Как обезопасить свою информационную систему

Дмитрий Калаев | Заместитель Генерального Директора. Компания Naumen, Москва.

На какие вопросы Вы найдете ответы в этой статье
Как защитить компанию от утечки информации из баз данных
Можно ли обезопасить систему от сбоев
Как протестировать систему информационной безопасности Вашей компании
Также Вы прочитаете
Как в страховой группе «Авеста» защищают базу, насчитывающую более 100 тысяч клиентов
Зачем в компании «Инталев» ведут журналы активности пользователей
Пример, который позволит Вам расчетным путем определить, нужно ли ставить резервное оборудование для защиты информации
С какими проблемами может столкнуться Генеральный Директор

В результате нарушения информационной безопасности Вашей компании может грозить:
утрата данных;
разглашение конфиденциальной информации;
отказ информационных систем, что исключает возможность работать с клиентами;
рост накладных расходов.

Вне зависимости от сферы деятельности предприятия первые три проблемы могут привести к потери бизнеса.

Рассмотрим подробнее перечисленные угрозы, а также причины их возникновения и способы предотвращения.

Утрата данных

Такая проблема возникает, во-первых, из-за повреждений носителей информации (жестких дисков, компакт-дисков и т. п.), во-вторых, из-за вирусов, попавших в компьютер или сеть. Еще одна причина утери данных — атаки хакеров.

Как предотвратить. Для этого необходимо:
Как защищаются крупные предприятия

Одно из государственных учреждений Казахстана имеет полностью оснащенное резервное здание с резервной инфраструктурой. Сотрудники учреждения обязаны не менее одной недели в месяц работать в этом здании. Конечно, такой способ защиты весьма затратен, но очень эффективен.
оценить важность и защищенность всей имеющейся на предприятии информации;
проводить резервное копирование файлов, содержащих особо важную информацию (см. Как защищаются крупные предприятия);
установить антивирусные пакеты, постоянно обновлять антивирусные базы;
обеспечить защиту информации от различного рода злоумышленников и хакеров при помощи специализированных аппаратных и программных средств.

Информацию, утратившую актуальность, целесообразно помещать в архив. Сохранность архивных материалов также следует периодически проверять.

Рассказывает практик
Логистическая компания Relogix — сетевой логистический оператор — образована в 2005 году фондом прямых инвестиций «Ренова-Капитал». Relogix предлагает широкий спектр услуг: ответственное хранение, транспортировку, нестандартные операции по обработке груза, таможенную очистку, а также специальные проекты.
Евгений Гриханов | Директор по информационным технологиям компании Relogix, Москва

Меры, направленные на обеспечение информационной безопасности нашей компании, пока находятся в стадии разработки. Одна из приоритетных задач IT-отдела — организация обязательных процедур резервного копирования и обновления антивирусных программ. Снижения затрат на резервное копирование можно добиться, запретив хранение бизнес-информации на локальных компьютерах. Для тех, кто пользуется ноутбуками и мобильными телефонами, важно настроить синхронизацию данных с серверами. И по сути получится, что резервное копирование данных будет осуществляться на серверах.

Технология подключения к Интернету при помощи Wi-Fi (как правило, действует в ресторанах и барах) — потенциальная угроза нашей компании. Любое такое подключение может привести к хакерской атаке с последующей потерей данных или утечкой информации. Чтобы этого избежать, необходимо разработать в компании правила использования технологии Wi-Fi.

Еще одна проблема — личные сотовые телефоны с технологией беспроводной передачи на близком расстоянии (bluetooth). Такие телефоны могут быть использованы в качестве носителей информации — в них устанавливаются карты памяти, на которые легко скопировать информацию. Поскольку сотрудники часто выходят с их помощью в Интернет, подобный вид подключения создает канал утечки информации и позволяет хакерам войти в информационную систему компании. Методы защиты аналогичны Wi-Fi.

Разглашение конфиденциальной информации
Подходы к безопасности в России и на Западе

В России предпочитают инвестировать в обеспечение безопасности, на Западе — страховать риски. Иными словами, в России склонны покупать сервер для резервного копирования, а в США — страховать работающий сервер от утраты данных. Однако оптимальное решение находится где-то посередине. Если невозможно обеспечить стопроцентную информационную безопасность, имеет смысл инвестировать средства в развитие инфраструктуры безопасности, а часть рисков — застраховать.

Бывает, что сотрудники передают третьим лицам (как правило, конкурентам) имеющуюся на предприятии важную информацию: сведения об объемах продаж, клиентскую базу и т. д. Разглашение конфиденциальной информации возможно и в пределах компании (например, размеры вознаграждений, зарплат, планов реструктуризации и т. п.)(*).

