- Як захистити компанію від витоку інформації з баз даних;
- Чи можна убезпечити систему від збоїв;
- Як протестувати систему інформаційної безпеки Вашої компанії.
- Як в страховій групі «Авеста» захищають базу, яка налічує понад 100 тисяч клієнтів;
- Навіщо в компанії «ІНТАЛЄВ» ведуть журнали активності користувачів;
- Приклад, який дозволить Вам розрахунковим шляхом визначити, чи потрібно ставити резервне обладнання для захисту інформації;
- З якими проблемами може зіткнутися Генеральний Директор.
- втрата даних;
- розголошення конфіденційної інформації;
- відмова інформаційних систем, що виключає можливість працювати з клієнтами;
- зростання накладних витрат.
Така проблема виникає, по-перше, через пошкодження носіїв інформації (жорстких дисків, компакт-дисків і т. П.), По-друге, через віруси, які потрапили в комп'ютер або мережу. Ще одна причина втрати даних - атаки хакерів.
Як запобігти. Для цього необхідно:
Як захищаються великі підприємства
Інформацію, що втратила актуальність, доцільно поміщати в архів. Збереження архівних матеріалів також слід періодично перевіряти.
Технологія підключення до Інтернету за допомогою Wi-Fi (як правило, діє в ресторанах і барах) - потенційна загроза нашій компанії. Будь-яке таке підключення може призвести до хакерської атаки з подальшою втратою даних або витоком інформації. Щоб цього уникнути, необхідно розробити в компанії правила використання технології Wi-Fi.
Розголошення конфіденційної інформації
Підходи до безпеки в Росії і на Заході
У Росії вважають за краще інвестувати в забезпечення безпеки, на Заході - страхувати ризики. Іншими словами, в Росії схильні купувати сервер для резервного копіювання, а в США - страхувати працює сервер від втрати даних. Однак оптимальне рішення знаходиться десь посередині. Якщо неможливо забезпечити стовідсоткову інформаційну безпеку, має сенс інвестувати кошти в розвиток інфраструктури безпеки, а частина ризиків - застрахувати.
Буває, що співробітники передають третім особам (як правило, конкурентам) наявну на підприємстві важливу інформацію: відомості про обсяги продажів, клієнтську базу і т. Д. Розголошення конфіденційної інформації можливо і в межах компанії (наприклад, розміри винагород, зарплат, планів реструктуризації та т. п.) (*).
Як запобігти. Найкраще обмежити доступ до інформації. Співробітникові будуть доступні лише дані, необхідні для роботи. Наприклад, менеджер з продажу зможе працювати з відомостями тільки про своїх клієнтів. Подібна організація роботи персоналу в разі розголошення інформації дозволить швидко визначити джерело витоку і мінімізувати втрати.
Щоб захистити найбільш важливу інформацію, можна застосовувати такий метод, як шифрування даних. В цьому випадку сторонні, навіть отримавши доступ до конфіденційної інформації, не зможуть з нею ознайомитися.
Каже Генеральний Директор
Питання захисту від витоку інформації варто в нашій компанії на першому місці. Справа в тому, що наша база даних містить інформацію про більш ніж 100 тисячах застрахованих фізичних осіб. Звичайно, втрата цих даних не призведе до краху бізнесу, але розвиток компанії призупинить.
Євген Гріханов | Директор з інформаційних технологій компанії Relogix, Москва
Використання зовнішніх носіїв інформації (дискети, перезапису CD, флеш-карти) часто призводить до розголошення конфіденційної інформації.
На початку свого професійного шляху, працюючи черговим інженером у видавничому домі «Коммерсант», я не раз стикався з тим, що відсутність флоппі-дисководів і пишуть CD на комп'ютерах змушувало журналістів звертатися в IT-службу з проханням переслати той чи інший матеріал. Не можна сказати, що дана система була ідеальною і гарантувала захист від витоку інформації, але, так як будь-яке своє дію черговий інженер заносив в журнал, завжди можна було дізнатися, хто і коли скопіював інформацію.
Як захищав дані фінансовий директор
У ноутбуці фінансового директора була зашифрована область, яку він відкривав за допомогою пароля. Коли він користувався ноутбуком в кафе або ресторані (в зоні дії Wi-Fi), він читав пошту, переносив необхідні файли в зашифровану область, а потім відключався від мережі. Навіть якщо у фінансового директора вкрадуть ноутбук, то прочитати інформацію злодії навряд чи зможуть. У цієї схеми є тільки один недолік - пароль. Якщо придумувати просту комбінацію чи не змінювати її, то можна звести нанівець подібні методи захисту. Вихід із ситуації - використання разом з паролем електронних ключів.
