше всего начать работу, — аудит ИБ и тестирование на проникновение (пентест). Так вы сможете получить объективную оценку своего уровня защищенности.
Источник: www.computerra.ru
Как организовать информационную безопасность в компании своими силами?
Не секрет, что сегодня информационная безопасность — это необходимость, условие эффективной работы любой коммерческой или государственной организации. Утечка информации обходится бизнесменам очень дорого, а чиновникам может и вовсе стоить постов. Реально ли в таком случае обезопасить себя от возможных утечек?
Не секрет, что сегодня информационная безопасность — это необходимость, условие эффективной работы любой коммерческой или государственной организации. Утечка информации обходится бизнесменам очень дорого, а чиновникам может и вовсе стоить постов. Увы, не у каждого предприятия есть необходимые средства и возможности, чтобы выстроить систему безопасности по всем принятым стандартам. Реально ли в таком случае обезопасить себя от возможных утечек?
Очевидно, лучше всего при создании системы информационной безопасности в организации привлечь профессионалов на каждом этапе и внедрить специализированное ПО — DLP-систему, которая наиболее эффективно позволяет контролировать трафик и защищаться от утечек информации. Но и привлечение услуг консалтинговых компаний, и приобретение DLP-системы — мероприятия очень дорогостоящие. Как показывает практика, подобные системы применяются лишь в половине российских организаций (по данным исследования SearchInform среди предприятий всех регионов России), и одна из причин такой ситуации – нехватка финансовых средств.
Поэтому многие компании решают обходиться своими силами — по крайней мере, до тех пор, пока не будет достаточно денег, чтобы организовать информационную безопасность более высокого уровня.
Несмотря на то, что система безопасности, организованная компанией собственными силами, чаще всего уступает профессиональным системам, она в любом случае будет намного лучшим вариантом, чем вообще полное отсутствие какой-либо защиты.
Итак, рассмотрим шаги, которые нужно сделать для того, чтобы самостоятельно организовать на предприятии информационную безопасность.
- Прежде всего, необходимо определить, какую именно информацию необходимо защищать в первую очередь. Нельзя организовать систему защиты, если не знать, что именно нужно защитить. Понятно, что защитить хочется как можно больше, но как показывает практика, это невозможно, потому как ресурсов даже крупной и обеспеченной компании не хватит на такой размах. Если вы не сможете сразу определить, какие именно документы необходимо сберечь, представьте, что может случиться с компанией в случае хищения тех или иных документов. Если в результате этого мысленного эксперимента последствия будут очевидно негативными, то такие данные однозначно нужно защищать.
- Разработайте действенную политику информационной безопасности и проведите инструктаж среди сотрудников компании. Разграничьте доступ к конфиденциальной информации. Для этой цели организация разрабатывает специальный документ – политику информационной безопасности. В нем, кроме перечня документов, подлежащих защите, должны быть прописаны роли всех пользователей, возможные варианты угроз и средства защиты от них. Примеры таких документов можно легко отыскать в Интернете, чтобы «по образу и подобию» адаптировать их под реалии вашей компании. Следующий шаг – составление должностной инструкции, которую необходимо под роспись довести до всех сотрудников. Для наилучшего усвоения можно провести зачет по основам информационной безопасности, это закрепит положения инструкции в памяти персонала. В дальнейшем инструктаж следует повторять с определенной периодичностью — скажем, раз в один-два месяца.
- Разграничьте доступ персонала к документам доступными средствами. Любые штатные системы, используемые в организациях (CRM, бухгалтерского учета, СЭД и прочие) позволяют сделать это. Фактически всё, что требуется сделать — это изменить настройки доступа. Помните, что подобное разграничение необходимо настроить для всех информационных систем, потому как в противном случае созданная система безопасности будет недостаточно эффективной.
- Защитите корпоративную сеть и компьютеры сотрудников. Удивительно, но очень многие предприятия страдают из-за утечек данных только потому, что не используют межсетевые экраны или вовсе забывают установить пароль доступа к сети Wi-Fi в офисе. В результате – хватит даже небольших знаний в IT-сфере, чтобы похитить корпоративные секреты. Корпоративный межсетевой экран можно заменить одним из бесплатных решений, которых сейчас достаточно на рынке.
- Разработайте и внедрите правила кадровой безопасности. Не принимайте на работу тех сотрудников, которые уже отметились участием в инцидентах, связанных с нарушением информационной безопасности. Не нужно пытаться переманить сотрудников у конкурентов: ведь если через некоторое время кто-то снова пообещает им более высокую зарплату, чем в свое время предложили вы, то они точно также уйдут к конкурентам со всеми полученными знаниями, а в худшем случае – и с вашими документами.
Развивайте в компании культуру информационной безопасности. Регулярно напоминайте работникам о том, что следование политике ИБ необходимо для роста компании и увеличения их благосостояния. Сотрудники, понявшие важность обеспечения информационной безопасности, будут ответственнее подходить к работе, будут стараться не допускать случайных утечек.
Не лишним будет составить соглашение о неразглашении, которое необходимо подписать всем вашим сотрудникам. В конце писем, которые отправляют работники с корпоративных электронных ящиков, также нужно вставить предупреждение о недопустимости разглашения.
Эти простые, но недорогие и эффективные меры позволят на первое время повысить уровень защиты организации от инцидентов, связанных с утечкой информации, пока не появится возможность внедрить полноценную систему обеспечения ИБ.
fmd_bad В команду редакции интернет-издания «Капитал страны» требуется новостник: требования и условия keyboard_double_arrow_right
Источник: kapital-rus.ru
