- Главная - Новости- Александр Перов рассказывает об информационной безопасности бизнеса.
Александр Перов рассказывает об информационной безопасности бизнеса.
Экономика любой компании основана не на естественных ресурсах, а на умах и на применении научного знания. В настоящее время идет борьба за контроль над наиболее ценными из всех, известных до настоящего времени ресурсов - информационные ресурсы.
- Какие главные опасности в этой сфере есть для коммерческих компаний? Насколько сильны риски от человеческого фактора?
- Как компании развивать свою ИТ-безопасность?
- Как повышать уровень технической грамотности своих сотрудников, чтобы секретная информация не оказывалась в личных ящиках и в заметках смартфонов? Кто должен участвовать в этом процессе?
- Какие вложения нужны крупному бизнесу, чтобы обеспечить свою информационную безопасность?
Информационная безопасности базируется на организационных мерах и технических средствах, что способствует обеспечению конфиденциальность, целостность и доступность информации в ИТ-инфраструктуре Компании.
Повышение грамотности и компетенции сотрудников в основном осуществляют по средствам проведения инструктажей, обучающих семинаров, инструкций и других обучающих материалов.
Так же в Компаниях, где установлен режим «Коммерческой тайны», сотрудники ознакамливаются под роспись с утвержденными документами, определяющими данный режим. В документах установлена ответственность за компрометацию «КТ» в соответствии с действующим законодательством.
Контроль за сотрудниками по пресечению передачи «КТ» и иной конфиденциальной информации по каналам передачи данных (Интернет, телефон, печать) осуществляется с помощью программных и аппаратных средств. Решения типа SIEM (Security information and event management) и DLP (Data Loss Prevention) систем препятствуют и предотвращают утечек конфиденциальной информации и передачу её за пределы периметра корпоративной сети Компании.
Одним из важных моментов в управлении ИБ, являются организация ролей в ИС (информационных системах), а также определения ответственного распорядителя информационного актива (ИС) Компании. В этом случае каждый распорядитель принимает активное участие в обеспечении доступа и работоспособности своего информационного актива (ИС), непосредственно участвует в процессе согласования доступа и стремиться обеспечить высокий уровень ИБ консультируя сотрудников других отделов по соблюдению требований ИБ к его ИС.
Высокий уровень опасности несет в себе так называемое «инсайдерство», а также человеческий фактор и некомпетентности сотрудников – участников обработки конфиденциальной информации в ИС Компании. Как правило в коммерческих организациях происходит утечка «КТ», то есть та информация которая дает Компании конкурентное преимущество на рынке. Достаточно часто компрометируются, например, условия договоров (стоимость, условия, участники и прочее), персональные данные сотрудников и клиентов, инновации и мн. др.
Крупному бизнесу помимо обеспечения безопасности свой «КТ», также необходимо жестко соблюдать действующее законодательство, например, соответствовать требованиям по обеспечению безопасности персональных данных (ПДн), своих сотрудников, контрагентов и клиентов. Для исключения вопросов у регуляторов и прочее.
Основой качественного менеджмента работы и развития всего комплекса ИБ, есть квалифицированные специалисты. И соответственно периодическое их обучение.
Материальные вложения в информационную безопасность во многом зависят от деятельности Компании от сложности её ИТ-инфраструктуры, территориальной распределённости и от того, что она производит (товар, услугу, идею …).
Базовый минимум любой крупной Компании, это организационные и программные \технические меры. Например, подписание согласие о конфиденциальности с принимаемым на работу сотрудником, поведение инструктажа ИБ и периодические обучения ИБ по мере изменений в ИТ-инфраструктуре. Актуализация документов в области ИБ Компании и ознакомления сотрудников. В случае с организации работы сотрудников на автоматизированном рабочем месте (АРМ), необходимо учесть базовый минимум основных средств защиты ИБ. Например, установка обновляемого антивирусного ПО, которое как правило включает в себя помимо самого антивируса firewall и контроль устройств и портов. Что позволяет комплексно контролировать работу АРМ сотрудника. Как правило в крупных Компаниях с организованным режимом «КТ» применяю системы предотвращающую утечку конфиденциальной информации. Данным системам требуется также периодическое обновление, пролонгация лицензии для получения новой версии продукта и поддержки разработчика. В общем это и есть минимум необходимы для обеспечения информационной безопасности Компании и контроля за соблюдения установленных требований к обработке данных. Стоимость в данном случае, будет определяться количеством лицензий на сервера и АРМ, а также периодической пролонгацией для получения новых версий продукта, обновлений баз и технической поддержкой.
Естественно, все это должно работать с грамотно спланированной и реализованной ИТ-инфраструктурой, как со стороны сетевого оборудования, так и серверной части. А также реализации доступа к информационным ресурсам (ИР) как внутри периметра, так и извне.
Статья опубликована в журнале "Кредитная кооперация: сегодня, завтра, всегда!", выпуск №49. (стр.37)