Как предотвратить. Лучше всего ограничить доступ к информации. Сотруднику будут доступны лишь данные, необходимые для работы. Например, менеджер по продажам сможет работать со сведениями только о своих клиентах. Подобная организация работы персонала в случае разглашения информации позволит быстро определить источник утечки и минимизировать потери.

Чтобы защитить наиболее важную информацию, можно применять такой метод, как шифрование данных. В этом случае посторонние, даже получив доступ к конфиденциальной информации, не смогут с ней ознакомиться.

Говорит Генеральный Директор
Страховая группа «Авеста» создана в 1997 году. В ее состав входят ЗАО «Страховая компания «Авеста», ЗАО «Петербургская медицинская страховая компания», ЗАО «Сосновоборская медицинская страховая организация», ООО «Ассистанс-Экспресс» (служба скорой медицинской помощи). Клиентами группы являются в том числе предприятия Министерства атомной энергетики и промышленности и ОАО»Корпорация «Аэрокосмическое оборудование».
Сергей Сафронов | Генеральный Директор страховой группы «Авеста», Санкт-Петербург

Вопрос защиты от утечки информации стоит в нашей компании на первом месте. Дело в том, что наша база данных содержит информацию более чем о 100 тысячах застрахованных физических лиц. Конечно, потеря этих данных не приведет к краху бизнеса, но развитие компании приостановит.

У нас установлена CRM-система, обеспечивающая безопасность работы с клиентами. В зависимости от зоны ответственности каждый сотрудник имеет свой уровень доступа к базе данных. Мы также структурировали все бизнес-процессы компании. Затем создали систему защиты информации. Она включает пароли и коды доступа, ограничения по скачиванию данных. И, конечно, у нас обязательно осуществляется резервное копирование и автоматическое обновление антивирусных программ.

Рассказывает практик
Евгений Гриханов | Директор по информационным технологиям компании Relogix, Москва

Использование внешних носителей информации (дискеты, перезаписываемые CD, флеш-карты) часто приводит к разглашению конфиденциальной информации.

В начале своего профессионального пути, работая дежурным инженером в издательском доме «Коммерсант», я не раз сталкивался с тем, что отсутствие флоппи-дисководов и пишущих CD на компьютерах заставляло журналистов обращаться в IT-службу с просьбой переслать тот или иной материал. Нельзя сказать, что данная система была идеальной и гарантировала защиту от утечки информации, но, так как любое свое действие дежурный инженер заносил в журнал, всегда можно было узнать, кто и когда скопировал информацию.
Как защищал данные финансовый директор

В ноутбуке финансового директора была зашифрованная область, которую он открывал с помощью пароля. Когда он пользовался ноутбуком в кафе или ресторане (в зоне действия Wi-Fi), он читал почту, переносил необходимые файлы в зашифрованную область, а затем отключался от сети. Даже если у финансового директора украдут ноутбук, то прочитать информацию воры вряд ли смогут. У этой схемы есть только один недостаток — пароль. Если придумывать простую комбинацию или не менять ее, то можно свести на нет подобные методы защиты. Выход из ситуации — использование вместе с паролем электронных ключей.

В то же время необходимо понимать, что тотальный запрет на копирование информации принесет только вред бизнесу. Эти меры повлекут за собой демотивацию сотрудников. Поэтому важно найти золотую середину. Существует ряд специальных программ, которые могут не только разрешать или запрещать копировать данные на внешние носители, но и полностью протоколировать действия пользователя с внешними устройствами. Также эти программные средства позволяют контролировать подключение любых внешних устройств к компьютеру.

Важно уделять внимание паролям: их нужно менять с определенной периодичностью. Очень часто пользователи записывают пароли на бумажке, которая хранится на столе, или используют простейшие комбинации. Таким образом, посторонний человек, желающий получить доступ с целью копирования информации, практически не встречает препятствий (см. пример из практики: Как защищал данные финансовый директор).

Рассказывает практик
Консультационно-внедренческая компания «Инталев» создана в 1996 году. Занимается автоматизацией в области стратегическогоуправления, бюджетирования, управленческого и процессного учета. Имеет офисы в Москве и Санкт-Петербурге, совместные предприятия в Нижнем Новгороде, Киеве (Украина) и Астане(Казахстан). Партнерская сеть насчитывает более 50 компаний по всей России и странам СНГ. Программными продуктами «Инталев» успешно пользуются такие предприятия, как Федеральная сетевая компания Единой энергетической системы, Петербургский метрополитен, Торговый дом «Перекресток», Костромская ГРЭС и др.
Дмитрий Бурлаков | Начальник отдела разработки программного обеспечения консультационно-внедренческой фирмы «Инталев», Москва

Все сотрудники нашей компании имеют доступ к информации в пределах своих обязанностей и полномочий. Для этого у нас введены уровни доступа. К примеру, все внутренние документы маркируются уровнем доступа от 0 до 5. Уровень «0» означает, что документ доступен только внутреннему кругу, в который входят руководители компании и ключевые специалисты, а уровень «5» говорит о том, что документ предназначен для публикации, то есть доступен всем.

