С помощью изложенного здесь материала Вы шаг за шагом по крупицам создадите свой Успех.

Июл
08

Информационная безопасность компании



Информационная безопасность компанииИнвестиции в информационную безопасность компании — неизбежный выбор бизнеса, намеренного выжить в условиях экономической неопределенности, чтобы затем эффективно встроиться в глобально меняющуюся реальность больших данных и Интернета вещей. Для этого потребуется обеспечить надежную защиту данных в числе других активов уже сегодня. Минимизировать риски отечественных предприятий поможет и взятый курс на импортозамещение — российские разработчики средств кибербезопасности давно наготове.

Мировой рынок средств информационной безопасности вырастет в 2015 году на 5%, а российский сегмент может остаться на той же отметке, что и годом ранее, считают аналитики IDC (International Data Corporation — аналитическая фирма, специализирующаяся на исследованиях рынка информационных технологий). В конце прошлого года ослабление курса рубля уже приводило к негативным показателям, а экономическая нестабильность в целом уменьшает возможности компаний по выстраиванию и реализации стратегий инфозащиты.

Однако угрозы, с которыми приходится сталкиваться бизнесу, отнюдь не сокращаются. Согласно глобальному исследованию PwC (PricewaterhouseCoopers — международная сеть компаний, предлагающих профессиональные услуги в области консалтинга и аудита), совокупный среднегодовой темп роста числа выявленных инцидентов информационной безопасности, с 2009 года ежегодно увеличивался на 66%. При этом цифры нельзя назвать окончательными, за ними скрывается лишь общее число выявленных и подтвержденных инцидентов. Многие компании даже не подозревают о предпринятых против них кибератаках, а другие просто не сообщают о выявленных инцидентах по репутационным соображениям или из-за того, что в связи с какой-то конкретной кибератакой еще продолжается расследование.

Своими силами

Опыт кризиса 2008 года показал, что негативные изменения в экономике скорее положительно отразились на этом рынке: спрос на решения в сфере информационной безопасности не только не падал, но местами даже рос. Впрочем, сейчас рассчитывать на автоматическое повторение прежнего сценария не стоит. Рынок инфобезопасности развивается в общем экономическом контексте и, как и другие отрасли, сталкивается с урезанием бюджетов. Но именно здесь может успешно реализоваться стратегия импортозамещения. Долю локальных производителей в сегменте программных продуктов IT-безопасности аналитики IDC уже сегодня оценивают в 50%, а в сегменте оборудования — в 33%. В сложившихся условиях их конкурентоспособность, скорее всего, будет расти, а ассортимент продукции — расширяться.

Особенность момента такова: при сократившихся бюджетах в целом, определенные их статьи все равно получают достаточно (и даже больше) денег, чем прежде. В кризис задумываются не только о расходах, но и о рисках. Спектр киберпроблем, с которым сталкивается бизнес и госструктуры, постоянно расширяется, ценность информации как актива неизменно растет — и, что усложняет ситуацию, растет количество источников данных, требующих внимания и защиты.

Громкие инциденты в сфере информационной безопасности в России в 2015 году

  • Сбербанк, ВТБ 24 и ряд других банков пострадали от хакеров. Атаки на банковские счета проводили братья-близнецы из Санкт-Петербурга. Вредоносные программы распространяли через взломанные сайты, спам и целевые рассылки. С 2013 года были похищены данные с более 7 тыс. клиентских счетов. Средняя сумма хищении составляла около 70 тыс. рублей, а общий ущерб оценивается в сумму свыше 11 млн рублей.
  • Хакеры взломали бесплатную Wi-Fi-сеть московского метро и выложили на стартовую страницу порно-картинку. Выход в Интернет для пользователей был временно заблокирован. Спустя месяц этот инцидент повторился, однако организаторы атаки до сих пор не найдены.
  • Сайт радиостанции «Говорит Москва» подвергся DDoS-атаке, что привело к недоступности ресурса. Ранее проводилась комбинированная атака на сайт канала «Дождь», которая велась с территории Казахстана, Израиля, России и Латвии.

По прогнозам IDC, основные угрозы в сфере информационной безопасности в ближайшие годы будут связаны с ростом мобильных атак и развитием Интернета вещей (Internet of Things, или IoT). Для всего мирового рынка информационной безопасности остается достаточно сложной задачей создание защищенных виртуальных и облачных сред, обеспечение защищенного мобильного удаленного доступа. К 2020 году 20% объема мирового рынка будет приходиться на средства защиты устройств и оборудования IoT. В этой новой реальности всепроникающей мобильности, Big Data и Интернета вещей кибербезопасность становится одним из главных фокусов стратегии развития бизнеса.

