Угрозы внутренние и внешние
Нежелательные утечки в информационной безопасности существуют в организации. По мнению аналитиков рынка информационной безопасности, основным источником разного рода нежелательных утечек информации являются инсайдеры – работники организации, имеющие доступ к сведениям, составляющим коммерческую тайну и допускающие их разглашение. Самое интересное в данной ситуации то, что работники, допустившие утечку информации, зачастую не имеют злого умысла и даже не представляют, что своими действиями наносят существенный ущерб фирме.
Один из наиболее распространенных способов утечки конфиденциальной информации – это обыкновенная пересылка по электронной почте документов, содержащих сведения, отнесенные к коммерческой тайне, и копирование такого рода документов на USB-носители для работы дома.
Еще большая опасность возникает в случае, если организацией заинтересуются рейдеры. Например, им будет нужна территория, на которой базируется фирма. В этой ситуации утечка ценной информации может привести к поглощению или разорению компании.
Оценка факторов
По мнению экспертов компании, при выборе стратегии обеспечения информационной безопасности в первую очередь следует оценить ряд факторов.
В частности, это:
– вероятный убыток от потери информации или от попадания информации в руки злоумышленников;
– угрозы, от которых следует быть защищенным и в какой степени;
– соразмерность затрат на обеспечение информационной безопасности с вероятными угрозами;
– необходимость внедрения в организации новых правил работы с информационными ресурсами.
К сожалению, в России еще не существует собственной методики оценки рисков и затрат на обеспечение информационной безопасности, в то время как многие западные компании пользуются методиками оценки возврата инвестиций в средства безопасности ROSI (Return on Security Investment).
Следует отметить, что некоторые российские организации и системные интеграторы также перешли к использованию указанных методик.
Защитные меры
Нежелательные утечки в информационной безопасности создают вопросы обеспечения информационной безопасности не могут быть решены каждый по отдельности, необходим комплексный подход на основе стандарта информационной безопасности ISO 17779 и отечественных ГОСТов. Они предусматривают не только работу по установке различного программного и программно-аппаратного обеспечения, но и разработку внутрифирменной политики информационной безопасности.
Работа системного интегратора начинается с обследования всей информационной структуры организации с целью изучения имеющейся компьютерной техники, средств защиты и общего состояния дел в системе защиты информации. Следует учитывать, что ИТ-инфраструктура современной строительной компании представляет собой сложный и разветвленный организм.
По результатам обследования формируется концепция информационной безопасности организации. Она представляет основные цели и задачи, которые следует решить для достижения необходимого уровня защиты информации.
Далее системный интегратор совместно с руководством организации принимает решение о внедрении системы.
При этом определяются наиболее вероятные угрозы информационной безопасности; формулируются основные принципы построения системы защиты информации; разрабатываются критерии отнесения информации к сведениям, составляющим коммерческую тайну; принимается решение о разработке комплекса мер по обеспечению информационной безопасности.
После этого устанавливается необходимое программное и программно-аппаратное обеспечение, проводится обучение сотрудников и лиц, ответственных за обеспечение информационной безопасности.
Программные продукты
Примером оптимального решения по защите внутрифирменных конфиденциальных документов является HASP DocSeal фирмы Aladdin.
Зашифрованные с помощью указанной программы документы могут быть выложены на корпоративный сервер фирмы и доступны для просмотра во внутрифирменной сети, при этом пользователь не имеет возможности распечатать защищенный документ и сделать снимок защищенного документа с экрана.
Более того, при правильном применении HASP DocSeal имеется возможность зашифровывать, на усмотрение руководства, целые группы документов, применяя различные ключи шифрования, делая их доступными строго определенным группам работников. См. пример реализации защиты с помощью HASP DocSeal.
Другим решением ограничения доступа к конфиденциальной информации является разграничение прав пользователей. Для разграничения и контроля доступа к техническим, программным и информационным ресурсам компьютеров свои решения предлагают такие компании, как «Анкад» и Aladdin, – Rutoken и eToken соответственно. Применение ключей-токенов позволяет дать каждому сотруднику строго определенный набор прав, причем сотрудник имеет возможность читать зашифрованные файлы, редактировать их и создавать собственные зашифрованные файлы.
См. пример реализации защиты с помощью программы eToken.
Следующим классом программных продуктов обеспечения информационной безопасности являются программы создания зашифрованных областей логических дисков, такие как Crypton Disk производства «Анкад» и Secret Disk производства Aladdin.
Также компаниями «Физтех-софт» и Aladdin разработаны программно-аппаратные средства экстренного стирания важной информации, что очень может пригодиться в случае рейдерского захвата.
См. пример шифрования данных в отчетах.
Однако, кроме предотвращения несанкционированного доступа к информации, фирмам следует озаботиться и вопросами сохранения информации на случай непредвиденных ситуаций. Системный интегратор сможет установить ленточную библиотеку – специальное устройство, предназначенное для накопления и хранения больших объемов данных.
В случае возникновения аппаратных сбоев, порчи, кражи или изъятия жестких дисков данные, накопленные на ленте, могут быть восстановлены достаточно быстро.
Защита от вирусов
Практически все пользователи персональных компьютеров сталкиваются с проблемой заражения вредоносным кодом, и борьба с этим явлением остается одной из основных задач обеспечения безопасности информационных систем.
По мнению аналитиков, вирусы стали «бить» по конкретным целям – организациям и корпорациям, нередки случаи создания вирусов на заказ.
Задача системного интегратора при установке антивирусного программного обеспечения заключается в его правильном подборе и настройке. В рамках этой задачи также производится настройка Firewall и межсетевых экранов, если в таковых имеется необходимость.
Программно-аппаратные средства
Следующим, более серьезным шагом обеспечения информационной безопасности организации будет установка программно-аппаратных средств мониторинга сети, средств контроля безопасности контента, а также устройств объединенного управления угрозами (Unified Thread management, UTM-устройств).
Данным термином обозначается особый класс устройств, которые являются многоуровневыми системами защиты и способны обезопасить как отдельный компьютер, так и корпоративную локальную сеть от подавляющего большинства опасностей.
См. принцип работы UTM-устройства.
Заключительный этап внедрения
После проведенного обследования, установки программных и программно-аппаратных средств защиты информации системный интегратор совместно с руководством заказчика приступает к доведению до персонала вводимой в организации политики информационной безопасности. Кроме того, проводится обучение правилам использования информационных ресурсов, работе с программно-аппаратным средствами защиты, правилам копирования и пересылки зашифрованных файлов.
- Статьи по теме:
- Как организовать пропускной режим с тестированием
- Когда суды признают увольнение незаконным
- Отпуск с последующим увольнением: как правильно оформить в 2024 году
- Сколько дней отдыха положено донору за сдачу крови и как оплатить
- Ставка рефинансирования ЦБ РФ на сегодня в 2024 году: последние изменения