Также мы ведем журналы активности пользователей. В любой момент из них можно узнать, кто вносил изменения в документ, какой отчет был получен пользователем и т. п. Для офисных документов, таких как регламент или договор с контрагентом, предусмотрено хранение истории изменений. То есть можно просмотреть все версии данного документа, понять, кто, когда и каким образом его редактировал. Существует также возможность запретить дальнейшие изменения документа.

Для уменьшения информационных рисков периодически проводятся чистки жестких дисков и почтовых ящиков.

Отказ информационных систем

Нарушение работы информационных систем может быть вызвано следующими причинами:
отказ оборудования или программного обеспечения;
выход из строя сетей передачи данных;
поражение информационных систем вирусными программами.

Как предотвратить. Поможет установка на предприятии дополнительного оборудования, дублирующего основное, а также внедрение резервных информационных систем, способных автоматически вступать в действие при остановке основных систем.

Рассказывает практик
Евгений Гриханов | Директор по информационным технологиям компании Relogix, Москва

Необходимо понять, какие системы должны быть доступны постоянно, для каких приемлем определенный срок восстановления (два или шесть часов, следующий день и т. д.). Исходя из этой информации нужно определить потребность в резервном оборудовании. Очень важно, чтобы процедуры периодически отрабатывались на практике с IT-персоналом. Делать это следует в нерабочие часы компании. Подобные мероприятия позволят, не тратя лишних денег, четко и быстро восстанавливать работоспособность и минимизировать время простоя.

Рассказывает практик
Дмитрий Бурлаков | Начальник отдела разработки программного обеспечения консультационно-внедренческой фирмы «Инталев», Москва

Поскольку наша компания не очень большая, то сбои в системе обычно не влекут за собой миллионных убытков.

Тем не менее мы проводим следующие мероприятия:
ежедневно копируем данные;
еженедельно делаем полную резервную копию, которая хранится вне офиса;
постоянно обновляем релиз нашей информационной системы.

Рост накладных расходов

Как предотвратить. Можно установить лимит на использование средств связи (Как бороться с сотрудниками, использующими Интернет в личных целях, читайте в рубрике «Опыт коллег», № 8 — 2006) и увеличивать его только в случае обоснования сотрудником этой потребности. Кроме того, следует проводить периодические проверки (аудит) использования средств связи.

Нередки случаи использования сотрудниками доступа в Интернет в личных целях, например, для скачивания больших объемов информации. Это может отрицательно сказаться на бюджете Вашего предприятия.

Необходимые мероприятия

Чтобы защитить информацию, которой владеет Ваша компания, поручите директору информационной службы определить круг необходимых мероприятий. Их можно разделить на разовые и периодические. Не последнюю роль при обеспечении информационной безопасности играет работа с персоналом.

Разовые мероприятия включают покупку и установку антивирусных программ, оборудования для резервного копирования, средств шифрования данных для первых лиц компании, программ для фиксации доступа к информации. Кроме того, надо выделить в IT-департаменте сотрудника или подразделение, которые будут отвечать за работоспособность систем и гарантированное устранение сбоев в сроки, позволяющие минимизировать потери для бизнеса. Для разных по важности систем сроки и приоритеты устранения неполадок различаются.

Периодические мероприятия:
Аудит информационной безопасности сторонней компанией. Такую проверку лучше делать не реже одного раза в год.
Проверка резервного копирования и способности системы восстанавливаться при сбоях. Следует отключить на предприятии основные серверы и оценить, смогут ли сотрудники эффективно работать, используя резервное оборудование и информационные системы. По результатам необходимо составить список проблем, которые должны быть устранены до следующей проверки. Мероприятие стоит проводить не реже одного раза в квартал.
Учебные мероприятия с участием сотрудников IT-подразделения, а также других работников, имеющих доступ к информации.

Рассказывает практик
Евгений Гриханов | Директор по информационным технологиям компании Relogix, Москва

Если компания крупная, вопросы безопасности желательно выносить за рамки IT-службы. Таким образом, IT-служба будет не стратегическим партнером бизнеса по безопасности, а исполнителем. В свою очередь служба, занимающаяся безопасностью на предприятии, станет стратегическим и контролирующим партнером.

В небольших компаниях разумно прибегать к услугам сторонних организаций, которые не зависят от внутренних интересов и могут профессионально построить эффективную систему информационной безопасности предприятия. Лучше всего делить ответственность между компаниями, реализующими информационную безопасность, и теми, кто проводит аудит.