Вехи развития

Формально рынок IT-безопасности начал формироваться в России параллельно с развитием отрасли информационных технологий — т.е. с начала 90-х гг. Тогда же стали появляться российские производители средств защиты и компании, продвигающие продукты иностранного производства. После кризиса 1998 года, на фоне массового проникновения Интернета в корпоративный и госсектор, многие предприятия озаботились сохранением своих электронных архивов, обеспечением непрерывности и безопасности бизнес-процессов. Это подтолкнуло послекризисный рынок к новому витку развития. Другим важным стимулом оставалось активное развитие вредоносного ПО.

В 90-х годах «зловреды» разрабатывались скорее для развлечения, а в нулевых киберпреступники стали получать огромную прибыль от своей деятельности. Соответственно, потребность в защите у заказчиков возросла, обеспечив серьезный прорыв в технологиях и рост рынка в целом.

В середине нулевых понятие информационной безопасности стало бизнесовым и его начали измерять рисками, которые относили к операционным. Это эпоха стандартов систем менеджмента, знакомая многим по ISO 9000, и лишь узкий круг специалистов знал аналогичный международный стандарт по информационной безопасности — ISO 27001. За прошедшие годы многое поменялось: сегодня воруют не только информацию, но и сразу электронные деньги. В зоне риска уже не только банки, но и их частные клиенты.

В эволюцию инфобезопасности вносили свой вклад и новые ИТ-технологии, и государственные нормативно-правовые акты, регулирующие вопросы защиты данных.

Основные законы в сфере информационной безопасности в России

  • Доктрина информационной безопасности — основа для формирования государственной политики в области защиты информации в России. Утверждена в 2000 году президентом В.В. Путиным и определяет как основные угрозы, так и принципы, основные направления, а также целевые программы обеспечения кибербезопасность.
  • Закон «О связи» — принят в 2003 году, фиксируя полномочия органов госвласти в области связи, а также права и обязанности провайдеров и пользователей их услуг. Спустя 10 лет в него внесены изменения, в том числе, направленные на защиту абонентов от мобильного мошенничества и регулирующие SMS-рассылки.
  • Ратификация Конвенции Совета Европы о защите физических лиц — подписана президентом в 2005 году. С этого момента Россия начинает приводить к нормам европейского законодательства свою деятельность в области защиты прав субъектов персональных данных. Это подразумевает принятие целого ряда новых законов, а также внесение изменений более чем в 20 действующих нормативно-правовых актов.
  • Закон «Об информации, информационных технологиях и о защите информации» — принят в 2006 году. Определяет понятие «информация», а также права на информационную безопасность граждан, организаций и государства. Поправки, вступающие в силу в 2015 году, дали ему название «антипиратский закон», существенно расширяя перечень объектов интеллектуальной собственности и усиливая меры защиты авторских прав.
  • Закон «О персональных данных» — знаменитый 152-ФЗ принят в 2006 году, после чего последовали множественные уточнения и конкретизация отдельных положений актами ФСТЭК России, ФСБ России, Роскомнадзора. Определяет требования к системам персональных данных и регламентирует меры по их защите от неправомерного доступа.
  • Закон «О противодействии неправомерному использованию инсайдерской информации» — принят в 2010 году. Определяет сведения, относящиеся к инсайдерской информации, лиц, относящихся к инсайдерам, а также устанавливает меры противодействия им.
  • Закон «О лицензировании деятельности по технической защите конфиденциальной информации» — принят в 2012 году для определения работ по защите от утечек по техническим каналам и ограничения доступа и возможности модификации конфиденциальной информации.
  • Закон «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуннкационных сетях» или 242ФЗ — принят в 2014 году и обязывает операторов персональных данных хранить эти данные на территории РФ, а гражданам позволяет требовать удаления своих данных в случае незаконного размещения в открытом доступе.
  • Стандарт Банка России — принят в мае 2014 года. Регламентирует порядок работы с конфиденциальной информацией внутри банка и вопросы обеспечения информационной безопасности организаций банковской системы страны.

Появившиеся за последние 10 лет угрозы обусловили появление новых технологий — для предотвращения вторжений (IPS), предотвращения утечек конфиденциальной информации (DLP), защиты от DDoS-атак, мошенничества (antifraud), выявления точечных атак, а также средств защиты виртуализации и облаков, обеспечения безопасности мобильных устройств. Одновременно эволюционировали и классические технологии: антивирусная защита, межсетевое экранирование, защита от несанкционированного доступа, криптографическая защита каналов связи и данных, анализ защищенности, мониторинг событий и др.

В PwC из основных этапов становления рынка инфобезопасности условно «нового времени» выделяют усиление роли регулирующих органов и выпуск стандартов информационной безопасности в 2008-2009 годах, включая в первую очередь ФЗ-152 РФ «О персональных данных», ставший основным драйвером отрасли. В этот же период повышается число направленных, таргетированных атак (APT), разрабатанных с учетом технических и организационных особенностей цели. Реакцией стало усложнение систем и процессов обнаружения кибернападений и реагирования на инциденты.