Важливо приділяти увагу паролів: їх потрібно міняти з певною періодичністю. Дуже часто користувачі записують паролі на папірці, яка зберігається на столі, або використовують найпростіші комбінації. Таким чином, стороння людина, що бажає отримати доступ з метою копіювання інформації, практично не зустрічає перешкод (див. Приклад з практики: Як захищав дані фінансовий директор).
Дмитро Бурлаков | Начальник відділу розробки програмного забезпечення консультаційно-впроваджувальної фірми «ІНТАЛЄВ», Москва
Для зменшення інформаційних ризиків періодично проводяться чистки жорстких дисків і поштових скриньок.
Відмова інформаційних систем
Порушення роботи інформаційних систем може бути викликано наступними причинами:- відмова обладнання або програмного забезпечення;
- вихід з ладу мереж передачі даних;
- поразку інформаційних систем вірусними програмами.
Євген Гріханов | Директор з інформаційних технологій компанії Relogix, Москва
Необхідно зрозуміти, які системи повинні бути доступні постійно, для яких прийнятний певний термін відновлення (два або шість годин, наступного дня і т. Д.). Виходячи з цієї інформації потрібно визначити потребу в резервному обладнанні. Дуже важливо, щоб процедури періодично відпрацьовувалися на практиці з IT-персоналом. Робити це слід в неробочі години підприємства. Подібні заходи дозволять, не витрачаючи зайвих грошей, чітко і швидко відновлювати працездатність і мінімізувати час простою.
Дмитро Бурлаков | Начальник відділу розробки програмного забезпечення консультаційно-впроваджувальної фірми «ІНТАЛЄВ», Москва
Оскільки наша компанія не дуже велика, то збої в системі зазвичай не тягнуть за собою мільйонних збитків. Проте ми проводимо такі заходи:
- щодня копіюємо дані;
- щотижня робимо повну резервну копію, яка зберігається поза офісом;
- постійно оновлюємо реліз нашої інформаційної системи.
Нерідкі випадки використання співробітниками доступу в Інтернет в особистих цілях, наприклад, для скачування великих обсягів інформації. Це може негативно позначитися на бюджеті Вашого підприємства.
необхідні заходи
Щоб захистити інформацію, якою володіє Ваша компанія, доручіть директору інформаційної служби визначити коло необхідних заходів. Їх можна розділити на разові і періодичні. Не останню роль при забезпеченні інформаційної безпеки відіграє робота з персоналом.
Разові заходи включають покупку і установку антивірусних програм, обладнання для резервного копіювання, засобів шифрування даних для перших осіб компанії, програм для фіксації доступу до інформації. Крім того, треба виділити в IT-департаменті співробітника або підрозділ, які будуть відповідати за працездатність систем і гарантоване усунення збоїв в терміни, що дозволяють мінімізувати втрати для бізнесу. Для різних за важливістю систем терміни і пріоритети усунення неполадок розрізняються.
Аудит інформаційної безпеки сторонньою компанією. Таку перевірку краще робити не рідше одного разу на рік.
Перевірка резервного копіювання та здатності системи відновлюватися при збоях. Слід відключити на підприємстві основні сервери і оцінити, чи зможуть співробітники ефективно працювати, використовуючи резервне обладнання та інформаційні системи. За результатами необхідно скласти список проблем, які повинні бути усунені до наступної перевірки. Захід варто проводити не рідше одного разу на квартал.
Навчальні заходи за участю співробітників IT-підрозділу, а також інших працівників, які мають доступ до інформації.
Євген Гріханов | Директор з інформаційних технологій компанії Relogix, Москва
Якщо компанія велика, питання безпеки бажано виносити за рамки IT-служби. Таким чином, IT-служба буде не стратегічним партнером бізнесу з безпеки, а виконавцем. У свою чергу служба, що займається безпекою на підприємстві, стане стратегічним і контролюючим партнером.
У невеликих компаніях розумно вдаватися до послуг сторонніх організацій, що не залежать від внутрішніх інтересів і можуть професійно побудувати ефективну систему інформаційної безпеки підприємства. Найкраще ділити відповідальність між компаніями, які реалізують інформаційну безпеку, і тими, хто проводить аудит.
Робота з персоналом. Людський фактор відіграє важливу роль в системі заходів щодо захисту інформації. Вам необхідно не просто підібрати кваліфікований персонал, але і створити стимули для його ефективної роботи. Найправильніший шлях - розробити чіткі критерії преміювання IT-фахівців, обумовлені, з ефективністю роботи інформаційних систем і задоволеністю співробітників інших підрозділів роботою IT-персоналу.