Работа с персоналом. Человеческий фактор играет важную роль в системе мероприятий по защите информации. Вам необходимо не просто подобрать квалифицированный персонал, но и создать стимулы для его эффективной работы. Самый правильный путь — разработать четкие критерии премирования IT-специалистов, увязанные с эффективностью работы информационных систем и удовлетворенностью сотрудников других подразделений работой IT-персонала.

Говорит Генеральный Директор
Сергей Сафронов | Генеральный Директор страховой группы «Авеста», Санкт-Петербург

Главную роль в системе защиты информации играют не машины, а люди. При найме на работу необходимо сообщать сотрудникам о том, что данные, с которыми им придется работать, — собственность компании и их утечка повлечет за собой наказание виновника вплоть до увольнения. Если подчиненный намерен уволиться по собственному желанию, важно сделать все возможное, чтобы информация не ушла вместе с ним. И лучше всего поспособствовать его трудоустройству в компанию, являющуюся, например, Вашим бизнес-партнером.

Рассказывает практик
Дмитрий Бурлаков | Начальник отдела разработки программного обеспечения консультационно-внедренческой фирмы «Инталев», Москва

Помимо технической защиты информации мы применяем административные меры. В частности, кроме трудового договора заключаем с сотрудниками соглашение о неразглашении конфиденциальной информации. Этот документ подписывает каждый работник компании.

В заключение хочется отметить, что процесс обеспечения безопасности — не разовое мероприятие. Только при систематической работе можно быть уверенным в том, что важная информация, которой владеет предприятие, находится под надежной защитой.

Как определить, нужно ли Вам защищать информацию
Компания DataArt занимается разработкой на заказ программного обеспечения для финансовых институтов, телекоммуникационных и медиакомпаний. Специализируется в области интернет-приложений, корпоративных баз данных и инструментов промышленной автоматизации, включая системы клиент- и контент-менеджмента. Штаб-квартира компании находится в Нью-Йорке, также есть представительства в Санкт-Петербурге, Джексонвиле (Флорида, США), Чепел-Хилле (Северная Каролина, США), Лондоне. В центрах разработки в Санкт-Петербурге и Воронеже работают более 180 специалистов. Среди клиентов — банк BNP Paribas, корпорация Spirent Communications, компании Ernst & Young, «Моторола», страховая компания «Русь Ergo», интернет-компания Mail.ru.
Михаил Завилейский | Исполнительный директор DataArt, Санкт-Петербург

Защита информации — это частный случай управления рисками.
Необходимо:
Рассмотреть события, связанные с утратой или хищением информации.
Оценить потери в деньгах.
Оценить вероятность возникновения событий в течение рассматриваемого периода (обычно год или более).

Перемножив показатели пунктов 2 и 3, мы получаем цену риска «до» (то есть до проведения мероприятий по защите информации).

Мероприятия по защите информации снижают вероятность того или иного события, и мы получаем отдачу на проект.

Ее рассчитывают по формуле:

(Вдо — Впосле) х П = О,

где Вдо — вероятность «до», Впосле — вероятность «после», П — потери, О — отдача на проект.

Если стоимость проекта выше отдачи, то реализовывать его не стоит (иногда можно просто застраховаться). Сделав расчеты, выбираем первоочередные проекты — проекты с наибольшей отдачей. Приведу простой пример.

Расчетный пример

Вероятность отказа сервера электронной почты на один рабочий день составляет 1%. Эффективность работы нашей компании без электронной почты снижается на 50%. Обороты компании — 150 млн руб. в год.

Потери от отказа электронной почты составят 750 тыс. руб. в год:

150 000 000 x 50% х 1% = 750 000 руб.

При наличии в компании резервного комплекта вероятность отключения почты на день составит 0,1%. Второй комплект серверов, работающих в резервном режиме, обойдется нам в 100 тыс. руб. в год, а расходы на их обслуживание — еще в 120 тыс. руб. в год (10 тыс. руб. в мес.).

Таким образом, отдача на проект составит:

(1% — 0,1%) х 50% х 150 000 000 руб. = 675 000 руб.

Стоимость резервного комплекта (220 000 руб.) меньше, чем отдача от проекта (675 000 руб.). То есть отдача составит чуть более 300% (675 000 : 220 000 ? 100%). Вероятно, такой проект стоит реализовать.

Конечно, полагаясь на финансовые расчеты, не стоит терять здравый смысл. Так, один из менеджеров российского отделения крупной американской компании получил повышение за реализацию системы, препятствующей выносу носителей информации (дискет, CD и DVD) из офиса. То, что любая информация могла быть беспрепятственно отправлена по электронной почте или другим интернет-каналам, никого не обеспокоило.

https://www.lobanov-logist.ru/library/all_articles/54936/

дата: 00.00.0000 00:00:00 просмотров: 1222

рейтинг:

(Нет голосов)