Осторожно, вирус!

Широкое распространение мобильных технологий пришлось примерно на 2011 год. Тогда же число вредоносных программ для мобильных угроз возросло более чем в 6 раз. Тенденция мобилизации продолжается до сих пор. Одновременно все более популярными становятся методы социальной инженерии в кибератаках благодаря распространению соцсетей.

Растет интерес злоумышленников (и рынка средств защиты) к системам критической инфраструктуры, автоматизированным системам управления технологическими процессами. Логичным ответом на бурное развитие киберпреступности стало применение методов и инструментов информационной безопасности на предприятиях. В настоящий момент они воспринимаются как одно из наиболее эффективных средств предотвращения и защиты от кибератак.

Основной угрозой, по мнению PwC, становятся целенаправленные атаки внешних и внутренних агентов (Advanced Persistent Adversary, или АРА). Защитой от них может быть комплексный подход к обеспечению безопасности и постоянное повышение квалификации персонала на корпоративном уровне. На государственном же уровне минимизация таких угроз может идти как в превентивной форме — через принятие соответствующих законов, так и через создание CERTob, или центров реагирования на инциденты. На страже государства появляются и специальные кибервойска.

…Постепенно рынок повзрослел. Сегодня разработчики и интеграторы стремятся к проактивной работе с киберпреступностью. А многие заказчики, которых раньше интересовало в сфере инфобезопасности исключительно соответствие требованиям регуляторов, хотят, чтобы системы защиты обеспечивали реальную безопасность, считают в «Астерос». Особенно это актуально для правительственных структур и крупного бизнеса, расходы которых, вероятно, продолжат поддерживать отрасль и в сложный экономический период.

Методы обеспечения информационной безопасности на предприятии

В период тотальной глобализации владельцам компаний все сложнее отказываться от коммерческих облачных сервисов. Кажущаяся дешевизна может сыграть злую шутку с бизнесом: удобство отнюдь не всегда становится синонимом безопасности. Прослушка, утечка информации, публикации переговоров… Дальше мы поговорим о том, какими техническими решениями оградить себя от возможного слива бесценных для бизнеса данных и подберем методы и инструменты информационной безопасности, которые снизят риски и вместе с тем повысят уровень деловых коммуникаций без огромных затрат.

ЭЛЕКТРОННАЯ ПОЧТА

Защита корпоративной почтыДо 40% рабочего времени мы ежедневно проводим за чтением и написанием e-mail. Да, это удобно, да, это экономит время. Иногда — рациональнее, чем позвонить или лично встретиться. Но какие риски несет электронная почта? Например, быть просмотренной не тем человеком, которому мы адресовали сообщение. Что поможет нам не стать подобием Керенского и Каутского, переписку которых читал даже Шариков?

Стоит задуматься над использованием средств шифрования и электронно-цифровой подписи (ЭЦП). Первое поможет избежать ненужного интереса, второе подтвердит, что письмо доставлено именно адресату. Практически все представленные на рынке почтовые клиенты, в том числе мобильные, имеют встроенную возможность обмена зашифрованными сообщениями с применением открытого и закрытого ключа, генерируемых системами криптографической защиты.

Эффективное решение для криптографической защиты:

  • должно быть обширно представлено на рынке и существовать не первый год;
  • делает упор не на сложность алгоритма генерации криптографических ключей, а на невозможность подбора ключей;
  • является мультиплатформенным программным обеспечением;
  • имеет открытые исходные коды, чтобы ИТ-сообщество проводило оперативное исправление багов и проверяло отсутствие «закладок» и жучков.

Кроме встроенных средств стоит обратить внимание на программы — гранды криптозащиты, такие как PGP (Pretty Good Privacy) и S/MIME (Secure / Multipurpose Internet Mail Extensions). В случае использования PGP потребуется выбрать дополнительный софт, который подключается к e-mail-клиенту и обеспечивает конфиденциальность вашей переписки и вложений с помощью криптостойких алгоритмов шифрации. Примерами подобных программных продуктов могут служить GnuPG или FileCrypt. Они достаточно давно представлены на рынке, у них есть клиенты не только для PC и MAC, но и для смартфонов на базе ОС Android и iOS. ПО проходило сертификацию в ряде авторитетных институтов и компаний, имеет открытый код и может в любой момент подвергнуться проверке.

