Практическая польза для Бизнеса +7 (499) 682-72-02

- Главная - Новости- Александр Перов рассказывает об информационной безопасности бизнеса.

Александр Перов рассказывает об информационной безопасности бизнеса.

Экономика любой компании основана не на естественных ресурсах, а на умах и на применении научного знания. В настоящее время идет борьба за контроль над наиболее ценными из всех, известных до настоящего времени ресурсов -  информационные ресурсы.

  • Какие главные опасности в этой сфере есть для коммерческих компаний? Насколько сильны риски от человеческого фактора?
  • Как компании развивать свою ИТ-безопасность?
  • Как повышать уровень технической грамотности своих сотрудников, чтобы секретная информация не оказывалась в личных ящиках и в заметках смартфонов? Кто должен участвовать в этом процессе?
  • Какие вложения нужны крупному бизнесу, чтобы обеспечить свою информационную безопасность?
Александр Перов, начальник отдела информационной безопасности ООО «СИАМ консалтинг», предлагает разобраться, как  правильно обеспечивать информационную безопасность. 


Информационная безопасности базируется на организационных мерах и технических средствах, что способствует обеспечению конфиденциальность, целостность и доступность информации в ИТ-инфраструктуре Компании.

Повышение грамотности и компетенции сотрудников в основном осуществляют по средствам проведения инструктажей, обучающих семинаров, инструкций и других обучающих материалов.
Так же в Компаниях, где установлен режим «Коммерческой тайны», сотрудники ознакамливаются под роспись с утвержденными документами, определяющими данный режим. В документах установлена ответственность за компрометацию «КТ» в соответствии с действующим законодательством.
Контроль за сотрудниками по пресечению передачи «КТ» и иной конфиденциальной информации по каналам передачи данных (Интернет, телефон, печать) осуществляется с помощью программных и аппаратных средств. Решения типа SIEM (Security information and event management) и DLP (Data Loss Prevention) систем препятствуют и предотвращают утечек конфиденциальной информации и передачу её за пределы периметра корпоративной сети Компании.

Одним из важных моментов в управлении ИБ, являются организация ролей в ИС (информационных системах), а также определения ответственного распорядителя информационного актива (ИС) Компании. В этом случае каждый распорядитель принимает активное участие в обеспечении доступа и работоспособности своего информационного актива (ИС), непосредственно участвует в процессе согласования доступа и стремиться обеспечить высокий уровень ИБ консультируя сотрудников других отделов по соблюдению требований ИБ к его ИС.

Высокий уровень опасности несет в себе так называемое «инсайдерство», а также человеческий фактор и некомпетентности сотрудников – участников обработки конфиденциальной информации в ИС Компании. Как правило в коммерческих организациях происходит утечка «КТ», то есть та информация которая дает Компании конкурентное преимущество на рынке. Достаточно часто компрометируются, например, условия договоров (стоимость, условия, участники и прочее), персональные данные сотрудников и клиентов, инновации и мн. др.

Крупному бизнесу помимо обеспечения безопасности свой «КТ», также необходимо жестко соблюдать действующее законодательство, например, соответствовать требованиям по обеспечению безопасности персональных данных (ПДн), своих сотрудников, контрагентов и клиентов. Для исключения вопросов у регуляторов и прочее.
Основой качественного менеджмента работы и развития всего комплекса ИБ, есть квалифицированные специалисты. И соответственно периодическое их обучение.
Материальные вложения в информационную безопасность во многом зависят от деятельности Компании от сложности её ИТ-инфраструктуры, территориальной распределённости и от того, что она производит (товар, услугу, идею …).

Базовый минимум любой крупной Компании, это организационные и программные \технические меры. Например, подписание согласие о конфиденциальности с принимаемым на работу сотрудником, поведение инструктажа ИБ и периодические обучения ИБ по мере изменений в ИТ-инфраструктуре. Актуализация документов в области ИБ Компании и ознакомления сотрудников. В случае с организации работы сотрудников на автоматизированном рабочем месте (АРМ), необходимо учесть базовый минимум основных средств защиты ИБ. Например, установка обновляемого антивирусного ПО, которое как правило включает в себя помимо самого антивируса firewall и контроль устройств и портов. Что позволяет комплексно контролировать работу АРМ сотрудника. Как правило в крупных Компаниях с организованным режимом «КТ» применяю системы предотвращающую утечку конфиденциальной информации. Данным системам требуется также периодическое обновление, пролонгация лицензии для получения новой версии продукта и поддержки разработчика. В общем это и есть минимум необходимы для обеспечения информационной безопасности Компании и контроля за соблюдения установленных требований к обработке данных. Стоимость в данном случае, будет определяться количеством лицензий на сервера и АРМ, а также периодической пролонгацией для получения новых версий продукта, обновлений баз и технической поддержкой.

Естественно, все это должно работать с грамотно спланированной и реализованной ИТ-инфраструктурой, как со стороны сетевого оборудования, так и серверной части. А также реализации доступа к информационным ресурсам (ИР) как внутри периметра, так и извне.


Наверх