Каже Генеральний Директор
Сергій Сафронов | Генеральний Директор страхової групи «Авеста», Санкт-Петербург
Головну роль в системі захисту інформації відіграють не машини, а люди. При наймі на роботу необхідно повідомляти співробітників про те, що дані, з якими їм доведеться працювати, - власність компанії і їх витік спричинить за собою покарання винуватця аж до звільнення. Якщо підлеглий має намір звільнитися за власним бажанням, важливо зробити все можливе, щоб інформація не зникла разом з ним. І найкраще посприяти його працевлаштування в компанію, що є, наприклад, Вашим бізнес-партнером.
Дмитро Бурлаков | Начальник відділу розробки програмного забезпечення консультаційно-впроваджувальної фірми «ІНТАЛЄВ», Москва
Крім технічного захисту інформації ми застосовуємо адміністративні заходи. Зокрема, крім трудового договору укладаємо з співробітниками угоду про нерозголошення конфіденційної інформації. Цей документ підписує кожен працівник компанії.
На закінчення хочеться відзначити, що процес забезпечення безпеки - не разовий захід. Тільки при систематичній роботі можна бути впевненим в тому, що важлива інформація, якою володіє підприємство, знаходиться під надійним захистом.
Як визначити, чи потрібно Вам захищати інформацію
Компанія DataArt займається розробкою на замовлення програмного забезпечення для фінансових інститутів, телекомунікаційних та медіакомпаній. Спеціалізується в області інтернет-додатків, корпоративних баз даних і інструментів промислової автоматизації, включаючи системи клієнт-і контент-менеджменту. Штаб-квартира компанії знаходиться в Нью-Йорку, також є представництва в Санкт-Петербурзі, Джексонвілі (Флорида, США), Чепел-Хіллі (Північна Кароліна, США), Лондоні. У центрах розробки в Санкт-Петербурзі та Воронежі працюють більше 180 фахівців. Серед клієнтів - банк BNP Paribas, корпорація Spirent Communications, компанії Ernst Young, «Моторола», страхова компанія «Русь Ergo», інтернет-компанія Mail.ru.
Михайло Завілейський | Виконавчий директор DataArt, Санкт-Петербург
Захист інформації - це окремий випадок керування ризиками. необхідно:
Розглянути події, пов'язані з втратою або розкраданням інформації.
Оцінити втрати в грошах.
Оцінити ймовірність виникнення подій протягом аналізованого періоду (зазвичай рік або більше).
Перемноживши показники пунктів 2 і 3, ми отримуємо ціну ризику «до» (тобто до проведення заходів щодо захисту інформації). Заходи щодо захисту інформації знижують ймовірність тієї чи іншої події, і ми отримуємо віддачу на проект. Її розраховують за формулою:
(ВГО - Впосле) х П = О,
де вдо - ймовірність «до», Впосле - ймовірність «після», П - втрати, О - віддача на проект.
Якщо вартість проекту вищі віддачі, то реалізовувати його не варто (іноді можна просто застрахуватися). Зробивши розрахунки, вибираємо першочергові проекти - проекти з найбільшою віддачею. Наведу простий приклад.
розрахунковий приклад
Імовірність відмови сервера електронної пошти на один робочий день становить 1%. Ефективність роботи нашої компанії без електронної пошти знижується на 50%. Обороти компанії - 150 млн руб. на рік.
Втрати від відмови електронної пошти складуть 750 тис. Руб. на рік:
150 000 000 x 50% х 1% = 750 000 руб.
При наявності в компанії резервного комплекту ймовірність відключення пошти на день складе 0,1%. Другий комплект серверів, що працюють в резервному режимі, обійдеться нам в 100 тис. Руб. в рік, а витрати на їх обслуговування - ще в 120 тис. руб. в рік (10 тис. руб. в міс.).
Таким чином, віддача на проект складе:
(1% - 0,1%) х 50% х 150 000 000 руб. = 675 000 руб.
Вартість резервного комплекту (220 000 руб.) Менше, ніж віддача від проекту (675 000 руб.). Тобто віддача складе трохи більше 300% (675 000. 220 000. 100%). Ймовірно, такий проект коштує реалізувати.
Звичайно, покладаючись на фінансові розрахунки, не варто втрачати здоровий глузд. Так, один з менеджерів російського відділення великої американської компанії отримав підвищення за реалізацію системи, що перешкоджає виносу носіїв інформації (дискет, CD і DVD) з офісу. Те, що будь-яка інформація могла бути безперешкодно надіслана електронною поштою або іншим інтернет-каналах, нікого не стурбувало.