Случаев взлома или компрометации алгоритмов указанных продуктов на данный момент не было (уточним: исключая случаи утечки ключей и сертификатов). Упомянутая технологии S/MIME, по сути, стала развитием технологии компании Microsoft. В данном случае стоит учесть, что выбирать потребуется не программу криптозащиты, а e-mail-клиент для установки на компьютеры — ваш и контрагентов, с которыми вы будете вести защищенную переписку. Также указанная технология позволяет осуществлять контроль респондентов переписки и имеет встроенные средства ЭЦП, что дает возможность удостовериться: письмо было отправлено именно Онегиным и получено Татьяной…

Для подбора пароля PGPк зашифрованному сообщению стойким128-битным шифрованием при 5-значном пароле злоумышленнику потребуется совершить 1400000000000000000000000000000 попыток. Если на каждую попытку потратить 1 секунду, то на расшифровку уйдет 44393708777270421106037,5 года.

Описанные инструменты могут применяться не только для корпоративных почтовых ящиков, но и при использовании сервисов Gmail, Yahoo и т. д. В данном случае рекомендуется рассмотреть дополнения к браузерам или отдельные почтовые клиенты — PGP Mail, GPG4Browsers, PGP Anywhere и т. д. Интеграция этих продуктов усложнит работу с перепиской в обычном браузере, но гарантирует конфиденциальность даже при использовании сервисов e-mail от Apple и Google.

ТЕЛЕФОНИЯ

Корпоративная мобильная безопасностьВ бизнес-среде уже достаточно давно принято использовать корпоративные тарифные планы сотовых операторов. Уже никого не удивишь звонками коллегам на короткие номера FMC (англ. Fixed Mobile Convergence).

Мы также активно пользуемся услугами заказа обратного звонка, или Call Back, переадресацией вызова, звонками на SIP-телефоны и т. д. Необходимо помнить, что в законе «О связи» четко обозначены требования к операторам связи на предмет использования СОРМ (то есть технических инструментов для обеспечения функций оперативно-разыскных мероприятий), средств аудиорегистрации, противодействия экстремизму и прочим видам противоправных действий. Закон есть закон, но ничто не противоречит его букве, когда мы вполне легальными способами защищаем собственные телефонные переговоры от посягательств.

Современные АТС наряду с аппаратными телефонами позволяют использовать так называемые софтфоны, которые предлагают сервис, иногда превышающий функциональность «железного». Тренд последнего времени — совместное использование технологий: звонок может одновременно поступать и на стационарное рабочее место, и на программный софтфон. Главное условие корректной параллельной работы — ваша АТС должна поддерживать подключение дополнительных программных абонентов по протоколу SIP. Example-стоимость масштабируемого решения на базе программной телефонии Asterisk ограничена лишь ценой серверов и дополнительных сервисных плагинов (голосовое меню, конференц-связь, голосовая почта и т. д.). При количестве абонентов не более 20-30 человек счет может идти на сотни долларов. Указанные программные телефоны прекрасно себя показывают при работе в сетях 3G и 4G, но для соблюдения конфиденциальности рекомендуется использовать VPN для подключения к вашей АТС вне стен компании.

Преимущества использования софтфона:

  • возможность установки программы на ноутбук, смартфон (на базе Windows, Android, iOS), и на аудиоплеер (на Android и iOS);
  • возможность работы одного клиента сразу с несколькими линиями или номерами, в том числе с АТС разных стран, что кардинально снизит затраты для командировочных;
  • низкие требования к пропускной способности Интернета;
  • низкая себестоимость одной минуты звонка;
  • использование для переговоров защищенных VPN (многие софтфоны имеют встроенную поддержку VPN);
  • подключение дополнительных сервисов: личная и корпоративная адресная книжка, автосекретарь, запись разговора, переадресация на мобильные номера, обмен текстовыми сообщениями и даже видеоконференцсвязь.

Стоит порекомендовать следующие программные софтфоны: Bria, ЗСХ Phone, Zoiper и Ekiga (кстати, все программные софтфоны мультиплатформенны и поддерживают различные кодеки сжатия звука).

Ежедневно средствами софтверной неаппаратной телефонии в мире пользуется лишь 1/1000 населения земли, классической IP-телефонией – 1/5 населения земли, классической аналоговой телефонией – 1/500.

Если в компании в качестве стандарта выбрано ПО от Microsoft и большая часть сотрудников использует телефоны на базе Windows Phone, то лучше использовать платформу Microsot Lync, которая отлично интегрируется со всеми корпоративными сервисами, в том числе Microsoft ActiveDirectory, Exchange, Sharepoint, и значительно расширяет возможности телефонии, предоставляя пользователям кроме ранее упомянутых преимуществ возможность обмениваться файлами и вести совместную работу над документами.

СИСТЕМЫ МГНОВЕННОГО ОБМЕНА СООБЩЕНИЯМИ

Безопасность интернет-мессенджеровЕще 15-20 лет назад многие из нас гордо демонстрировали окружающим пейджер — продукт капиталистических технологий, когда тебе на брелок прилетали сообщения от коллег, друзей и семьи. С развитием GSM-технологий в 90-е мы перешли на СМС, а на компьютерах у каждого стояла ICQ. В начале 2000-х настоящий фурор произвел Skype. В последнее же время на рынке появляются все новые и новые игроки, и уже никого не удивишь странными названиями — Viber, WhatsApp или Threema.

Жизнь распорядилась так, что кроме полнотекстовых сообщений стали популярны средства обмена мгновенными сообщениями, никто уже не пишет в корпоративную почту это «пообедаем?», «где отчетность?», «что с выручкой?»… Все привыкли накоротке писать односложные, понятные только нам сообщения и тут же получать ответ, такой же емкий и краткий: «ЭльГаучито на Арбате, в 12» или «+3 за 2 квартал без НДС».

Но насколько эти краткие сообщения понятны только нам? А если предположить, что кто-то консолидирует и анализирует все наши «да», «нет», «возможно»? Есть ли уверенность в том, что спустя два-три года поставщик решения по обмену сообщениями не рассекретит всю конфиденциальную переписку или не предоставит ее за вознаграждение конкуренту, или не будет продан вашему давнему недругу из списка Forbes?

Не раз в Сеть утекала личная переписка политиков, звезд и спортсменов, причем ранее уничтоженная собеседниками, но сохраненная владельцем сервиса, допустившим в итоге утечку информации. Где гарантия, что следующим пострадавшим не станете вы?

Чтобы обеспечить информационную безопасность бизнеса и предотвратить возможные утечки, следует остерегаться всякого рода «халявных» сервисов обмена сообщениями. Все мы знаем: бесплатный сыр бывает только в мышеловке. В таких условиях спасение утопающих — дело рук самих утопающих, необходимо по возможности пользоваться собственными сервисами обмена сообщениями. Примером могут послужить IM-возможности упомянутых в предыдущей главе программных софтфонов — Bria, ЗСХ Phone, Zoiper, Ekiga и Lync. На их базе удастся построить не только корпоративную сеть, но и закрытое сообщество для круга друзей и партнеров.

Когда вы используете коммерческие сервисы мгновенного обмена сообщениями:

  • вы уверены в качестве сервиса;
  • вы управляете хранением истории сообщений;
  • вы ограничиваете круг собеседников;
  • вы лишаете себя необходимости читать спам;
  • вы можете шифровать как сами передаваемые сообщения, так и базу истории.

Следует серьезно отнестись к таким, казалось бы, незначительным сервисам. Именно через них передается масса критичной для вашего бизнеса информации, и следует всеми возможными средствами защитить данный канал от возможных посягательств.

ВИДЕОКОНФЕРЕНЦСВЯЗЬ

Безопасная видеоконференцсвязьМногие из нас, планируя совещание, не могут отказать себе в возможности встретиться с коллегами и подчиненными очно. Мы хотим не только слышать голос провинившегося или особо отличившегося, но и видеть глаза сотрудников, отмечать их мимику и реакцию.

А если ваш филиал или дополнительный офис находится на другом конце страны? Вы летите на самолете и терпите неудобства ради одного-двух часов личной встречи? Сколько вам приходится ожидать в приемной какого-либо госчиновника лишь для того, чтобы обмолвиться несколькими словами или фразами? И сколько раз вам приходилось проводить ресторанные переговоры — ни поесть, ни поговорить… И только по той причине, что вам нужно через час быть в аэропорту, а контрагенту — на другом конце Москвы?

Ответы на заданные вопросы, иначе говоря выходы из ситуации, есть. Нужна видеоконференцсвязь, причем с максимально возможным качеством и количеством сервисов. Данная технология развивается достаточно давно и по всему миру активно используется. Но по какой-то причине особенной популярности в России она не завоевала — сейчас существуют лишь разрозненные корпоративные сети на базе 1-3 видеотерминалов.

В качестве общемировых стандартов достаточно давно на первые роли вышли решения трех крупнейших игроков — Cisco, LifeSize и Polycom. У каждого из представленных поставщиков услуг обширная линейка мультимедиа-решений как для малого бизнеса, так и для очень требовательных клиентов, которым необходимо развертывание целых видеостен, обеспечение многоканального звука и т. д. При выборе решения следует четко определить, для каких целей вам нужна видеоконференцсвязь. Это поможет избежать излишних затрат без потери масштабируемости решения.

А что если объединить возможности телефонии и видеоконференцсвязи? А если позволить включать в конференцию не только статические камеры и видео-терминалы, установленные в переговорных, но и мобильные коллег? У каждого найдется современный телефон с камерой на базе Windows Phone, Android или iOS.

Сегодня глобальный объем годовых инвестиций в рынок видеоконференцсвязи составляет $9,4 трлн. В 2010 году эта цифра равнялась 1,1 трлн, а в 2005-м — $0,4 трлн. В год проводится до 1000 хирургических операций при помощи телемедицинского оборудования и видеоконференцсвязи. И лишь 30% ныне используемых устройств и программ софтфонов поддерживают передачу картинки высокой четкости 1080p, а 60% гаджетов – 720p.

Наверное, у вас уже есть АТС, к которой вы подключили всех софтфонами? Так почему же не объединить эти два сервиса и не дать возможность включать в состав конференции сотрудников или коллег «на мобильном», а также предоставить доступ к серверу конференций партнерам. И вы сможете проводить совещания «с эффектом присутствия» в любое время из любой точки мира, исключив опоздания из-за автомобильных пробок и иных причин.

Развертывание сервиса видеоконференцсвязи и его интеграции с IP-телефонией позволяют:

  • организовать дистанционные переговоры с высоким качеством видеосвязи вне зависимости от удаленности;
  • ограничить количество «ушей», т. к. переговоры проводятся на вашей же территории;
  • провести презентации с демонстрацией видеоряда не только с камер, но и с компьютеров, планшетов и телефонов;
  • включить интерактивные столы и сенсорные доски для онлайн-работы и ведения протокола переговоров, а также включить в конференцсвязь абонентов с софтфонами, с трансляцией видео или ограничиться голосовой передачей данных;
  • снизить издержки за счет отказа от перелетов, поездок и внешних встреч;
  • записать видео текущей конференции;
  • включить трансляции наиболее значимых событий и выступлений для партнеров, удаленных офисов и филиалов.

ТЕРМИНАЛЬНЫЙ ДОСТУП

Терминальный доступ для малых и средних предприятийВ вопросах бизнес-коммуникаций требование «чистого рабочего стола» существенно повышает безопасность, организацию работы сотрудников и легко контролируется. Как же обеспечить соблюдение этого правила и заставить сотрудников и коллег не хранить критичные данные на рабочем столе компьютера или планшета? Как избавиться от риска утечки бизнес-информации при краже ноутбука в аэропорту?

Правило «все свое ношу с собой» в данном случае нам не подходит. Решение — в использовании в рамках бизнеса тонких клиентов вместо полноценных компьютеров и ноутбуков. Для чего бухгалтеру нужен доступ к 1C после окончания рабочего дня? Зачем руководителю коммерческой службы данные плана продаж после того, как он уйдет домой?

Вся бизнес-информация должна располагаться в защищенном сегменте корпоративной сети на терминальных серверах, а не рабочих столах компьютеров. Вы также обязаны приложить максимум усилий для того, чтобы коммуникации с внешним миром были ограничены. Это касается всех USB- и прочих портов, периферийных устройств (сканеров, принтеров и т. д.). Помимо прочего, такая политика позволит снизить нагрузку на обеспечение сотрудников рабочими местами. Эти зоны должны быть унифицированы и достаточно просты, потому как вся работа осуществляется отнюдь не за столами менеджеров, а на удаленных серверах.

После окончания трудового дня должен быть реализован механизм принудительной очистки рабочих мест, чтобы у сотрудников не было возможности работать локально.

При формировании решений на базе клиент-серверной архитектуры стоит особое внимание уделить конфигурации терминального сервера и каналам связи, т. к. от их качества будет зависеть скорость удаленно работающих сотрудников. Учтите: все перечисленные технологии проверены временем и миллионами пользователей, что дает уверенность в их защищенности и перспективности. Необходимо устоять перед соблазном идти в общем строю, пользуясь «бесплатным сыром», и защищать свои контакты и коммуникации легальными и вполне простыми инструментами.

Терминальный сервер позволяет:

  • снизить издержки на обеспечение рабочих мест за счет унификации и использования недорогостоящего оборудования;
  • нейтрализовать риски внутреннего инсайда, конкурентной разведки и вмешательства в бизнес-процессы третьих сил;
  • уменьшить объем внеурочной работы за пределами офиса;
  • повысить сохранность информации и защитить данные от непреднамеренной потери — ввиду кражи, выхода оборудования из строя, катаклизма, изъятия оборудования силовыми ведомствами и т. д.;
  • снизить риски перехвата критичных данных, т. к. на рабочие столы сотрудников транслируется лишь изображение с удаленного сервера, а не сами данные.

Основные утечки информации происходят через электронную почту (30% случаев). На втором месте телефония и незащищенная конференцсвязь (пятая часть всех инцидентов). В 17% случаев данные сливаются через мессенджеры. И только в 6% — по старинке, когда сотрудник распечатывает ту или иную информацию.

Ошибки президентов

Информационная безопасность бизнеса«Вопросами безопасности должны рулить профессионалы, и ничто не зависит от владельца компании». Таково величайшее из заблуждений представителей российского бизнеса. На самом деле именно от первичных решений большого босса и зависит информационная безопасность компании. И никто кроме инвестора и акционера, не заинтересован в долгосрочной защите своего актива, и никакие краткосрочная стратегия и сегодняшний коммерческий успех не позволят сохранить имя компании незапятнанным, а потоки информации – кристально чистыми.

Давайте детально разберем типичные действия инвесторов, которые хотят обезопасить свои активы, но не ставят вопросы информационной безопасности в начало списка ежедневных дел.

Итак, владелец компании заблуждается, если…

… Нанимает в службу информационной безопасности одного высокооплачиваемого сотрудника в надежде, что этим траты ограничатся.

Инвестиции в персонал — немаловажная статья затрат в сфере инфобезопасности. Но стоит учесть, что людские ресурсы — лишь часть инструментария. Плох молоток без гвоздя или дрель без сверла…

Зачастую вопросы кибербезопасности затрагивают структуру всей компании. Стоит учесть, что эксперты в этой области узкоспециализированы. Поэтому при выборе сотрудников вы должны понимать «зону покрытия знаниями» именно вашего бизнеса и представлять реальные возможности кандидатов на роль специалистов в данной области. Как известно, нет ничего хуже забивания гвоздей микроскопом… Специалист по защите сетевого периметра окажется малоэффективен в вопросах видеонаблюдения и шумоподавления. Всегда идентифицируйте три составляющие: направление деятельности, риск и человеческий фактор.

Если вы планируете защитить компанию от утечек и бороться с внутренними и внешними рисками негативного воздействия на корпоративные системы и инфраструктуру, не избежать затрат на модернизацию сетевого, серверного и офисного оборудования, а также на внедрение систем мониторинга, анализа, средств пассивной и активной защиты информации.

… Привлекает внешних консультантов в надежде, что «уж они-то…»

Миф о том, что кто-то кроме вас знает узкие места вашего бизнеса, перекликается с мифом об обязательности привлечения консалтинга на внедрение ERP-систем, причем без участия и внутреннего менеджмента компании. Даже высококлассный консультант не является штатным сотрудником компании, он не знаком с правилами внутреннего распорядка, положением на рынке, внутренними рисками и, помимо прочего, с историей и традициями компании.

Привлекая консалтеров, вы должны рассчитывать прежде всего на помощь в проведении аудита и выборе конечных технических и организационных мер. А идентификация рисков, достоверное предоставление информации и даже последующая регламентация деятельности — это вопросы внутренней службы информационной безопасности организации и менеджмента компании.

Успех проекта с привлечением консалтинга больше зависит от самой компании, чем от подрядчика. А цели и задачи проекта должны быть ясны всем вовлеченным в процесс сотрудникам.

… Передает управление инфобезопасностью в руки службы безопасности, ИТ или генерального директора.

Стоит учесть, что CEO, CIO и руководитель службы безопасности — такие же наемные сотрудники, как курьер или уборщица. Сотрудник может, не оценив долгосрочных перспектив и рисков, сам стать источником опасности и утечек.

Информационная безопасность организацииПодчинение подразделения информационной безопасности генеральному или исполнительному директору нерационально: руководитель компании будет довлеть над службой инфобезопасности и требовать смягчения тех или иных требований, отмены ограничения и т. д. Служба информационной безопасности ежедневно сталкивается с рисками, которые неведомы генеральному директору. Сфера деятельности настолько специфична, что с точки зрения высшего менеджмента риск и риском-то не является… Включение информационной безопасности в структуру ИТ-подразделения также нерационально. На такой шаг можно пойти на начальной стадии развития компании, но не в период, когда бизнес растет и процветает. Необходимо понять и принять тот факт, что информационная безопасность определяет правила игры, а ИТ их выполняет. Фактически это два смежных подразделения, которые зависят друг от друга, но цели и задачи, а значит и средства у них разные.

Также ошибкой окажется включение вопросов информационной безопасности в структуру службы безопасности. Физическая и юридическая защита периметра компании важна, но она кардинально отличается от информационной. Вы никогда не отправите диверсантом в стан врага штурмана боевого вертолета: он славный боец, но мало смыслит в подрывной и разведывательной деятельности. Также вы не сделаете и обратного. Толку от рыцаря плаща и кинжала в управлении навигацией боевого вертолетного расчета будет мало…

Аксиомой должно стать правило: подразделение информационной безопасности подчиняется акционеру, финансируется из отдельного бюджета и никак не зависит от структуры выручки компании. Вместе с тем, это подразделение должно тесно взаимодействовать с гендиректором, ИТ, со службой безопасности и с остальными подразделениями бизнеса.

… Требует предоставить карт-бланш коммерческим подразделениям в доступе к информации и средствам коммуникаций.

Практика показывает: ежедневная деятельность департамента по продажам может наносить интересам компании урон, сопоставимый с выгодами. Требования коммерческого директора максимально рассекретить для клиентов технологии, перспективные направления исследований и внутренние достижения могут ощутимо пошатнуть бизнес в будущем. Технологии и наработки — а вдруг? — украдут, персонал — переманят, а успешный опыт повторят с другим подрядчиком. Также зачастую сейлз-менеджеры не утруждают себя вопросами защиты коммерческой тайны и данных о других клиентах, практикуют использование личных почты и телефонов для коммуникаций с заказчиками и поставщиками. Это может нести компании огромные риски, в том числе репутационные. Подходя к вопросам тактического управления в вопросах информационной безопасности, инвестор должен принимать сбалансированное решение, нивелируя риски, но не забывая смотреть в будущее.

Иногда проще проиграть тендер или упустить заказчика, чем потом потерять бизнес или попасть в черные списки поставщиков.

… Наказывает невиновных и поощряет непричастных.

Если при всех усилиях и мерах противодействия нештатная ситуация все-таки наступила, к ее разрешению следует подойти с максимальной решимостью. Эмоции в сторону! Махать кулаками и раздавать тумаки стоит потом, после того как вы, во-первых, нейтрализуете нештатную ситуацию, во-вторых, защититесь от подобных рисков. Наиболее действенно — привлечь к нейтрализации рисков того, по чьей вине риск был допущен (конечно, исключая случаи намеренного злого умысла). Возьмите за правило: даже если ситуация разрешилась благополучно, не стоит никого награждать! Это демотиватор, который воспитает в причастных естественный рефлекс — имитировать нештатные ситуации. С другой стороны, наказание должно быть сопоставимым с ущербом. Если он достаточно велик и риск еще не нейтрализован, понимая, что к виновным будет применено увольнение или штраф, постарайтесь об этом уведомить и вторую сторону. Все должны понимать последствия и не питать ненужные надежды. И помните: самое пагубное воздействие на компанию и ее внутреннюю жизнь в вопросах информационной безопасности оказывает «сталкивание лбами» подразделений.

Информационная безопасность компанииНедопустимая роскошь — позволить распри между различными службами. Внутренние противоречия и противодействия ослабят компанию изнутри. А совместная работа вынуждает искать компромиссы.

… Организует доступ во внутренние сервисы для клиентов и партнеров.

Успехи вашей компании — это ваши успехи, но ими нельзя разбрасываться, как своими собственными. Ваша жена — прекрасная женщина, но вы же не делитесь ею с друзьями и коллегами. В лучшем случае, вы познакомите друзей с ее подругой.

Предоставление доступа к внутренним сервисам — огромный риск. Источником «киберслива» может служить «дружественный» контрагент, который вам не подконтролен. Бизнес есть бизнес, ничего личного!

Старайтесь предлагать друзьям и коллегам, если это требуется, предоставить аналогичный сервис или услугу, который не будет интегрирован с внутренней жизнью вашей компании. Это позволит исключить взаимные упреки и претензии и даст возможность развиваться и вашим активам, и вашим дружеским отношениям не один год.

… Не выполняет внутренние правила безопасности сам и не требует от подчиненных.

Как известно, рыба гниет с головы. Нельзя служить двум правдам одновременно. Любое правило, принятое в области информационной безопасности, должно быть едино и для рядового клерка, и для руководителя, и для владельца бизнеса. Если в компании введен запрет на использование BYOD, то есть личных устройств сотрудника, или неавторизованного подключения к Wi-Fi, то это запрещено всем.

Человеческая природа такова, что избирательное право работает достаточно непродолжительное время, далее наступает время анархии, а затем полного бесправия. Часты случаи, когда источником внутренних проблем компании становятся сами руководители и владельцы. Они допускают утечки конфиденциальной информации с личных средств коммуникации, отправляют приглашения на личные почтовые адреса партнеров, не пользуются антивирусами и иными средствами индивидуальной защиты.

Ограничивайте себя ровно настолько, насколько вы ограничиваете своих сотрудников.


Понравилась статья? Рекомендуйте ее друзьям:



Читайте статьи данной категории:


  1. Катерина сказал,

    «Возможность украсть создает вора», — мудро отметил знаменитый философ Фрэнсис Бэкон. Сейчас эта ситуация развилась почти до абсурда: чем совершеннее становится техника, тем больше людей хотят получить сокрытые в цифровых лабиринтах данные. Отчасти поэтому год от года растет и число владельцев и руководителей крупного бизнеса, политиков и общественных деятелей, которые сознательно отказываются от использования новых гаджетов. Они отдают предпочтение простейшим моделям телефонов и бумажным носителям информации. Так им удается не только обезопасить себя от утечек информации, но и сэкономить время, и оградить себя от бесконечного потока ненужных новостей.

Добавить комментарий

    Яндекс.Метрика